BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式

利用一個未修補的資安漏洞發動攻擊已經夠令人擔憂了,然而同時經由八種漏洞攻擊手法來暗中竊取您的企業資產、資料及客戶資訊,則完全是另一個境界。

趨勢科技發現一個專門攻擊網站伺服器、網路磁碟及可卸除式磁碟的最新惡意程式家族,它利用了多種網站伺服器漏洞攻擊手法以及所謂的「字典攻擊」(dictionary attack)。這個惡意程式叫作「BlackSquid」(以其所建立的系統登錄與主要檔案來命名),是一個相當危險的惡意程式,原因有幾點。首先,它在面對所處環境時,會運用反制虛擬環境、反制除錯、反制沙盒模擬分析的技巧來判斷自己是否要繼續執行安裝程序。此外,它也具備類似蠕蟲的行為,能自我複製並四處擴散。同時,它更利用了當今最知名的一些漏洞攻擊手法,如 EternalBlueDoublePulsar,以及 CVE-2014-6287CVE-2017-12615CVE-2017-8464 等三項漏洞的攻擊手法,並且會攻擊三種不同版本 ThinkPHP 的漏洞。

除此之外,網路犯罪集團似乎也在測試該惡意程式當中的一些技巧是否可行,以作為後續發展的參考依據。目前我們所蒐集到的樣本,最終會安裝一個 XMRig 門羅幣 (Monero) 挖礦程式。不過,BlackSquid 未來還可能再結合其他惡意程式。

根據我們的監測資料指出,五月份的最後一週,BlackSquid 攻擊數量出現最多的地區是泰國和美國。

躲避技巧、行為模式與漏洞攻擊

BlackSquid 可經由三種管道來感染系統:經由造訪已感染的網站伺服器而讓使用者電腦遭到感染、經由漏洞攻擊來感染網站伺服器、經由可卸除式磁碟或網路磁碟來感染。當以下至少一個條件成立時,它會立即中斷感染的行為以避免被偵測或攔截:

  1. 當前使用者名稱與以下常見沙盒模擬分析環境使用者相同時:
  • Avira
  • COMPUTERNAME
  • CWSX
  • Kappa
  • NMSDBOX
  • VBOX
  • WILBERT-SC
  • XPAMASTC
  • XXXX-OS
  • cuckoo
  • cwsx-
  • nmsdbox
  • qemu
  • sandbox
  • virtual
  • wilbert-sc
  • xpamast-sc
  • xxxx-ox
  • 磁碟機的機型為以下其中一種時:
  • Avira
  • Kappa
  • VBOX
  • Qemu
  • Sandbox
  • test
  • virtual
  • vitual
  • vmware
  • vware
  • 有以下其中一種裝置驅動程式、執行程序、動態連結資料庫時:
  • Anubis.exe
  • api_log.dll
  • Cuckoo.exe
  • dir_watch.dll
  • ImmunityDebugger.exe
  • OllyDBG.EXE
  • OllyICE.exe
  • Sandboxie.exe
  • sandboxiedcomlaunch.exe
  • sandboxierpcss.exe
  • sbieDLL.dll
  • SbieDrv.sys
  • SbieSvc.exe
  • SXIn.dll
  • vboxdrv.sys
  • VBoxGuestAdditions.sys
  • vboxnetadp.sys
  • VBoxRes.dll
  • Vboxusb.sys
  • Vboxusbmon.sys
  • windbg.exe
  • x64_dbg.exe

除此之外,惡意程式也會檢查程式中斷點的暫存器來看看是否為硬體中斷點,特別是某些旗標。惡意程式會在某個寫死的旗標為 0 時跳過感染的行為,該旗標為 1 時進行感染動作。截至本文撰稿時,該旗標還是 0,意味著這部分的惡意程式碼很可能還在開發階段。

圖 1:硬體中斷點旗標寫死為 0。

只要惡意程式所在的系統與前述三項條件都不符,惡意程式就會繼續進行感染的動作。如同近期一些案例所用的虛擬加密貨幣挖礦惡意程式一樣,BlackSquid 同樣也使用 EternalBlue-DoublePulsar 漏洞攻擊手法 (MS17-010 SMB RCE 漏洞攻擊) 在內部網路擴散。

圖 2:EternalBlue-DoublePulsar 漏洞攻擊指令畫面。

圖 3:針對連接埠 445 和 139 的 Server Message Block (SMB) 漏洞攻擊。

它會將自己複製一份到網路磁碟與可卸除式磁碟,並利用 CVE-2017-8464 重大漏洞來執行其程式。這是一個遠端程式碼執行 (RCE) 漏洞,可讓惡意程式取得本機系統使用者權限。

圖 4:惡意程式利用  CVE-2017-8464 漏洞來執行。

除了經由網路擴散之外,BlackSquid 也會攻擊網站應用程式的漏洞來感染網站伺服器。它會利用 GetTickCount API 函式來隨機產生一個要攻擊的 IP 位址,然後試試看該位址是否有效。如果有效,就會試圖連上該位址並發動漏洞攻擊或字典攻擊。

圖 5:隨機產生 IP 位址來攻擊。

除此之外,惡意程式還會攻擊 ThinkPHP 三個不同版本的漏洞,藉由「mshta.exe」來下載並執行惡意程式的主要元件。不過,我們也發現其中一個漏洞攻擊程式碼當中有錯誤,原本應該是字母「l」的地方,卻誤植為數字「1」,因此該段程式碼應該是沒有作用。

圖 6:BlackSquid 的 ThinkPHP 漏洞攻擊程式碼。

圖 7:駭客的某段 ThinkPHP 漏洞攻擊程式碼當中出現了一個錯誤,使得這段程式碼因而無效。

不僅如此,惡意程式還會發送 HTTP 請求到前述的 IP 位址來攻擊 CVE-2014-6287 漏洞,試圖使用以空字符「%00」為前導的參數列來執行「mshta.exe」(Microsoft HTML Application 主程式)。 一旦攻擊成功,就能讓駭客從遠端執行任意程式。

圖 8:為了攻擊 CVE-2014-6287 漏洞而精心設計的 HTTP 請求。

BlackSquid 還會使用一段程式碼 (snippet) 來發出 HTTP 請求,攻擊 Apache Tomcat 的 CVE-2017-12615 漏洞。此一攻擊手法一旦成功,就能利用網站伺服器來執行任意程式碼,只需透過 HTTP PUT 請求將一個 JavaServer Pages (JSP) 檔案上傳即可。

圖 9:用來發出 HTTP 請求的 Snippet 與 URI。

圖 10:Snippet 的 HTTP訊息內容。

此外,BlackSquid 也可以上傳一個 JSP 至目標網站伺服器,透過這個 JSP 來執行「mshta.exe」,進而下載並執行惡意程式的主要元件。

圖 11:利用一個 JSP 來執行惡意程式的主要元件。

BlackSquid 還可感染以下網站伺服器路徑底下的 HTML 檔案,在檔案內插入一個惡意的 iframe。

C:\inetpub\\
C:\xampp\
C:\wamp\
C:\phpStudy\PHPTutorial\WWW\

表 1:惡意程式會搜尋以上網站伺服器路徑來尋找要插入惡意 iframe 的網頁。

圖 12:已感染的 HTML 檔案內的 iframe 標籤。

在攻擊過程當中,BlackSquid 還會下載並執行兩個 XMRig 虛擬加密貨幣挖礦程式。兩者都是 64 位元的門羅幣 (XMR) 挖礦程式,一個存放在資源當中,另一個下載到系統上。惡意程式主要用到的是存放在資源內的挖礦程式,但也會使用 WQL 查詢語言來偵測系統是否安裝了 Nvidia 或 AMD 顯示卡,若有,惡意程式就會下載第二個元件到系統內以便用顯示卡的 GPU 來挖礦。

圖 13:XMRig 挖礦程式。

結論

就 BlackSquid 的躲避技巧與攻擊能力來看,算是一個相當精密的惡意程式,使得系統一旦遭到感染就很可能釀成重大損害,因為惡意程式可讓駭客取得系統權限、竊取機密資訊、破壞硬體與軟體功能,或是對企業機構發動攻擊 (甚至是從某個機構攻擊另一個機構)。

不過,根據其部分程式碼仍有錯誤、有些行為會刻意略過而不執行的情況來看,我們認為此惡意程式仍在開發測試階段。駭客集團很可能還在思索該如何開拓更大財源,因為它會在系統上安裝兩份挖礦程式 (不論系統是否安裝了顯示卡)。此外,歹徒也可能希望試著在不投入大量資本的情況下找到可攻擊的目標。首先,其使用的絕大多數漏洞攻擊手法都是地下市場上已公開流傳的。其次,歹徒使用隨機產生的 IP 位址,而非透過更快的方式直接查詢 Shodan 搜尋引擎,除了因為 Shodan 需要訂閱服務而成本較高之外,也可能是為了開拓更多攻擊目標,並且可避免 Shodan 的查詢流量遭到攔截。

所有駭客利用的漏洞,都是已經修補多年且有更新可套用的漏洞。因此,企業機構只需按部就班做好更新與修補,就不會受到影響。我們建議使用者務必持續套用廠商釋出的系統更新。至於老舊軟體的使用者,則最好透過「虛擬修補」來防堵其漏洞。在企業部分,我們建議採用一套多層式防護系統,從閘道至端點全面主動攔截威脅與惡意網址。

趨勢科技解決方案

採用趨勢科技  TippingPoint™  解決方案的客戶,可透過以下  MainlineDV  過濾規則來防範這項威脅:

  • 2383: CVE-2017-0144 – Remote Code Execution – SMB (Request)
  • 2390: EQUATED – SMB (Response)
  • 2498: CVE-2017-12615 – APACHE TOMCAT Remote Code Execution via JSP Upload – HTTP (Request)
  • 2722: CVE-2017-0146 – Remote Code Execution – SMB (Request)
  • 2786: ThinkPHP 5x Remote Code Execution – HTTP (Request)
  • 2922: CVE-2014-6287 Rejetto HttpFileServer RCE Exploit – HTTP (Request)
  • 2923: BLASQUI Webshell – HTTP (Request)
  • 3227: CVE-2014-6287 Rejetto HttpFileServer RCE Exploit – HTTP (Request)
  • 3228: BLASQUI Webshell – HTTP (Request)
  • 3229: ThinkPHP 5x Remote Code Execution – HTTP (Request)

感謝 Jay Bradley Nebre、Jemimah Mae Molina 和 Earle Maui Earnshaw 提供額外的分析資訊。

入侵指標 (IoC):

採用  XGen™ 防護 為基礎的趨勢科技產品已經能夠偵測並攔截以下惡意檔案:

SHA256 雜湊碼 趨勢科技命名
14f8dc79113b6a2d3f378d2046dbc4a9a7c605ce24cfa5ef9f4e8f5406cfd84d Worm.Win32.BLASQUI.A
3596e8fa5e19e860a2029fa4ab7a4f95fadf073feb88e4f82b19a093e1e2737c TROJ_EQUATED.J
4bc1a84ddbbb360e3026e8ec1d0e1eff02a100cf01888e7e2a2ac6a105c71450 Trojan.Win64.DLOADR.AUSUPP
aa259b168ec448349e91a9d560569bdb6fabd811d78888c6080065a549f60cb0 Trojan.Win32.DLOADR.AUSUPY
4abb241a957061d150d757955aa0e7159253b17a1248eaac13490a811cdabf90 Coinminer.Win32.MALXMR.TIAOODCI
515caf6b7ff41322099f4c3e3d4846a65768b7f4b3166274afc47cb301eeda98 Coinminer.Win64.TOOLXMR.AS
8dbd331784e620bb0ca33b8515ca9df9a7a049057b39a2da5242323943d730b4
8974da4d200f3ca11aa0bc800f23d7a2be9a3e4e6311221888740c812d489116 Trojan.Win32.CVE20178464.A

網址
hxxp://m9f[.]oss-cn-beijing[.]aliyuncs[.]com/A[.]exe
hxxp[:]//m9f[.]oss-cn-beijing[.]aliyuncs[.]com/Black[.]hta

原文出處:BlackSquid Slithers Into Servers and Drives With 8 Notorious Exploits to Drop XMRig Miner 作者:Johnlery Triunfante