利用PowerShell散播惡意軟體並不件新鮮事;事實上,有許多無檔案病毒(fileless malware)都使用了這種作法。我們經常會看到這類型的威脅,趨勢科技的行為監控技術也能夠加以主動偵測和封鎖。比方說我們有智慧型特徵碼能夠主動偵測惡意PowerShell腳本所建立的排程工作。我們還有網路層規則來偵測SMB漏洞攻擊、暴力破解攻擊和非法虛擬貨幣挖礦( coinmining )連線等惡意活動。
不過這些活動的突然飆升仍然並不常見。根據趨勢科技 Smart Protection Suites反饋資料顯示,最近出現了一波針對中國的攻擊。攻擊活動在5月17日發現,現在仍在進行中;在5月22日到達顛峰後就一直保持穩定。
進一步分析後讓我們認為這些都屬於同一波的攻擊活動,行為模式跟之前用混淆PowerShell腳本(名為PCASTLE)散播門羅幣挖礦病毒的攻擊類似。但前一波的攻擊已經擴散到了日本、澳洲、台灣、越南、香港和印度等其他地區。現在似乎正將目標再度針對中國,跟之前被報導的首波攻擊一樣。
這波新攻擊使用了一些新手法。首先,它用了多個進行不同工作的組件來以各種方式散播虛擬貨幣挖礦病毒。它還使用了多層的無檔案技術,透過惡意PowerShell腳本下載其他病毒(通過排程工作)並只在記憶體內執行。最終的PowerShell腳本也是在記憶體內執行,用來進行所有的惡意行為:SMB漏洞攻擊(EternalBlue(永恆之藍))、暴力破解、傳遞雜湊(pass-the-hash)攻擊及下載其他病毒。
最近一波門羅幣挖礦病毒活動的感染鏈
攻擊鏈
以下是感染鏈的運作方式:
- 一旦散播成功,會執行排程工作或RunOnce註冊表值來下載第一層的PowerShell腳本。
- 第一層PowerShell腳本將連到腳本內的網址列表。它會下載並執行PowerShell命令,並另存成每小時執行的排程工作。
- 排程工作會執行PowerShell腳本來下載並執行第二層PowerShell腳本。在下載和執行第三層PowerShell腳本前,它會先將系統資訊回報給命令和控制(C&C)伺服器。
- 送回C&C伺服器的系統資訊包括電腦名稱、GUID、MAC地址、作業系統、系統架構和時間戳記。
- 發送資訊格式為:{url}?ID={ComputerName}&GUID={guid}&MAC={MacAddr}&OS={OS}&BIT={Architecture}&_T={Timestamp}。
- C&C連線使用包含六個隨機字元的唯一使用者代理:Lemon-Duck-{random}-{random}。
- 第三層PowerShell腳本會根據回報的系統資訊下載虛擬貨幣挖礦模組,然後用另一個公開程式碼Invoke-ReflectivePEInjection將其注入到自己的PowerShell程序。它還會下載負責其他行為(如散播)的PCASTLE腳本組件。這波攻擊使用的散播方式跟之前攻擊類似,但整合到同一個PowerShell腳本(PCASTLE)。它會使用EternalBlue漏洞攻擊、暴力破解和傳遞雜湊(pass-the-hash)等技術。
只要發現可以攻擊的目標,這感染週期就會繼續下去。手動下載PowerShell腳本的格式為:
Invoke-Expression $(New-Object IO.StreamReader ($(New-Object IO.Compression.DelfateStream (&(New-Object IO.MemoryStream(,$([Convert]::FromBase64String(‘<Base64 encoded code>’)))), [IO.Copression.CompressionMode]::Decompress)), [Text.Encoding]::ASCII)).ReadToEnd();
92% 偵測量來自中國
這波活動主要目標是中國,占了92%的偵測量。它似乎並不針對特定行業,可能是因為所用的散播方式。像利用SMB漏洞以及暴力破解弱密碼都不是產業特有的安全問題。幕後駭客似乎並不關心誰會受到影響,只要感染成功就可以。
會使用XMRig作為挖礦模組也並不令人驚訝。門羅幣挖礦演算法並不像其他挖礦程式那樣耗資源,也不需要大量的運算能力。這代表它們可以在不驚動使用者的情況下非法挖掘虛擬貨幣,除非被注意到了某些警訊(如效能問題)。
這波攻擊用了兩個網域(帶有不同網址和子網域)在不同目的上。趨勢科技的網頁信譽評比解決方案已經封鎖了這些:
- t[.]zer2[.]com/{uri} – 用來下載多層的PowerShell腳本和回報系統資訊
- down[.]ackng[.]com – 用來下載挖礦程式
- lpp[.]zer2[.]com:443 – 挖礦程式的礦池
- lpp.]ackng[.]com:443 – 第二礦池
最佳實作
攻擊者針對中國地區的動機尚不清楚。無論如何,這波攻擊顯示出無檔案威脅仍會繼續下去。事實上,趨勢科技預測無檔案技術會成為最常見的威脅技術之一。這工具目前是開放原始碼,代表駭客隨時都可能使用。它也是種合法的系統管理工具,讓攻擊者可以用來躲避或繞過傳統的安全防禦。考慮到這些風險,使用這工具的組織應採用以下最佳實作:
- 實施縱深防禦。部署其他安全機制(如行為監控)來偵測和防止異常行為或未經授權的程式和腳本執行。利用沙箱技術來協助阻止惡意腳本和shellcode,防火牆和入侵防禦系統可以用來封鎖惡意軟體相關的網路流量。
- 修補程式和更新系統。像這波攻擊所針對的漏洞已經有修補程式可用。同時建議在舊系統或嵌入式系統使用虛擬修補技術。
- 限制系統管理工具的使用。有越來越多威脅利用合法工具躲避偵測,所以限制只有需要的人可以使用是相當重要的。
- 強化系統安全性。透過身份認證和加密機制有助於防止對系統進行未經授權的修改,強化帳號認證強度也可以阻止暴力破解和字典攻擊。
趨勢科技的端點解決方案(如具備行為監控能力的趨勢科技 Smart Protection Suites和 Worry-Free Business Security )可以偵測惡意檔案、腳本和郵件以及封鎖所相關惡意網址來保護使用者和企業抵禦這些類型的威脅。
入侵指標(IoC):
下列雜湊值(SHA-256)偵測為Trojan.PS1.PCASTLE.D:
- 90c80135f1d8030437785ce25ab1297e4c895c7f74b92bdb609b66cdb41de8fd
- ef8505ffb1526d36b05da851e50e27f87e35131e40a03095ace1b55b7662de9c
- 33d94fcf397d36ec8df8d55c378b13bb4509f41975ebb835708e3a4cdae749b3
- 1cff6e4e3bac810f22f27ac5e6b13012ebed27bbace1544e38c09fefb2a7e7c9
下列雜湊值(SHA-256)偵測為Coinminer.Win32.MALXMR.PCH:
- 4e4015a1c9c6327fdf18a4e41a0586f5083e055bbc93f260d58da2897bddea45
@原文出處:Mining Malware PCASTLE Zeroes Back In on China, Now Uses Multilayered Fileless Arrival Techniques 作者:Janus Agcaoili(威脅回應工程師)