來源:www.zbtjad.cn    |   發(fā)布時間:2020年10月13日
病毒預警
據(jù)深圳博安特科技了解,近日,亞信安全截獲新型挖礦病毒FakeMsdMiner,該病毒利用“永恒之藍”、“永恒浪漫”等NSA漏洞進行攻擊傳播。該病毒具有遠控功能,可以獲取系統(tǒng)敏感信息。其通過修改HOST文件方式截獲其他挖礦病毒的成果。由于該病毒的挖礦程序偽裝成微軟系統(tǒng)服務msdtc.exe進行啟動,所以亞信安全將其命名為FakeMsdMiner。
FakeMsdMiner挖礦病毒攻擊流程
FakeMsdMiner挖礦病毒詳細分析
內(nèi)網(wǎng)滲透模塊分析(windowsd.exe程序分析)
此程序會在C:WINDOWSFontsMysql目錄釋放多個文件,其中包括BAT腳本處理文件、端口掃描文件、永恒之藍漏洞攻擊文件、payload以及下載程序wget。
mysql.bat腳本文件:該腳本主要功能是刪除感染過該病毒的系統(tǒng)中存在的舊服務,安裝并開啟新的服務MicrosoftMysql,并添加計劃任務cmd.bat。
cmd.bat腳本文件:該腳本主要功能是端口和IP掃描,通過查詢固定地址尋找出口IP和本機IP,獲取IP地址的前2段,拼接后面2段地址,然后掃描445和450端口,將結果保存在ips.txt中,啟動load.bat腳本進行攻擊。
load.bat腳本:該腳本主要功能是運行永恒之藍、永恒浪漫等NSA漏洞攻擊程序,進行內(nèi)網(wǎng)滲透。
挖礦程序模塊(mm.exe文件分析)
該模塊同樣會釋放很多文件,其中包括挖礦程序、注入系統(tǒng)的DLL文件以及遠控木馬程序。通過調(diào)用1.bat腳本,依次啟動和運行這些程序。
通過修改LoadAppInit_DLLs注冊表項,將DLL文件注入到相應的系統(tǒng)中。
將挖礦程序復制到msdtc.exe文件中,偽裝成微軟系統(tǒng)服務文件msdtc,并為其安裝服務啟動門羅幣挖礦,其使用的礦機版本為:XMRig 2.14.1。
將防火墻關閉。
刪除與本次病毒相關的文件temp2.exe(本模塊文件)和temp3.exe(漏洞攻擊模塊母體文件)。
在host文件中追加相關域名指向139.180.214.175,該地址為本次挖礦的礦池IP,挖礦木馬試圖通過將其他礦池映射到自己的礦池對應的ip地址,來劫持其他挖礦程序或木馬的收益。
遠程控制木馬模塊(work.exe文件分析)
首先從資源截取釋放病毒核心程序,然后添加注冊表,開啟服務。研究人員使用資源工具也同樣可以看到,該資源區(qū)段其實就是一個PE文件。
值得注意的是,研究人員在分析時發(fā)現(xiàn)了Gh0st字樣,Gh0st是著名的開源遠程控制程序,推測該遠控模塊很有可能是用Gh0st遠控程序修改而來。
Dump出資源模塊,研究人員分析發(fā)現(xiàn),其主要功能就是接受不同指令執(zhí)行不同的功能。這也是常見的遠控功能。
其中包括錄音功能:
錄制屏幕功能:
在系統(tǒng)中提權,獲取相關進程等信息:
獲取機器窗口信息:
獲取機器驅(qū)動器信息:
獲取機器屏幕信息:
獲取日志文件:
將收集的信息發(fā)送至遠端:
利用系統(tǒng)防火墻高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)。
盡量關閉不必要的文件共享;
采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;
打開系統(tǒng)自動更新,并檢測更新進行安裝。
系統(tǒng)打上MS17-010對應的Microsoft Windows SMB服務器安全更新(4013389)補丁程序。詳細信息請參考鏈接:http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010
亞信安全產(chǎn)品解決方案
亞信安全病毒碼版本15.149.60,云病毒碼版本15.149.71,全球碼版本15.149.00已經(jīng)可以檢測,請用戶及時升級病毒碼版本。
亞信安全OSCE VP / DS DPI開啟以下規(guī)則攔截該漏洞:
1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE- 2017-0146)
1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)
1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)
1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
亞信安全深度發(fā)現(xiàn)設備TDA檢測規(guī)則如下:
2383:CVE-2017-0144-Remote Code Executeion-SMB(Request)
亞信安全Deep Edge已發(fā)布了針對微軟遠程代碼執(zhí)行漏洞CVE-2017-0144的4條IPS規(guī)則:
規(guī)則名稱:微軟MS17 010 SMB遠程代碼執(zhí)行1-4,規(guī)則號:1133635,1133636,1133637,1133638
IOCs
上一條: 金融行業(yè)APT防護解決方案
下一條: 大數(shù)據(jù)安全解決方案