“驅動人生”挖礦病毒再更新,利用“新冠病毒”郵件傳播
新冠疫情在國內的防控形勢已經由陰轉晴,但全球範圍內的爆發還在繼續。在防控成爲常態化的同時,人們更加關注“新冠病毒”的研究與調查。隨着關注度的提升,越來越多的不法分子抓住人們關注新冠病毒的心理,利用新冠熱點話題傳播各類病毒。
近日,亞信安全截獲“驅動人生”無文件挖礦病毒的最新變種文件,此變種能夠繞過老版本的防護措施,僞裝成“新冠病毒”相關郵件,通過給受感染主機的聯繫人發送電子郵件傳播,利用人們對“新冠病毒”的好奇心,誘導收件人點擊郵件附件,導致感染並繼續傳播病毒。
攻擊流程
病毒詳細分析
本次變種的計劃任務是調用PowerShell訪問下載a.jsp:
a.jsp是一段經過多次混淆的腳本代碼:
經過多次去混淆後,得到可讀代碼,如下代碼是獲取系統磁盤信息:
獲取本機IP等網絡信息:
獲取本機系統位數、顯卡類型,以針對不同性能,運行不同挖礦程序:
其中,if.bin爲傳播模塊,其使用多種方法進行傳播,爲了達到最大程度牟取暴利,病毒作者針對不同性能的主機進行定製化感染,通過對感染主機類型進行判斷,選擇運行模塊。
如果是64位主機,則運行m6.bin:
如果感染主機爲64位系統且使用獨立顯卡(N卡/A卡),則運行m6g.bin:
如果感染主機使用64位系統且使用N卡,則下載運行nvd.zip:
傳播模塊if.bin功能分析
掃描內網中存在ms17-010漏洞主機,並記錄信息:
將惡意文件寫入可移動磁盤、網絡驅動器及各類型文件系統中,進而通過上述介質將病毒傳播至其它機器:
終止其它影響此挖礦的相關服務和計劃任務等:
服務池:
計劃任務池:
針對開啓RDP遠程桌面的弱口令爆破,並記錄信息:
掃描存在SMB共享445端口的主機,並記錄信息:
掃描SQL Server的1433端口,對數據庫進行弱口令爆破,以獲取數據庫信息,並記錄:
弱口令爆破使用的工具:
以上爲常規的傳播部分,當任意一種攻擊方式成功後,均會繼續進行挖礦及再次傳播。以下是本次變種的更新部分,即利用Outlook向郵箱聯繫人發送“新冠病毒”等熱點話題相關的郵件進行傳播:
在若干構造路徑中遍歷搜索Outlook,若存在Outlook,則執行if_mail.bin。該模塊爲構造郵件的傳播模塊,同樣是使用已混淆的代碼,經過多次去混淆,得到可讀代碼。
其通過遍歷目錄,獲取郵件聯繫人的郵箱地址:
在郵件池中隨機選取一種文本作爲郵件的主題及正文:
郵件內容從下圖中隨機選取,有的是“新冠病毒”起源等討論度較高的話題,還有的是僞裝成熟人發送郵件,誘導收件人點擊下載:
另外,其會在在郵件中添加附件readme.doc、readme.zip:
附件顯示內容如下:
此文檔附帶CVE-2017-0199漏洞攻擊代碼,運行後會下載並運行mail.jsp:
運行mail.jsp後,即會創建計劃任務,進行挖礦,並繼續下一輪的傳播:
礦池信息:
解決方案
ü 不要點擊或打開來源不明的郵件、附件以及郵件中的鏈接;
ü 採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼;
ü 打開系統自動更新,並檢測更新進行安裝;
ü 針對使用445端口的業務,進行權限限制;
ü 保持安全產品的部署及相關組件的更新;
ü 如無需使用,禁用PowerShell功能;
ü 系統打上MS17-010對應的Microsoft Windows SMB服務器安全更新 (4013389)補丁程序詳細信息請考鏈接: https://technet.microsoft.com/library/security/MS17-010 XP和部分服務器版WindowsServer2003特別安全補丁,詳細信息請參考鏈接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
ü 系統打上CVE-2019-0708 RDP服務遠程代碼執行漏洞補丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
ü 系統打上CVE-2017-8464 LNK 遠程執行代碼漏洞補丁:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
ü 建議安裝如下補丁防止Mimikatz竊取本機密碼:
IOCs
| 文件SHA-1 | 亞信安全檢測名 |
|---|---|
| 1501457cecebf12acc60c7da8585e0a7ab2e928a | Trojan.Win32.POWLOAD.CMPNPD |
| b7b692c1a4138d427fe4fabaeb23f508aab806e8 | Trojan.Win64.SHELMA.SMB1 |
| 68032251ff8266ca289f344b8668fefc5f0a06bb | Trojan.PS1.LEMONDUCK.YPAE-A |
| 0af7a28d9e5a9435db125d7e46e7e20825643ca4 | Trojan.PS1.LEMONDUCK.D |
| 0237988ae9b43baf972177867b49b88db8eea517 | Trojan.PS1.LEMONDUCK.E |
| 0357d1a601d276a13a7e4ad768cac7a439f6bc0b | Possible_SMBCVE20170199 |
| c7e131259652ba8b47514b54594543f7f735be32 | Trojan.JS.FLEMSDUCK.B |
| bd2da0336e3c2f0705245c99e9aa22a19333f0a3 | TROJ_FRS.0NA103EI20 |
URL:
hxxp://d[.]ackng[.]com hxxp://t[.]awcna[.]com hxxp://t[.]tr2q[.]com hxxp://t[.]amynx[.]com
IP:
128[.]199[.]183[.]160
*本文作者:亞信安全,轉載請註明來自FreeBuf.COM
