mallox勒索软件溯源反制思路

概述

近期又遇到了几起windows下的mallox勒索的事件,攻击者都是通过MS-SQL攻击进来的,各位注意一下不要再把不必要的MS-SQL开放在公网上了。

同时有国外公司在这几天捕获到mallox勒索软件在Linux下的变体以及一个web_server.py文件,而且在溯源其资产时发现了对应的解密程序,这些解密程序的运行仍然需要key和build ID。

通过分析泄露的panel源码也就是捕获到的web_server.py,我们可以拓出更多的线索。

技术分析

web_server.py文件是勒索攻击者使用的基于 Flask 的 Mallox 勒索软件 web 面板,可用于为Linux系统创建快速且可定制的勒索软件。该脚本使用环境变量连接到后端数据库以获取数据库凭据。它包括用户认证、构建管理和管理员功能的路由,支持新用户注册、登录、密码重置和 勒索软件 构建创建、管理和下载。管理员可以管理用户、查看日志和执行账户操作。此外,该应用程序还具有用户个人资料管理、构建的聊天界面和自定义的 404 错误页面。

通过web_server.py溯源到攻击者使用的服务器资产,以及panel的端口

mallox勒索软件溯源反制思路


mallox勒索软件溯源反制思路

遗憾的是,目前该3000端口的panel暂时停止了服务,所有的api都无法正常工作,不过这也没有关系。

继续分析可以发现解密器文件可以在 185[.]73[.]125[.]6/output/{build-id}/decryptor中,用于以下 ID访问对应的解密器:

  • 1a2040656ec7ac34
  • 7cc49d60f71e4ca4
  • 84bb1f05ce370665
  • 928bc7bf4d954d3d
  • b90ae4c6e011c45e
  • f6b040a56afcb6fb
  • F65bccf063ee3cc6

mallox勒索软件溯源反制思路

mallox勒索软件溯源反制思路

结合flask项目的文件结构,也就是猜目录,我们还能获取到更多的信息。比如攻击者使用的sql用户名和密码

mallox勒索软件溯源反制思路

还有flask的模板文件。这使得我们在flask服务没有开启情况下,也能获得所有的panel页面(即使有些页面正常运行时需要权限才能访问)

mallox勒索软件溯源反制思路

这些模板文件中存在大量的特征,结合VT和fofa可以帮助我们来找到更多的panel

mallox勒索软件溯源反制思路


由于时间原因,我这里还有一个没有验证的想法。这个基于Flask的panel是否还存在一些web漏洞可以用于反制呢?如果该panel真有漏洞,那要获得数据库中的完整的build ID和key应该不是问题,这样对于mallox的解密也就不再是问题。各位可以在本地把服务搭起来之后审计一下。

IOC

IOC类型

IOC

文件名

IP

185[.]73[.]125[.]6


IP

91[.]215[.]85[.]142


IP

91[.]215[.]85[.]135


MD5

3dde1507996cf8c3dd53a726501be33b

Webserver.py

MD5

b0770b7f24a436d256f2d58fc8581a18

解密器

MD5

231478ff24055d5cdb5fbec36060c8ff

加密器

MD5

51d51696c7f3a0e3fba4b8ceab210bac

解密器

MD5

8d0fd41d35df82d3e7e2ff5c1747b87c

加密器

MD5

e9e087c52b97c7a3e343642379829e0a

解密器

MD5

68785d476573955d50a3908dc18bf73b

加密器

MD5

cb60ad37c9a632c697fb2da7add7ccb5

解密器

MD5

6bb2752ea73b4d6a5c33f543b5c29461

加密器

MD5

1448ce8abc2f0184ec898d55f9c338b4

解密器

MD5

5b0c1958a875c205951b88fd1c885900

加密器

MD5

7f099845d8e6849d6ab4d64b546477d6

解密器

MD5

4825f3a92780be4a285583b0f24fed99

加密器

MD5

be08c3e95df5992903a69e04cbab22e3

解密器

MD5

779aa15cd6a8d416e7f722331d87f47b

加密器


原文始发于微信公众号(3072):mallox勒索软件溯源反制思路

版权声明:admin 发表于 2024年7月5日 下午12:05。
转载请注明:mallox勒索软件溯源反制思路 | CTF导航

相关文章