警惕“驱动人生”无文件挖矿再次更新
source link: https://www.freebuf.com/articles/terminal/228521.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
近日,“驱动人生”无文件挖矿病毒计划任务再次更新,此次更新中的恶意脚本将会篡改hosts文件指向随机域名,并将DNS服务器地址修改为“8.8.8.8”及“9.9.9.9”,同时采用多种攻击方式横向传播。亚信安全将其命名为Coinminer.Win64.MALXMR.TIAOODDA。
攻击流程
病毒详细分析
此次发现的恶意计划任务代码主要为如下两种,实际功能均是下载同一文件x.js(a49add2a8eeb7e89b9d743c0af0e1443):
a49add2a8eeb7e89b9d743c0af0e1443 分析 :
a49add2a8eeb7e89b9d743c0af0e1443是一段经过混淆加密的PowerShell代码,解密后的代码如下图,其主要功能是上传被感染机器信息并下载另外一个PowerShell脚本(f19d9a77c3f6f07e43f5822f9a796104):
f19d9a77c3f6f07e43f5822f9a796104 主要功能如下:
1. 下载并执行if.bin(横向传播模块); 2. 如果是N卡(GTX | NVIDIA | GEFORCE),则下载XMRig CUDA插件到tmp目录,以便后续利用NVIDIA GPU同时挖矿; 3. 根据系统版本不同分别执行32/64位挖矿软件me3.exe/m6.bin,若系统为64位机器,将调用Invoke-ReflectivePEInjection注入到Powershell进程中执行; 4. 如果系统中包含N卡或A卡则额外执行挖矿程序m6g.exe; 5. 修改DNS服务器地址为“8.8.8.8”及“9.9.9.9”; 6. 开启防火墙65529/TCP端口并设置端口转发,且会禁用135/445端口,导致文件共享无法使用。
64位系统,调用Invoke-ReflectivePEInjection将挖矿程序注入到PowerShell进程中。
If.bin模块包含多个攻击模块,且使用如下弱口令暴力破解其他机器:
攻击模块:
1)利用“永恒之蓝”漏洞攻击
此功能将会扫描内网中开放445端口的易受攻击机器,且会获取易受攻击机器的系统版本,根据系统版本使用不同的攻击代码,一旦攻击成功将会执行PowerShell命令。
【MS17-010漏洞扫描程序】
【MS17-010攻击代码】
2) MS-SQL Server SA账户暴力破解
枚举并扫描内网其他开放1433端口的机器,并尝试使用弱口令及Mimikatz从本地收集到的密码暴力破解 SA账户,一旦登录成功将会使用xp_cmdshell执行PowerShell脚本并上报机器IP及SQLSERVER密码到服务器。
如果登录成功,则上报机器IP和MS-SQL Server密码。
3) PassTheHash攻击
此功能将会验证用户帐户权限,如果当前登录用户具有管理员权限则使用PowerDump模块和Mimikatz来转储所有NTLM哈希、用户名、密码和域信息。后续将会使用这些凭据,将恶意脚本文件上传到网络中可访问的任何远程计算机的%startup%文件夹中,使用WMI远程执行PowerShell代码。
使用默认HASH及PowerDump模块和Mimikatz转储的HASH值尝试访问其他机器的IPC$。
4) 针对RDP弱口令进行爆破攻击
此模块会扫描内网其他开启3389端口的机器,并尝试使用”Administrator”用户名及前述弱口令密码及Mimikatz收集到的密码尝试登录,成功登录后将会执行PowerShell后门代码并上报机器IP及密码。
5) USB和网络驱动器
此功能将恶意Windows*.lnk快捷方式文件和恶意DLL文件写入连接到受感染机器的可移动存储及映射的网络驱动器中。一旦其他机器点击(不需要打开.lnk文件)被感染后的可移动存储或者网络驱动器会触发CVE-2017-8464LNK 远程执行代码漏洞,进而感染病毒。
6) 针对RDP漏洞CVE-2019-0708进行检测和上报
对RDP CVE-2019-0708漏洞进行检测,目前尚无利用代码。
一旦网络中的机器被以上任意一种方式攻陷,将会执行如下PowerShell后门代码并修改防火墙设置,打开65529/TCP端口,其将作为被感染机器标识,避免后续重复攻击这些机器。
被攻陷机器最终将被创建如开始所述计划任务,进而进行挖矿并感染其他机器。
解决方案
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务);
尽量关闭不必要的文件共享;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
打开系统自动更新,并检测更新进行安装;
系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序;
详细信息请参考链接: https://technet.microsoft.com/library/security/MS17-010
XP和部分服务器版WindowsServer2003特别安全补丁,详细信息请参考链接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
系统打上CVE-2019-0708 RDP服务远程代码执行漏洞补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
系统打上CVE-2017-8464 LNK 远程执行代码漏洞补丁:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
建议安装如下补丁防止Mimikatz窃取本机密码:
然后使用以下工具关闭其他能够窃取凭证的路径:
SQL Server数据库sa账户设置高强度复杂登录密码且与Windows登录密码不要相同。
IOC
文件SHA-1 文件名称 亚信安全检测名 1501457cecebf12acc60c7da8585e0a7ab2e928a blue3.dll Trojan.Win32.POWLOAD.CMPNPD b7b692c1a4138d427fe4fabaeb23f508aab806e8 blue6.dll Trojan.Win64.SHELMA.SMB1 efa8eb64099989f2699eff82a7ff35dc750c027e if.bin Trojan.PS1.POWLOAD.JKK 0a9dda0c221215415314269497bd4801a6a0f8c2 m6.bin Coinminer.PS1.MALXMR.MPK c86645f1ee95b0e6ea50eac8be0be3874f81d294 m6.exe Coinminer.Win64.MALXMR.TIAOODDA 3204ece6d1aec56aaf540c1e1da1225f0bf60e50 m6g.bin Coinminer.Win64.MALXMR.TIAOODDA.component f8b2d4fb211b22e40fc7805a96be70d25c4e638c me3.bin Coinminer.Win64.MALXMR.TIAOODDA.component d061f9fb213345a4f4a587e4963dd45912eae95d x.js TROJ_FRS.0NA104BD20 9659395cc7c996463b463278ef0f8ca76acbaa55 x.jsp Trojan.PS1.POWLOAD.JKK ac154ec82cbabcba945b8226873383302693d3b0 flashplayer.tmp Trojan.JS.POWLOAD.WEIPR 896c398162d9175e7b6736de39710ed8385c9dc2 Flashplayer.lnk Trojan.LNK.PCASTLE.AURL:
t[.]awcna[.]com t[.]tr2q[.]com t[.]amxny[.]com hxxp[:]//167[.]99[.]227[.]91 IP: 167[.]99[.]227[.]91 27[.]102[.]114[.]207
*本文作者:亚信安全,转载请注明来自FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK