利用一個未修補的資安漏洞發動攻擊已經夠令人擔憂了,然而同時經由八種漏洞攻擊手法來暗中竊取您的企業資產、資料及客戶資訊,則完全是另一個境界。
趨勢科技發現一個專門攻擊網站伺服器、網路磁碟及可卸除式磁碟的最新惡意程式家族,它利用了多種網站伺服器漏洞攻擊手法以及所謂的「字典攻擊」(dictionary attack)。這個惡意程式叫作「BlackSquid」(以其所建立的系統登錄與主要檔案來命名),是一個相當危險的惡意程式,原因有幾點。首先,它在面對所處環境時,會運用反制虛擬環境、反制除錯、反制沙盒模擬分析的技巧來判斷自己是否要繼續執行安裝程序。此外,它也具備類似蠕蟲的行為,能自我複製並四處擴散。同時,它更利用了當今最知名的一些漏洞攻擊手法,如 EternalBlue、DoublePulsar,以及 CVE-2014-6287、CVE-2017-12615、CVE-2017-8464 等三項漏洞的攻擊手法,並且會攻擊三種不同版本 ThinkPHP 的漏洞。
除此之外,網路犯罪集團似乎也在測試該惡意程式當中的一些技巧是否可行,以作為後續發展的參考依據。目前我們所蒐集到的樣本,最終會安裝一個 XMRig 門羅幣 (Monero) 挖礦程式。不過,BlackSquid 未來還可能再結合其他惡意程式。
根據我們的監測資料指出,五月份的最後一週,BlackSquid 攻擊數量出現最多的地區是泰國和美國。
躲避技巧、行為模式與漏洞攻擊
BlackSquid 可經由三種管道來感染系統:經由造訪已感染的網站伺服器而讓使用者電腦遭到感染、經由漏洞攻擊來感染網站伺服器、經由可卸除式磁碟或網路磁碟來感染。當以下至少一個條件成立時,它會立即中斷感染的行為以避免被偵測或攔截:
- 當前使用者名稱與以下常見沙盒模擬分析環境使用者相同時:
- Avira
- COMPUTERNAME
- CWSX
- Kappa
- NMSDBOX
- VBOX
- WILBERT-SC
- XPAMASTC
- XXXX-OS
- cuckoo
- cwsx-
- nmsdbox
- qemu
- sandbox
- virtual
- wilbert-sc
- xpamast-sc
- xxxx-ox
- 磁碟機的機型為以下其中一種時:
- Avira
- Kappa
- VBOX
- Qemu
- Sandbox
- test
- virtual
- vitual
- vmware
- vware
- 有以下其中一種裝置驅動程式、執行程序、動態連結資料庫時:
- Anubis.exe
- api_log.dll
- Cuckoo.exe
- dir_watch.dll
- ImmunityDebugger.exe
- OllyDBG.EXE
- OllyICE.exe
- Sandboxie.exe
- sandboxiedcomlaunch.exe
- sandboxierpcss.exe
- sbieDLL.dll
- SbieDrv.sys
- SbieSvc.exe
- SXIn.dll
- vboxdrv.sys
- VBoxGuestAdditions.sys
- vboxnetadp.sys
- VBoxRes.dll
- Vboxusb.sys
- Vboxusbmon.sys
- windbg.exe
- x64_dbg.exe
除此之外,惡意程式也會檢查程式中斷點的暫存器來看看是否為硬體中斷點,特別是某些旗標。惡意程式會在某個寫死的旗標為 0 時跳過感染的行為,該旗標為 1 時進行感染動作。截至本文撰稿時,該旗標還是 0,意味著這部分的惡意程式碼很可能還在開發階段。
圖 1:硬體中斷點旗標寫死為 0。
只要惡意程式所在的系統與前述三項條件都不符,惡意程式就會繼續進行感染的動作。如同近期一些案例所用的虛擬加密貨幣挖礦惡意程式一樣,BlackSquid 同樣也使用 EternalBlue-DoublePulsar 漏洞攻擊手法 (MS17-010 SMB RCE 漏洞攻擊) 在內部網路擴散。
圖 2:EternalBlue-DoublePulsar 漏洞攻擊指令畫面。
圖 3:針對連接埠 445 和 139 的 Server Message Block (SMB) 漏洞攻擊。
它會將自己複製一份到網路磁碟與可卸除式磁碟,並利用 CVE-2017-8464 重大漏洞來執行其程式。這是一個遠端程式碼執行 (RCE) 漏洞,可讓惡意程式取得本機系統使用者權限。
圖 4:惡意程式利用 CVE-2017-8464 漏洞來執行。
除了經由網路擴散之外,BlackSquid 也會攻擊網站應用程式的漏洞來感染網站伺服器。它會利用 GetTickCount API 函式來隨機產生一個要攻擊的 IP 位址,然後試試看該位址是否有效。如果有效,就會試圖連上該位址並發動漏洞攻擊或字典攻擊。
圖 5:隨機產生 IP 位址來攻擊。
除此之外,惡意程式還會攻擊 ThinkPHP 三個不同版本的漏洞,藉由「mshta.exe」來下載並執行惡意程式的主要元件。不過,我們也發現其中一個漏洞攻擊程式碼當中有錯誤,原本應該是字母「l」的地方,卻誤植為數字「1」,因此該段程式碼應該是沒有作用。
圖 6:BlackSquid 的 ThinkPHP 漏洞攻擊程式碼。
圖 7:駭客的某段 ThinkPHP 漏洞攻擊程式碼當中出現了一個錯誤,使得這段程式碼因而無效。
不僅如此,惡意程式還會發送 HTTP 請求到前述的 IP 位址來攻擊 CVE-2014-6287 漏洞,試圖使用以空字符「%00」為前導的參數列來執行「mshta.exe」(Microsoft HTML Application 主程式)。 一旦攻擊成功,就能讓駭客從遠端執行任意程式。
圖 8:為了攻擊 CVE-2014-6287 漏洞而精心設計的 HTTP 請求。
BlackSquid 還會使用一段程式碼 (snippet) 來發出 HTTP 請求,攻擊 Apache Tomcat 的 CVE-2017-12615 漏洞。此一攻擊手法一旦成功,就能利用網站伺服器來執行任意程式碼,只需透過 HTTP PUT 請求將一個 JavaServer Pages (JSP) 檔案上傳即可。
圖 9:用來發出 HTTP 請求的 Snippet 與 URI。
此外,BlackSquid 也可以上傳一個 JSP 至目標網站伺服器,透過這個 JSP 來執行「mshta.exe」,進而下載並執行惡意程式的主要元件。
圖 11:利用一個 JSP 來執行惡意程式的主要元件。
BlackSquid 還可感染以下網站伺服器路徑底下的 HTML 檔案,在檔案內插入一個惡意的 iframe。
| C:\inetpub\\ |
| C:\xampp\ |
| C:\wamp\ |
| C:\phpStudy\PHPTutorial\WWW\ |
表 1:惡意程式會搜尋以上網站伺服器路徑來尋找要插入惡意 iframe 的網頁。
圖 12:已感染的 HTML 檔案內的 iframe 標籤。
在攻擊過程當中,BlackSquid 還會下載並執行兩個 XMRig 虛擬加密貨幣挖礦程式。兩者都是 64 位元的門羅幣 (XMR) 挖礦程式,一個存放在資源當中,另一個下載到系統上。惡意程式主要用到的是存放在資源內的挖礦程式,但也會使用 WQL 查詢語言來偵測系統是否安裝了 Nvidia 或 AMD 顯示卡,若有,惡意程式就會下載第二個元件到系統內以便用顯示卡的 GPU 來挖礦。
圖 13:XMRig 挖礦程式。
結論
就 BlackSquid 的躲避技巧與攻擊能力來看,算是一個相當精密的惡意程式,使得系統一旦遭到感染就很可能釀成重大損害,因為惡意程式可讓駭客取得系統權限、竊取機密資訊、破壞硬體與軟體功能,或是對企業機構發動攻擊 (甚至是從某個機構攻擊另一個機構)。
不過,根據其部分程式碼仍有錯誤、有些行為會刻意略過而不執行的情況來看,我們認為此惡意程式仍在開發測試階段。駭客集團很可能還在思索該如何開拓更大財源,因為它會在系統上安裝兩份挖礦程式 (不論系統是否安裝了顯示卡)。此外,歹徒也可能希望試著在不投入大量資本的情況下找到可攻擊的目標。首先,其使用的絕大多數漏洞攻擊手法都是地下市場上已公開流傳的。其次,歹徒使用隨機產生的 IP 位址,而非透過更快的方式直接查詢 Shodan 搜尋引擎,除了因為 Shodan 需要訂閱服務而成本較高之外,也可能是為了開拓更多攻擊目標,並且可避免 Shodan 的查詢流量遭到攔截。
所有駭客利用的漏洞,都是已經修補多年且有更新可套用的漏洞。因此,企業機構只需按部就班做好更新與修補,就不會受到影響。我們建議使用者務必持續套用廠商釋出的系統更新。至於老舊軟體的使用者,則最好透過「虛擬修補」來防堵其漏洞。在企業部分,我們建議採用一套多層式防護系統,從閘道至端點全面主動攔截威脅與惡意網址。
趨勢科技解決方案
採用趨勢科技 TippingPoint™ 解決方案的客戶,可透過以下 MainlineDV 過濾規則來防範這項威脅:
- 2383: CVE-2017-0144 – Remote Code Execution – SMB (Request)
- 2390: EQUATED – SMB (Response)
- 2498: CVE-2017-12615 – APACHE TOMCAT Remote Code Execution via JSP Upload – HTTP (Request)
- 2722: CVE-2017-0146 – Remote Code Execution – SMB (Request)
- 2786: ThinkPHP 5x Remote Code Execution – HTTP (Request)
- 2922: CVE-2014-6287 Rejetto HttpFileServer RCE Exploit – HTTP (Request)
- 2923: BLASQUI Webshell – HTTP (Request)
- 3227: CVE-2014-6287 Rejetto HttpFileServer RCE Exploit – HTTP (Request)
- 3228: BLASQUI Webshell – HTTP (Request)
- 3229: ThinkPHP 5x Remote Code Execution – HTTP (Request)
感謝 Jay Bradley Nebre、Jemimah Mae Molina 和 Earle Maui Earnshaw 提供額外的分析資訊。
入侵指標 (IoC):
採用 XGen™ 防護 為基礎的趨勢科技產品已經能夠偵測並攔截以下惡意檔案:
| SHA256 雜湊碼 | 趨勢科技命名 |
| 14f8dc79113b6a2d3f378d2046dbc4a9a7c605ce24cfa5ef9f4e8f5406cfd84d | Worm.Win32.BLASQUI.A |
| 3596e8fa5e19e860a2029fa4ab7a4f95fadf073feb88e4f82b19a093e1e2737c | TROJ_EQUATED.J |
| 4bc1a84ddbbb360e3026e8ec1d0e1eff02a100cf01888e7e2a2ac6a105c71450 | Trojan.Win64.DLOADR.AUSUPP |
| aa259b168ec448349e91a9d560569bdb6fabd811d78888c6080065a549f60cb0 | Trojan.Win32.DLOADR.AUSUPY |
| 4abb241a957061d150d757955aa0e7159253b17a1248eaac13490a811cdabf90 | Coinminer.Win32.MALXMR.TIAOODCI |
| 515caf6b7ff41322099f4c3e3d4846a65768b7f4b3166274afc47cb301eeda98 | Coinminer.Win64.TOOLXMR.AS |
| 8dbd331784e620bb0ca33b8515ca9df9a7a049057b39a2da5242323943d730b4 | |
| 8974da4d200f3ca11aa0bc800f23d7a2be9a3e4e6311221888740c812d489116 | Trojan.Win32.CVE20178464.A |
網址:
hxxp://m9f[.]oss-cn-beijing[.]aliyuncs[.]com/A[.]exe
hxxp[:]//m9f[.]oss-cn-beijing[.]aliyuncs[.]com/Black[.]hta
原文出處:BlackSquid Slithers Into Servers and Drives With 8 Notorious Exploits to Drop XMRig Miner 作者:Johnlery Triunfante