欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

ThanatosMiner(死神矿工)来了,腾讯安全捕获利用BlueKeep高危漏洞攻击传播的挖矿木马

admin2020-06-3017资讯

一、背景

腾讯安全威胁情报中心检测到挖矿木马ThanatosMiner(死神矿工)利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe,大范围扫描随机生成的IP地址进行探测和攻击。漏洞利用成功后执行shellcode下载C,编写的木马svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt,将该挖矿木马命名为ThanatosMiner(死神矿工)。

2019年5月15日,微软发布了针对远程桌面服务(Remote Desktop Services )的关键远程执行代码漏洞CVE-2019-0708的安全更新,该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作——意味着,存在漏洞的电脑只需要连网,勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞(CVE-2019-0708)是所有安全厂商都异常重视的高危漏洞。

该漏洞影响旧版本的Windows系统,包括:

Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。

Windows 8和Windows 10及之后版本不受此漏洞影响。

二、样本分析

攻击模块scan.exe通过pyinstaller打包Python代码生成exe,使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳,而打包的系统库文件中这两项内容会被保留,所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头,然后将其命名为scan.pyc,并通过uncompyle6进行反编译,可以还原的Python代码scan.py。


分析发现,Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00,Python2版本通常为63 00 00 00 00 00 00 00。


scan.py获取本机同网段IP地址,以及随机生成的外网IP地址扫描3389端口。



 

利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。


漏洞攻击成功执行shellcode命令,在%Temp%目录下创建DO.vbs,下载执行http[:]//download.loginserv.net/svchost.exe。


Payload木马svchost.exe采样C,编写,代码经过Dotfuscator混淆处理,可使用开源工具De4dot去除部分混淆,程序的Assembly Name为ThanatosCrypt。


 

运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。

SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S
SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root,vmwvmcihostdev
SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers
SOFTWARE\VMWare, Inc.\VMWare Tools
SOFTWARE\Oracle\VirtualBox Guest Additions
C:\windows\Sysnative\Drivers\Vmmouse.sys
C:\windows\Sysnative\Drivers\vmci.sys
C:\windows\Sysnative\Drivers\vmusbmouse.sys
C:\windows\Sysnative\VBoxControl.exe


 

通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。


若无虚拟机环境、未处于被调试状态则继续执行。 

然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击,以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。

IOCs

Domain

download.loginserv.net

MD5

scan.exe

608915ba7d1a3adbfb632cd466d6a1ca

svchost.exe

2db2c1de5797eac67d497fe91cb7448f

shell32.exe

a66144032e62a6f6fa9b713c32cb6627

shell32.exe

857b1f5e9744006241fe2d0915dba201

windowsservice.exe

6d28a08caf2d90f5d02a2bf8794c7de9

thanatoscrypt.exe

7afb5dd9aba9d1e5dcbefb35d10cc52a

mine.exe

ec0267e5ef73db13e880cf21aeb1102a

URL

http[:]//download.loginserv.net/svchost.exe

http[:]//download.loginserv.net/xmrig.exe

http[:]//download.loginserv.net/scan.exe

http[:]//download.loginserv.net/mine.exe

注入到PowerShell之中:Medusa Locker勒索软件分析

一、概述 最近几周,Carbon Black的威胁分析团队(TAU)发现Medusa Locker勒索软件家族的感染数量有所增加。在这些攻击活动中,表现出Medusa Locker勒索软件家族的明显特征,因此需要我们进一步调查,以分析可能会被将来的恶意软件家族利用的行为策略。 Medusa Locker勒索软件使用了多个阶段的感染过程,最初是以批处理文件和文本文件开始,将勒索软件注入到内存中并执行。值得关注的是,该勒索软件使用已知的PowerShell代码来执行恶意代码的反射注入,从而导致PowerShell自身会执行恶意活动。 这个勒索软件会修改系统配置,使用标准的AES-256算法对数据进行加密,并在加密前永久删除卷影副本和系统服务。 这篇文章将侧重分析这一恶意软件的独特之处、交付后的行为特征以及对被感染环境产生的影响。 二、恶意软件加载器脚本分析 攻击的最开始是执行一个批处理文件,该批处理文件会运行PowerShell以开展下一步活动。文件中包含一

网友评论