近日,“驱动人生”无文件挖矿病毒计划任务再次更新,此次更新中的恶意脚本将会篡改hosts文件指向随机域名,并将DNS服务器地址修改为“8.8.8.8”及“9.9.9.9”,同时采用多种攻击方式横向传播。亚信安全将其命名为Coinminer.Win64.MALXMR.TIAOODDA。
攻击流程
病毒详细分析
此次发现的恶意计划任务代码主要为如下两种,实际功能均是下载同一文件x.js(a49add2a8eeb7e89b9d743c0af0e1443):
a49add2a8eeb7e89b9d743c0af0e1443分析:
a49add2a8eeb7e89b9d743c0af0e1443是一段经过混淆加密的PowerShell代码,解密后的代码如下图,其主要功能是上传被感染机器信息并下载另外一个PowerShell脚本(f19d9a77c3f6f07e43f5822f9a796104):
f19d9a77c3f6f07e43f5822f9a796104主要功能如下:
1. 下载并执行if.bin(横向传播模块);
2. 如果是N卡(GTX | NVIDIA | GEFORCE),则下载XMRig CUDA插件到tmp目录,以便后续利用NVIDIA GPU同时挖矿;
3. 根据系统版本不同分别执行32/64位挖矿软件me3.exe/m6.bin,若系统为64位机器,将调用Invoke-ReflectivePEInjection注入到Powershell进程中执行;
4. 如果系统中包含N卡或A卡则额外执行挖矿程序m6g.exe;
5. 修改DNS服务器地址为“8.8.8.8”及“9.9.9.9”;
6. 开启防火墙65529/TCP端口并设置端口转发,且会禁用135/445端口,导致文件共享无法使用。
64位系统,调用Invoke-ReflectivePEInjection将挖矿程序注入到PowerShell进程中。
If.bin模块包含多个攻击模块,且使用如下弱口令暴力破解其他机器:
攻击模块:
1)利用“永恒之蓝”漏洞攻击
此功能将会扫描内网中开放445端口的易受攻击机器,且会获取易受攻击机器的系统版本,根据系统版本使用不同的攻击代码,一旦攻击成功将会执行PowerShell命令。
【MS17-010漏洞扫描程序】
【MS17-010攻击代码】
2) MS-SQL Server SA账户暴力破解
枚举并扫描内网其他开放1433端口的机器,并尝试使用弱口令及Mimikatz从本地收集到的密码暴力破解 SA账户,一旦登录成功将会使用xp_cmdshell执行PowerShell脚本并上报机器IP及SQLSERVER密码到服务器。
如果登录成功,则上报机器IP和MS-SQL Server密码。
3) PassTheHash攻击
此功能将会验证用户帐户权限,如果当前登录用户具有管理员权限则使用PowerDump模块和Mimikatz来转储所有NTLM哈希、用户名、密码和域信息。后续将会使用这些凭据,将恶意脚本文件上传到网络中可访问的任何远程计算机的%startup%文件夹中,使用WMI远程执行PowerShell代码。
使用默认HASH及PowerDump模块和Mimikatz转储的HASH值尝试访问其他机器的IPC$。
4) 针对RDP弱口令进行爆破攻击
此模块会扫描内网其他开启3389端口的机器,并尝试使用”Administrator”用户名及前述弱口令密码及Mimikatz收集到的密码尝试登录,成功登录后将会执行PowerShell后门代码并上报机器IP及密码。
5) USB和网络驱动器
此功能将恶意Windows*.lnk快捷方式文件和恶意DLL文件写入连接到受感染机器的可移动存储及映射的网络驱动器中。一旦其他机器点击(不需要打开.lnk文件)被感染后的可移动存储或者网络驱动器会触发CVE-2017-8464LNK 远程执行代码漏洞,进而感染病毒。
6) 针对RDP漏洞CVE-2019-0708进行检测和上报
对RDP CVE-2019-0708漏洞进行检测,目前尚无利用代码。
一旦网络中的机器被以上任意一种方式攻陷,将会执行如下PowerShell后门代码并修改防火墙设置,打开65529/TCP端口,其将作为被感染机器标识,避免后续重复攻击这些机器。
被攻陷机器最终将被创建如开始所述计划任务,进而进行挖矿并感染其他机器。
解决方案
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务);
尽量关闭不必要的文件共享;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
打开系统自动更新,并检测更新进行安装;
系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序;
详细信息请参考链接:https://technet.microsoft.com/library/security/MS17-010
XP和部分服务器版WindowsServer2003特别安全补丁,详细信息请参考链接:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
系统打上CVE-2019-0708 RDP服务远程代码执行漏洞补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
系统打上CVE-2017-8464 LNK 远程执行代码漏洞补丁:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
建议安装如下补丁防止Mimikatz窃取本机密码:
然后使用以下工具关闭其他能够窃取凭证的路径:
SQL Server数据库sa账户设置高强度复杂登录密码且与Windows登录密码不要相同。
IOC
| 文件SHA-1 | 文件名称 | 亚信安全检测名 |
|---|---|---|
| 1501457cecebf12acc60c7da8585e0a7ab2e928a | blue3.dll | Trojan.Win32.POWLOAD.CMPNPD |
| b7b692c1a4138d427fe4fabaeb23f508aab806e8 | blue6.dll | Trojan.Win64.SHELMA.SMB1 |
| efa8eb64099989f2699eff82a7ff35dc750c027e | if.bin | Trojan.PS1.POWLOAD.JKK |
| 0a9dda0c221215415314269497bd4801a6a0f8c2 | m6.bin | Coinminer.PS1.MALXMR.MPK |
| c86645f1ee95b0e6ea50eac8be0be3874f81d294 | m6.exe | Coinminer.Win64.MALXMR.TIAOODDA |
| 3204ece6d1aec56aaf540c1e1da1225f0bf60e50 | m6g.bin | Coinminer.Win64.MALXMR.TIAOODDA.component |
| f8b2d4fb211b22e40fc7805a96be70d25c4e638c | me3.bin | Coinminer.Win64.MALXMR.TIAOODDA.component |
| d061f9fb213345a4f4a587e4963dd45912eae95d | x.js | TROJ_FRS.0NA104BD20 |
| 9659395cc7c996463b463278ef0f8ca76acbaa55 | x.jsp | Trojan.PS1.POWLOAD.JKK |
| ac154ec82cbabcba945b8226873383302693d3b0 | flashplayer.tmp | Trojan.JS.POWLOAD.WEIPR |
| 896c398162d9175e7b6736de39710ed8385c9dc2 | Flashplayer.lnk | Trojan.LNK.PCASTLE.A |
URL:
t[.]awcna[.]com
t[.]tr2q[.]com
t[.]amxny[.]com
hxxp[:]//167[.]99[.]227[.]91
IP:
167[.]99[.]227[.]91
27[.]102[.]114[.]207
*本文作者:亚信安全,转载请注明来自FreeBuf.COM
如有侵权请联系:admin#unsafe.sh