無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

無檔案病毒攻擊正變得越來越普遍。惡意份子越來越常直接在記憶體中操作,並利用合法工具或服務進行攻擊。在此次案例中,WMI被此數位貨幣採礦病毒作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。

 

作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。

無檔案病毒很難被分析和偵測。所以也並不令人驚訝地有越來越多惡意軟體利用此手法,讓偵測和鑑識都更加困難。趨勢科技最近發現一個新的數位貨幣採礦病毒:TROJ64_COINMINER.QO,也利用了此一技術。

亞太區為重度感染區,台灣排名第三

這隻病毒散播七月首次現身在亞太地區。根據趨勢科技主動式雲端截毒服務  Smart Protection Network 的統計,受此威脅最嚴重的國家前三名依次為:日本、 印尼和台灣。

圖1、2017年7月至8月的TROJ64_COINMINER.QO感染分佈

 

無檔案病毒WMI腳本加上EternalBlue 漏洞,讓此威脅更刁鑽

此威脅利用WMI(Windows管理規範)作為無檔案感染的持久性機制。具體來說,它利用 WMI Standard Event Consumer腳本程式(scrcons.exe)來執行它的腳本。為了進入系統,這惡意軟體利用了EternalBlue永恆之藍漏洞 – MS17-010。無檔案病毒WMI腳本加上EternalBlue漏洞讓此威脅變得既隱蔽又具備持久性。

TROJ64_COINMINER.QO數位貨幣採礦病毒的感染分成幾個階段。感染流程從MS17-010開始;這漏洞被用來在系統安裝和執行一個後門程式(BKDR_FORSHARE.A),它會安裝數個WMI腳本。這些腳本接著會連到C&C伺服器來取得命令和下載數位貨幣採礦病毒及其他元件。

圖2、感染流程

 

利用WMI- Windows的核心元件,達到持久性

WMI是Windows的核心元件,通常被用於日常管理工作,例如部署自動化腳本、在給定時間執行程序/程式、取得已安裝應用程式或硬體的資訊、監視資料夾內的變化和監視磁碟空間等。然而,到了網路犯罪份子手上就會被用在惡意用途,就如趨勢科技在報告了解WMI惡意軟體中所探討的那樣。這案例中所用的技術跟報告內提到的樣本(我們偵測為TROJ_WMIGHOST.A)非常類似。

下面類別在滿足特定條件後會用來觸發惡意WMI腳本:

  • ActiveScriptEventConsumer
  • __EventFilter
  • __IntervalTimerInstruction
  • __AbsoluteTimerInstruction
  • __FilterToConsumerBinding

 

惡意WMI腳本可以從ROOT\subscription名稱空間底下的ActiveScriptEventConsumer類別找到。 ActiveScriptEventConsumer是持久性有效載荷,包含了當條件滿足時會執行的命令。在此例中,它包含在條件滿足時會執行的惡意JScript。

圖3、ActiveScriptEventConsumer類別內的惡意JScript

 

ActiveScriptEventConsumer類別提取Jscript會得到以下腳本:

圖4、在ActiveScriptEventConsumer類別內發現的惡意JScript

 

分析Jscript顯示惡意份子使用多層的C&C伺服器,讓惡意份子可以快速更新適當的伺服器和元件。這會改變下載的惡意檔案,讓攻擊者躲避偵測。

第一級的C&C服務器位在hxxp://wmi[.]mykings[.]top:8888/test[.]html,包含下載數位貨幣採礦病毒及其元件的指示。這也包括了第二和第三級C&C伺服器的地址。我們對上述網址的監測顯示運作仍在進行中。如同感染圖表所示,實際的採礦軟體是由TROJ_COINMINER.AUSWQ下載。它首先被放在hxxp://67[.]21[.]90[.]226:8888/32.zip,可以從網址內容看出:

圖5、第一級C&C伺服器的初始內容

 

最近這網址被更新而改變了目標網址,但所下載的檔案仍然不變。

圖6、C&C伺服器之後的內容

 

這表明運作仍在進行中,因為負責人還在監測和更新他們的C&C伺服器。

 

__EventFilter類別放有觸發事件的條件。檢視__EventFilter類別可以發現它包含了WQL查詢Select * from __timerevent where timerid = “fuckyoumm2_itimer”。這是找尋名為“fuckyoumm2_timer”的timer ID。

圖7、__EventFilter條件

WMI腳本會每3小時觸發一次

__IntervalTimerInstruction類別有出現兩個屬性:TimerIDIntervalBetweenEventsTimerID包含了“fuckyoumm2_itimer”,也就是__EventFilter條件所需要的。IntervalBetweenEvents提供惡意WMI腳本的觸發時間。這IntervalBetweenEvents屬性以毫秒為單位。在此例中,它顯示出間隔為  10800000毫秒,也就是180分鐘(3小時)。這代表惡意WMI腳本會每3小時觸發一次。

圖8、__IntervalTimerInstruction觸發間隔時間

 

可以在__AbsoluteTimerInstruction找到額外的資訊。此類別會導致在特定日期時間生成一個事件。

圖9、__AbsoluteTimerInstruction資訊

 

最後,為了讓所有的類別和實例可以連接彼此,必須要註冊到FilterToConsumerBinding。可以在__FilterToConsumerBinding類別找到以下資訊。

 

ActiveScriptEventConsumer.Name=fuckyoumm2_consumer

__EventFilter.Name =“fuckyoumm2_filter”

圖10、完整__FilterToConsumerBinding註冊

 

__FilterToConsumerBinding類別將__EventFilter實例與__ActiveScriptEventConsumer實例關聯在一起。它會關聯類別和實例彼此來完成循環。它會檢查__EventFilter內有什麼Windows事件要跟__ActiveScriptEventConsumer內的腳本一起執行。

 

IT管理員提升防禦能力的兩件事

 

IT管理員可以從此次攻擊中學習並且提升自己防禦能力的兩件事:

 

  1. 首先,根據需求來限制(和停用)WMI。它需要管理員權限在系統上使用。只准許特定群組的管理員帳號依需要使用WMI將有助於減少WMI攻擊風險。
    並非所有的系統都需要WMI服務。如果一台系統並不需要WMI,可以停用以消除風險。微軟提供了如何完全停止WMI服務的快速指南。微軟還提供了可以追蹤WMI活動的工具。也可以停用SMBv1來降低使用者的風險。
  2. 此次攻擊的進入點是EternalBlue,在2017年3月就已經有了修補程式,但仍有許多電腦有此漏洞。確保作業系統、軟體和其他應用程式更新了最新的修補程式,阻止惡意威脅利用安全間隙來進入系統或網路。

 

結論

無檔案病毒攻擊正變得越來越普遍。惡意份子越來越常直接在記憶體中操作,並利用合法工具或服務進行攻擊。在此次案例中,WMI被此數位貨幣採礦病毒作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。

在如今的威脅環境,只搜尋硬碟上的惡意檔案是遠遠不夠的。要找尋記憶體內的證據也很困難,特別是當攻擊要一定條件才會進行。你經常會擷取到沒有觸發惡意活動的系統記憶體內容。但是Windows內還是有許多地方可以提供蛛絲馬跡,如shimcachemuicacheprefetch。設定Windows事件日誌來監視系統活動也能夠提供更多有用的資訊。

 

趨勢科技解決方案

電子郵件和網頁閘道解決方案,如趨勢科技 Deep Discovery™ Email InspectorInterScan™ Web Security 可以在惡意軟體抵達終端使用者前加以封鎖。在終端層級,趨勢科技 Smart Protection Suites提供了多種功能,如高保真機器學習、網頁信譽評比服務、行為監控和應用程式控制和漏洞防護等,可以最大限度地減少此種威脅影響。趨勢科技Endpoint Sensor也能夠有效地監視與WMI有關的事件,這個產品有助於快速檢查哪些程序或事件是被惡意活動所觸發。

趨勢科技的Deep Discovery Inspector可以偵測惡意C&C連線,並且快速識別網路上受影響的機器,而趨勢科技Deep Security可以透過其IPS技術在網路層封鎖MS17-010漏洞攻擊。

對於中小企業,Worry-Free Pro透過Hosted Email Security提供雲端電子郵件閘道安全防護。它的端點防護也提供許多功能(如行為監控和即時網頁信譽評比技術等)來偵測和封鎖勒索病毒。

 

入侵指標

 

下面是此次攻擊相關的哈希值:

  • 6315657FD523118F51E294E35158F6BD89D032B26FE7749A4DE985EDC81E5F86(偵測為CFG)
  • 674F2DF2CDADAB5BE61271550605163A731A2DF8F4C79732481CAD532F00525D(偵測為AUSWQ)
  • 8c5bb89596cd732af59693b8da021a872fee9b3696927b61d4387b427834c461(偵測為CFG)
  • A095F60FF79470C99752B73F8286B78926BC46EB2168B3ECD4783505A204A3B0(偵測為A)
  • E6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b(偵測為B)
  • F37A0D5F11078EF296A7C032B787F8FA485D73B0115CBD24D62CDF2C1A810625(偵測為QO)

 

下面網址與此次攻擊有關:

  • ftp[.]oo000oo[.]me
  • wmi[.]mykings[.]top:8888

 

 

@原文出處:Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filelessly 作者:趨勢科技(Buddy Tancio)