本帖最后由 360主动防御 于 2018-7-2 11:33 编辑
前言 本文是根据360互联网安全中心在2018年6月18日至2018年6月29日拦截到攻击的攻击数量、攻击类型和攻击手法所撰写的“近期威胁形势分析”。本文中提供的IOC信息用于帮助友商及相关人士对对应的攻击进行预警和防御。(注:本文中的IOC仅涉及6.18-6.29出现的新木马家族相关的域名、ip信息以及已知木马家族在这两周活动时使用的新域名、ip信息,历史IOC信息请查阅本系列前几篇报告。)
挖矿木马攻击:
针对Windows服务器的小规模入侵挖矿事件频发。过去针对Windows服务器的挖矿木马主要遵循“入侵——〉建立僵尸网络——〉挖矿获利”的攻击流程,而近期出现了较多规模较小的“一次性”服务器入侵挖矿攻击。这类攻击一般只在特定时间发生,且持续时间不长,黑客只向服务器投递挖矿木马,而不利用服务器对其他机器进行扫描入侵来建立僵尸网络。这类攻击由于不具备持久性较难被观察到。在之前的威胁预警中提到一些提供位置服务的Windows服务器遭到来自ip 121.41.33.131的攻击就属于这一类型的攻击。
图1 121.41.33.131发起攻击的时间及影响计算机数量柱状图显示该攻击只在特定时间进行
在漏洞使用方面,这类挖矿木马主要使用当下比较流行的几个Weblogic、Jboss、Struts平台的漏洞,也有部分通过远程桌面爆破、MsSql弱口令爆破入侵服务器。几乎每个发起攻击的黑客都会使用多个针对不同平台的漏洞以求入侵更多计算机。
IOC hxxp://211.149.176.110:666/winlogonx.exe hxxp://103.99.115.220:8080/xmrig.exe hxxp://103.99.115.220:8080/aaa.exe
yamMiner更新。沉寂多时的挖矿僵尸网络yamMiner在6月27日左右进行更新,在这次更新中yamMiner使用两个新的载荷托管地址,并且落地的挖矿木马文件名也改为随机名称以躲避杀软查杀。 
图2 新版本yamMiner部分代码截图
IOC hxxp://66.212.17.162:7001/console/css/test.ps1 hxxp://66.212.17.162:7001/console/css/winpm.ps1 hxxp://66.212.17.162:7001/console/css/freewin hxxp://dl.peanutman.ru/winpm.ps1 hxxp://dl.peanutman.ru/test.ps1 hxxp://dl.peanutman.ru/freewin
大量挖矿木马通过网页挂马形式下发,影响使用刷流量软件的用户。前段时间友商报告部分刷流量软件请求挂马页面后触发漏洞下发挖矿木马、DDos木马的情况。根据360互联网安全中心的监测,在这两周时间内有大量挖矿木马通过此类挂马页面下发,挂马漏洞主要为IE漏洞CVE-2018-8174和flash漏洞CVE-2018-4878。
IOC hxxp://www.wulei168.pw:1235/sql.exe hxxp://666.926cs.com/win32.exe hxxp://111.73.46.18:2998/xzz.scr hxxp://118.24.73.34:9999/studyy.exe hxxp://58.218.56.90:8080/vmwarerss.exe
勒索病毒攻击 近期,针对服务器数据库的勒索家族Satan发起的攻击呈现上升趋势。图3展示了4月至6月360互联网安全中心监测到的受到Satan勒索病毒攻击的计算机数量(按周统计),不难看出在最近这段时间Satan勒索病毒出现了大爆发,单日受影响服务器数量最高将近1000台。
图3 360互联网安全中心监测到的受到Satan勒索病毒攻击的计算机数量变化趋势
幸运的是,Satan勒索病毒并未改变其载荷托管地址,依然使用101.99.84.136这个ip作为载荷托管地址,防御方可以针对此ip进行防御。
IOC 101.99.84.136
银行木马攻击 银行木马攻击一直是国内个人及企业最常遭遇的攻击之一。黑客通过垃圾邮件传递带有Office漏洞利用代码或者恶意宏的文档对用户发起攻击。从攻击源看,几乎所有攻击都来自国外。图4是这段时间发起银行木马攻击的家族分布柱状图。
图4 银行木马家族分布柱状图
其中LokiBot是最为活跃的银行木马家族,其次是Pony。在漏洞使用方面,微软公式编辑器漏洞CVE-2017-11882和CVE-2018-0802的使用占比在90%以上,仅有不到10%使用Office恶意宏或者其他Office漏洞,如图5所示。 
图5 银行木马攻击漏洞使用情况
IOC LokiBot hxxp://cselegance.com/vib1.exe hxxp://csabulk.com/west/sop1.exe hxxp://abatii.web.id/isupa/po.exe hxxp://em-latee.cf/both/soa.exe hxxp://vardey.tk/maka/new hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/pa1.exe hxxp://www.triurnph-china.com/maski.msi hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/temp1.exe hxxp://asamshut.ml/emzii/soa.exe hxxp://uploadtops.is/1//f/cbjcywf hxxp://uploadtops.is/1//f/qrvovd7 hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/4fb.exe hxxp://www.triurnph-china.com/1234.msi hxxp://uploadtops.is/1//f/wr2jwj4 hxxp://abatii.web.id/zor/0075656002453.exe hxxp://maalikitreeservices.com.au/yuc.exe hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/crystal/ar1.exe hxxps://lokipanelhostingnew.cf/wordpress/wp-includes/images/wlw/xa2.exe hxxp://abatii.web.id/smart/order.exe hxxp://cortlnachina.com/dada_253782.exe hxxp://lokipanelhostingnew.gq/wordpress/1ab.exe hxxp://185.227.83.56:4560/soldi.exe hxxp://confirm-your-accounts-1146.ml/rf/uc1.exe hxxp://lokipanelhostingnew.gq/wordpress/2p.exe hxxp://31.220.40.22/~blackdia/enesfolder/0000000.exe hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/crystal/p1.exe hxxp://rnicrosoft.cf/1.exe hxxp://servicelearning.thu.edu.tw/tk.exe hxxp://185.227.83.56:4560/sayofis.exe hxxp://indostraits.co.id/dafff.exe hxxp://csabulk.com/west/upx.exe hxxp://servicelearning.thu.edu.tw/zeya.exe hxxp://ayerstechnology.com/u.msi hxxp://www.triurnph-china.com/8776tt.exe hxxp://internationalcon.com/ar/jakuzo/fynoy/ste.exe hxxp://jessicalinden.net/wp-ftp/ghh.exe hxxp://servicelearning.thu.edu.tw/zey.exe hxxp://indostraits.co.id/kane.exe hxxp://picluib-jp.co/sop.exe hxxp://uploadtops.is/1//f/jpjdkuw hxxp://csabulk.com/west/tekex1.exe hxxp://em-latee.cf/park/purchase hxxp://31.220.40.22/~obahomer/1234567890.exe hxxp://abatii.web.id/ojay/quotation.exe hxxp://salesxpert.ml/exp/tclokii.exe hxxp://www.mimicbngovy.ru/petit/order.exe hxxp://indostraits.co.id/yahooooooo.exe hxxp://picluib-jp.co/tekex.exe hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/tt2.exe hxxp://zenshinonline.ru/images/jon001.exe hxxp://earthart.org/inco/oodds.exe hxxp://meta-mim.in/uc1.exe hxxp://decalogoabogados.com/tread/zey.exe hxxp://indostraits.co.id/dave.exe Pony hxxp://indostraits.co.id/conte.exe hxxp://sinutinu.com/edusite/quopes/sowypzqstfhupo.exe hxxp://tpreiastephenville.com/fr2.exe hxxp://grafoinvest.rs/97.scr hxxp://185.227.83.56:4560/press1.exe hxxp://syscore.duckdns.org/jhonvn/vbc.exe hxxp://energy.rs/40.scr hxxp://mders77.5gbfree.com/koda.exe hxxp://fovig.be/admin/jon001.exe hxxp://107.173.219.125/wrk.exe hxxp://psatafoods.com/waplord/neworder.exe hxxp://grafoinvest.rs/17.scr hxxp://grafoinvest.rs/07.scr hxxp://syscore.duckdns.org/tonychunks/fb.exe hxxp://grafoinvest.rs/54.scr hxxp://olorioko.ga/bin/kenny.exe hxxp://indostraits.co.id/chi.exe hxxp://grafoinvest.rs/83.scr hxxp://grafoinvest.rs/11.scr hxxp://23.249.161.109/wrd/zomamez.exe hxxp://zigizaga.gq/net.exe hxxp://mirocaffe.ro/7f.exe hxxp://sauditechnical-sa.com hxxp://23.249.161.109/wrd/carmen.exe hxxp://23.249.161.109/wrd/mamez.exe FormBook hxxp://www.kwikri.com/.well-known/5sun.exe hxxp://i-razum.ru/th/po.exe hxxp://arasscofood.com/hm/aae.exe hxxp://earthart.org/dev/ers.exe hxxp://arasscofood.com/b/a.exe hxxp://uploadtops.is/1//f/7brb9i0 hxxp://albazrazgroup.com/hrd/roc.exe hxxp://majormixer.com/images/scann.exe hxxp://syscore.duckdns.org/shell/vbc.exe AgentTesla hxxp://23.249.161.109/wrd/jhn.exe hxxp://cafeelcafee.com/cbg/coz.exe hxxp://yihhvva.com/ft/ag.exe hxxp://sunusa.in//img/mine10/phynollllll.exe RemcosRAT hxxp://107.173.219.125/w/dns.exe TrickBot hxxp://bismillah-sourcing.com/sec.bin hxxp://woodbeei.com/leap.bin hxxp://chimachinenow.com/cherry.png hxxp://sabarasourcing.com/mo.bin Ursnif hxxp://tonetdog.com/ecotime\ HawkEye hxxp://uploadtops.is/1//f/0vfsn7d hxxp://indostraits.co.id/znsaaa.exe Heodo hxxp://acantara.ml/emexco/po.exe NetWire hxxp://23.249.161.38/outlokk.exe SmokeLoader hxxp://cloudphotos.party/fogliodati\ njRAT hxxp://secured.monclaer.com/system.123
| 
发表于 2018-7-2 11:33:58
发表于 2018-7-2 15:38:12
楼主