桌面防御战数千台Linux主机被勒索，该如何打好防御战？

最近国外安全媒体报道了一款名为Lilocked的Linux ransomware，用加密后缀感染了6000+ Linux主机。李洛克。俄罗斯安全研究人员认为，Lilocked很可能是通过CVE-2019-15846传播的，这是Exim邮件转发软件最新的远程执行漏洞。

文章图片

其实这款ransomware从今年7月中旬就出现了，只是当时“平庸”，没有引起大众的关注。但是最近感染人数突然增多，有爆发感染的趋势。

文章图片

Google搜索关键词“# README.lilocked”可以关联到6340个左右的结果，也就是说在公网上已知的Linux主机有近6340台被病毒勒索，但实际上被勒索的Linux主机数量肯定远远超过这个数字，因为还有很多主机没有接入互联网，也没有被搜索引擎关联。

文章图片

利用zoomeye检测这些主机的端口，发现大部分都是开放邮件服务的，因此可以推断俄罗斯研究人员关于Exim漏洞的说法是成立的。

文章图片

勒索Tor的地址是y7 mfrjkzql 32 nwcmgzwp 3 zxaqktqyvzfni 4 hm4 sebtpw 5 kuhjzqd . nion，类似Sodinokibi。需要输入按键才能跳转到相应的勒索联系人界面。黑客提示，如果要解密文件，必须通过3xbmfnj85keef将0.03 BTC发送到钱包地址1kxvqpwmvpczjx7tev。

文章图片

那么，Linux下的ransomware和Windows下的ransomware有什么区别呢？怎么防守？其实不管什么平台，ransomware的工作原理都差不多:
Kill soft detection->:特定语言国家豁免->:生成加密密钥->:遍历系统文件路径以外的目录->:加密具有特定后缀的文件->:删除备份文件->:退出。
但是Linux ransomware通常比Windows ransomware多了一步，就是会利用漏洞在启动前就主张权利，包括这次的Lilocked ransomware，还会利用未公开的漏洞在加密前将自己升级到根权限。下面是使用开源Linux ransomware GonnaCry在有或没有root权限的情况下的操作演示。GonnaCry的功能比较简单，使用AES算法对文件内容进行加密，然后修改主机桌面。

文章图片

GonnaCry在普通用户的权限下，几乎无法完成加密操作，只能加密几个临时文件。

文章图片

而当以root权限运行时，GonnaCry加密成功，主目录中的doc文件被加密成带GNNCRY后缀的文件。可以看到，Linux ransomware在有或者没有root权限的情况下运行，结果大相径庭。

文章图片

因为Linux操作系统的权限控制非常严格，同一用户组的用户不能操作其他用户的文件。比如一个ransomware通过redis漏洞进来，它的所有者是redis账号(假设应用是由redis用户启动的)，不能读写root、user1、user2等其他用户的文件，这就是Linux恶意软件想尽一切办法提取权限的原因。
MSF上的Linux有很多EXP漏洞。ransomware只需要整合相关的核心代码就可以实现权限提升。提升为root后，可以读写任何文件。当然，如果你的root密码是弱密码，ransomware就不用费工夫通过漏洞提权限了，可以直接把密码爆了，以root权限运行。