近日，火絨安全實驗室監測結果顯示：Bluesky勒索病毒正在活躍。該病毒在3月份首次出現，在6月末開始爆發，其傳播數量趨勢如下圖所示。火絨安全軟件可查殺該病毒。

Bluesky傳播數量趨勢圖

黑客主要通過滲透攻擊SQL Server數據庫進行投毒傳播。SQL Server是微軟公司推出的關系型數據庫系統，在個人和企業PC上應用廣泛，一旦黑客攻陷該數據庫，即會對用戶産生直接的數據安全威脅。

該勒索病毒會對一些重要文件進行全文件加密，如後綴名為：db 、sql、ckp等數據庫文件。其他文件隻會加密文件前16MB如：txt、pdf、zip等文件，而Bluesky勒索病毒不僅對受害者電腦中的數據進行加密，還會對局域網中其他終端共享的資源進行加密。被加密後的文件後綴名為：.bluesky，并留下勒索信，勒索信的内容，如下所示：

勒索信

被勒索後，需要支付0.1比特币（目前大概13325人民币）勒索病毒支付頁面如下圖所示：

勒索病毒支付頁面

針對各類勒索病毒，火絨安全軟件在病毒入侵的各個維度上都做了針對性的預防。在防止網絡滲透攻擊維度，有網絡入侵攔截、Web服務保護、橫向滲透防護、暴破攻擊防護等模塊進行防護；在防止黑客入侵過程維度，有系統加固和應用加固模塊進行防護；在防病毒維度，有文件實時監控和惡意行為監控模塊進行防護；在防投毒維度，有郵件監控、Web掃描、惡意網址攔截等模塊進行防護。

同時，我們也建議用戶從以下方面做好自查防護：

1.定期更換域控、數據庫、服務器上的管理員密碼；2.定期更新病毒庫，定時組織内網進行全盤掃描；3.定期更新補丁，修複漏洞；4.定期檢查防火牆及安全軟件的防護日志，及時發現異常并解決；5.定期備份重要的數據；6.修改數據庫默認端口，防止被掃描器暴破。

火絨安全勒索病毒查殺圖

傳播途徑分析

通過火絨終端威脅情報系統發現，黑客通過對SQL Server數據庫進行滲透攻擊的方式投放勒索病毒，攻擊成功後，下發各種惡意程序并執行Powershell命令來下載、執行勒索模塊，相關流程圖，如下所示：

Bluesky執行流程圖

由于SQL Server數據庫權限限制，黑客通過上傳CVE-2021-1732漏洞利用程序提權并執行Powershell相關代碼，如下圖所示：

利用CVE-2021-1732漏洞提權執行powershell命令

C&C服務器還會下發的後門模塊，該惡意模塊為CobaltStrike反射型注入後門模塊beacon，相關模塊數據，如下所示：

導出表信息

beacon後門模塊相關字符串

CobaltStrike木馬可以通過創建cmd進程來執行C&C服務器下發的Powershell命令，相關代碼，如下圖所示：

cmd進程來執行Powershell命令

加密算法分析

Bluesky勒索病毒使用chacha20算法（對稱加密）來對文件數據進行加密，并将密鑰通過curve25519橢圓曲線算法（非對稱加密）進行加密，保存在被加密的文件中，在沒有獲取到相應私鑰之前無法對文件進行解密。文件加密相關代碼，如下圖所示：

文件加密

加密規則

Bluesky勒索病毒會繞開一些系統相關的重要文件避免影響操作系統運行，并會對一些重要文件以及數據庫文件進行全文件加密，其他文件隻會加密文件前16MB如：txt、pdf、zip等文件，全文件加密的文件名後綴列表，如下圖所示：

全文件加密的文件名後綴

加密線程

該線程通過傳入指定目錄，将遍曆目錄中所有要加密的文件路徑，并對文件進行加密，相關代碼，如下圖所示：

遍曆目錄并且加密文件

加密本地磁盤

獲取本地磁盤路徑傳遞給加密線程來對磁盤進行加密，相關代碼，如下圖所示：

加密本地磁盤

加密網絡驅動器

獲取網絡驅動器的路徑，傳遞給加密線程來對網絡驅動器進行加密，相關代碼，如下圖所示：

加密網絡驅動器

加密局域網中其他終端共享的資源

通過掃描局域網中開放445端口的終端，對目标共享的資源進行加密，相關代碼，如下圖所示：

掃描局域網中開放445端口的終端

獲取目标終端的共享資源路徑，傳遞給加密線程來對其進行加密，相關代碼，如下圖所示：

對目标共享資源進行加密

CobaltStrike木馬通過多種殼進行對抗殺軟，相關流程圖，如下所示：

CobaltStrike混淆流程圖

API混淆，所有API都使用動态獲取的方式得到，導緻無法通過靜态分析得到API名稱，相關代碼，如下圖所示：

動态獲取API函數

字符串混淆，将所有的字符串進行加密，使用時動态解密，相關代碼，如下圖所示：

字符串動态解密

病毒HASH

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!