先進的針對性攻擊工具被用來散播挖礦病毒
使用進階工具來散播常見惡意軟體是我們最近所觀察到的趨勢。 近日趨勢科技發現一波針對全球企業散播挖礦病毒的攻擊活動。
這波攻擊活動有一些特別的地方。首先是它只針對企業,另外是所有的受感染電腦都運行過時版本的Windows作業系統,很容易遭受已修補的漏洞攻擊。
網路犯罪分子似乎都會從針對性目標攻擊(Targeted attack )的攻擊工具包取材,好讓惡意活動取得最大的效果,像是挖礦劫持(Cryptojacking)。
一般網路犯罪和針對性目標攻擊(Targeted attack )的差別之一是意圖:前者的主要動機大多數是要馬上得到金錢上的好處,但後者常會有其他目的,像是竊取智慧產權。此外,攻擊者心態也可能相當不同。一般網路犯罪通常會想盡可能地攻擊更多對象,來大量散播勒索病毒 Ransomware (勒索軟體/綁架病毒)、挖礦( coinmining )病毒或銀行木馬等,但針對性目標攻擊(Targeted attack )則需要計劃如何滲透並取得企業網路的完全存取權限,同時儘可能保持不被發現。
此外,針對性攻擊通常會經過大量的規劃,加上製作或使用高度特製化的工具。而一般網路犯罪可能沒有能力或資源來規劃複雜的攻擊活動,因此會從地下市場取得通用工具。
趨勢科技最近發現攻擊者使用來自Equation駭客集團的工具(由Shadow Brokers公開流出),大量入侵使用過時版本Windows作業系統的機器。
使用進階工具來散播常見惡意軟體是我們最近所觀察到的趨勢。趨勢科技在本月初也發現了一個稱為BlackSquid的惡意軟體家族,它會用已知的漏洞攻擊碼來散播挖礦病毒。本文所討論的調查結果證實了我們的懷疑,就是網路犯罪分子新手現在也可以輕易地取得“軍事級”工具。
近日我們發現一波針對全球企業散播虛擬貨幣挖礦病毒的攻擊活動。這波攻擊活動有一些特別的地方。首先是它只針對企業,目前沒有看到針對個人使用者的案例。另外是所有的受感染電腦都運行過時版本的Windows作業系統,很容易遭受已修補的漏洞攻擊。此外,這波攻擊活動還利用Equation駭客集團的工具來散播勒索病毒 Ransomware (勒索軟體/綁架病毒)、挖礦( coinmining )病毒到世界各地的企業。
受感染系統內發現了許多工具,包含使用EternalBlue(永恆之藍)的後門程式
我們在受感染電腦所偵測到的一個檔案似乎是攻擊元凶 – Vools(Trojan.Win32.VOOLS.SMAL01)的一隻變種,這是個使用EternalBlue(永恆之藍)的後門程式,用來散布虛擬貨幣挖礦病毒和其他惡意軟體。我們還在受感染系統內發現了許多其他工具,主要是密碼擷取工具Mimikatz和Equation駭客集團工具。最終會部署的惡意軟體是虛擬貨幣採礦病毒。根據趨勢科技 Smart Protection Suites的資料,可以確認所有的受感染系統似乎都位在被入侵企業的內部網段。
雖然我們無法確認感染起因,但我們在研究過程中找到一個似乎是安裝程式的樣本,它會發送HTTP請求到以下伺服器:
- log.boreye[.]com/ipc.html?mac={MAC address}&ip={IP address}&host={host}&tick=6min&c=error_33
但在本文撰寫時,我們已經無法從網址取得任何挖礦病毒。而且該網站也已經離線,可能被幕後攻擊者移到不同的位置。
我們確認了所有受感染電腦主要Windows資料夾內都有的檔案:
- C:\Windows\NetworkDistribution\Diagnostics.txt
使用.TXT副檔名只是種避免被偵測的伎巧。這其實是個包含多個檔案(Equation工具包)的ZIP壓縮檔,如下圖所示(可以看到許多熟悉的名稱,如EternalBlue和EternalChampion)。而且我們看到會被植入目標電腦的DLL檔符合同一GitHub儲存庫所流出資料夾的內容。
圖1. 位於zip壓縮檔內的檔案
所有的檔案都可以讓人在網路上免費取用。雖然所攻擊的漏洞已經被修補,但仍可以用來攻擊沒有更新的系統。
80多個開放原始碼XMRig(門羅幣)挖礦程式的變種,大量地被全球網路犯罪分子所使用
從趨勢科技2019年3月開始追蹤以來,發現了80多個被用在這波攻擊的不同檔案(根據雜湊值)。這些檔案都是開放原始碼XMRig(門羅幣)挖礦程式的變種,大量地被全球網路犯罪分子所使用。這些變種被偵測為Coinminer.Win32.MALXMR.SMBM4或Coinminer.Win64.TOOLXMR.SMA。
我們發現的樣本設定出現了許多挖礦伺服器,如下所示:
- coco[.]miniast[.]com:443
- iron[.]tenchier[.]com:443
- cake[.]pilutce[.]com:443
- pool[.]boreye[.]com:53
還有一個(雖然我們沒有樣本)是log.miniast[.]com。
有意思的是,前三個網域是在2019年3月17日註冊,這也是趨勢科技觀察到此攻擊活動開始的時間。這些網域是匿名註冊,而在2018年10月17日註冊的舊網域boreye[.]com所用的電子郵件地址只拿來註冊此一網域。連接挖礦伺服器需要使用者憑證,但只要密碼就可以取得新的雜湊值。
圖2顯示了挖礦病毒所使用的設定檔。
注意:已經移除了密碼。
圖2. 虛擬貨幣挖礦病毒所用的設定檔截圖
如圖2所示,所用的使用者名稱都很相似。此外它們都用相同的密碼,顯示是同一個攻擊者在處理這些樣本。挖礦病毒檔名都是dllhostex.exe。此外,這個檔案都位在受感染Windows電腦上的“system32”或“SysWOW64”資料夾(看是哪種挖礦病毒變種)。
中國是重災區 過時或未修補的系統是主要目標
這波攻擊活動似乎很發散,目標散布世界各地。中國和印度等人口眾多的國家也有最多被針對的組織。這似乎顯示出攻擊者沒有在挑選受害者,而是用亂槍打鳥的方式,通過被入侵組織的內部網路來大肆擴散,而非尋求一般個人做為目標。
圖3. 被針對的國家/地區分布
這波攻擊活動還針對了各個產業,包括教育、通信和媒體、銀行、製造業和科技業。同樣地,攻擊者並不針對某個產業,目標放在所有使用過時或未修補的系統。大多數(約83%,包含所有版本)受感染電腦都是運行Windows Server 2003 SP2。其次是Windows 7 Ultimate Professional SP1和Windows XP Professional。
犯罪工具可在地下網路犯罪市場內輕易取得,兼售即時可用的挖礦伺服器
雖然部署大型攻擊活動需要一些技巧,但幾乎不需要用到從Equation駭客集團流出的複雜工具。這些工具可以在地下網路犯罪市場內輕易取得,還一併出售即時可用的挖礦伺服器,就算是一般的網路犯罪分子也能夠用這些工具進行看來普通的網路犯罪活動。正如我們在「工業4.0時代的安全防護:處理針對智慧製造環境的威脅」報告中所探討的,許多產業都還在使用明顯過時的系統,讓它們很容易遭受攻擊,儘管這些漏洞已經有了修補程式。
自動攻擊平台的存在以及在被入侵網路內使用橫向移動技術來散播像虛擬貨幣挖礦病毒和勒索病毒等威脅,代表了有漏洞系統就算是位在內部網路也已經成為網路犯罪分子容易得手的目標。我們在本文中所討論的攻擊活動只是我們近幾個月來所觀察到眾多活動之一。可以預期會看到更多非專業攻擊者利用專業工具來讓攻擊更有效。鑑於我們所觀察到的情況,我們必須再次強調企業必須盡快更新系統來最小化風險並防止這類型的威脅影響其系統。
趨勢科技解決方案
趨勢科技端點解決方案(如趨勢科技Smart Protection Suites和 Worry-Free Business Security )可以偵測惡意檔案和封鎖所有相關惡意網址來保護使用者和企業抵禦虛擬貨幣挖礦病毒等威脅。企業還可以用趨勢科技趨勢科技的Deep Discovery Inspector來監控所有端口和網路協定以識別進階威脅。
入侵指標(IoC)
網路入侵指標
- miniast[.]com:443
- tenchier[.]com:443
- boreye[.]com:80
- boreye[.]com:53
- pilutce[.]com:443
挖礦病毒樣本雜湊值
| SHA256 | 偵測名稱 |
| dd21a9ce1d87e3a7f9f2a592ec9dd642ca19aee4a60502c8df21d9c25f9acf86 | Trojan.Win64.VOOLS.AF |
| 2af73c8603e1d51661b0fffc09be306797558204bcbd4f95dd2dfe8363901606 | Trojan.Win64.VOOLS.AB |
| ed2febf310ae90739002b9ddb07a29d0b2c8e92462ae4a0a6dcc19cc537ddef3 | Trojan.Win64.VOOLS.AB |
| 007f81debf1c984c5b4d5b84d6a8c06bcdf84d1a4cccdd9633e45de35015faf3 | PE_VIRUX.R-3 |
| 125f93883ccccb3c33964c8bcdd17b409b53fbc44de1e3b4afd7dfe79aa358cd | Coinminer.Win64.TOOLXMR.SMA |
| 1ac26e86540610d1293c421ed05c13cd6ed51759be153c45d194ff7552c88855 | Coinminer.Win64.TOOLXMR.SMA |
| 4c3575c7b6c530603e4cd76c7dcaed12fc5ebadbf4d4d6b46352eb08458683e8 | Coinminer.Win64.TOOLXMR.SMA |
| 4e46cec7f6e7fa13c10e808f0da104a8c810b7ef17c40d0e9a908453be87e7f4 | Coinminer.Win64.TOOLXMR.SMA |
| 5472f9ba3bc623450cc208669dacddb1b6a73ffe4dc705b85cf41637070fda28 | Coinminer.Win64.TOOLXMR.SMA |
| 572c3943f70a3e362d9bf195ce37cec68074235eb1abba9f0cdbb91f5231a572 | Coinminer.Win64.TOOLXMR.SMA |
| 5db45fa654910495592cf1ca00d7ef537708c38c4803d10d89eaa0ddba0e7d8c | Coinminer.Win64.TOOLXMR.SMA |
| 6ee5c5724ecc70f77aadcf00c77829e5313f44c61b2720113ada0c8263ac662c | Coinminer.Win64.TOOLXMR.SMA |
| 7ced0990ac94f36fab21821395f543f3a06be486c9f34cdc137874912573fb27 | Coinminer.Win64.TOOLXMR.SMA |
| 7f5bddeb0c9ecde4d64ddac8b046859fb1627811d96c29dfa2b88102740571ce | Coinminer.Win64.TOOLXMR.SMA |
| 94af094fc02cfe85a80f2f90d408f9598f9d77def36155e16a90e2bd8f8fdcce | Coinminer.Win64.TOOLXMR.SMA |
| 975dc8ecda9a9c15d19c4d9d67f961366d2f0ac1074b5eb5d3b36e653092a6a3 | Coinminer.Win64.TOOLXMR.SMA |
| bafe63e8fd76f1c9010137e6cd5137655ea12ab5c25d0b86700627b2ebad2be0 | Coinminer.Win64.TOOLXMR.SMA |
| ce5025a484b3e2481e248dee404e6d321b6d7f58bae77b284ec9e602672e6a10 | Coinminer.Win64.TOOLXMR.SMA |
| ce8cb7c8dc29b9e4feab463fdf53b569b69e6a5c4ab0e50513b264563d74a6ac | Coinminer.Win64.TOOLXMR.SMA |
| 9af55d177e7d7628dc63f7753de4780031073098e1c674e619826cb97c190744 | Coinminer.Win64.TOOLXMR.AR |
| f81dd3e5b0507d78815f5909ab442545cb3f5262397abd89b5947e1e7b3fef12 | Coinminer.Win64.TOOLXMR.AQ |
| 35d10df58e340b6a7d69e590852b84a6a02f774306c3eb29e60e6b24740456eb | Coinminer.Win32.MALXMR.SMBM4 |
| 13800d1075e56f9bd0d87b2e85555040233e8b2ec679770101d046ffa4e39582 | Coinminer.Win32.MALXMR.SMBM4 |
| 199e0419622e108ffdd7c9de571931d9aedc4f980a602766c0fdcb17bdddfc2a | Coinminer.Win32.MALXMR.SMBM4 |
| 1bc9762470423393521d9aa64d505501d201d3cb50c8e6576d4381590b090d75 | Coinminer.Win32.MALXMR.SMBM4 |
| 2d6a5eb8a78cddee8ce90321aab80f85784b11a87b00fde75c4c457998a5aebd | Coinminer.Win32.MALXMR.SMBM4 |
| 3638ee8c0153b2763eb36246d9ffe4f7ec6d1f7e76876fb6f579c45e6e55e260 | Coinminer.Win32.MALXMR.SMBM4 |
| 469e7ac4b5bad89e305e1e7ec65773844f3d639e84476da4b1fdf442a7c28504 | Coinminer.Win32.MALXMR.SMBM4 |
| 59e3cf8f342a2bb5ce22bb03f8671568f68751f807002f9b329ed58e12a8831c | Coinminer.Win32.MALXMR.SMBM4 |
| 5cd9ff29454e84923d4178484ecfb3bc48561d4401fa94b98f9d2693d47a740a | Coinminer.Win32.MALXMR.SMBM4 |
| 6173542183c304ac2efc0348df799c1e3dea508cceaaac461bd509dc436d4edf | Coinminer.Win32.MALXMR.SMBM4 |
| 82c0b0fbb0f44ad2bc46c8b105f167f0feadf936ff811f97aab3a9a6cccc2fb2 | Coinminer.Win32.MALXMR.SMBM4 |
| 87488d9ad54b88e5488c18d8de6a338eaf4fe7bdeec2df7eeaf90380de1533b6 | Coinminer.Win32.MALXMR.SMBM4 |
| 8d402a3871bada94d84dd8a7c29361f27b75ac37394f6de059b06afb340fe3d6 | Coinminer.Win32.MALXMR.SMBM4 |
| 9853e7bd0906cf92d2767fa55ee0a645f23099b37d59654d3c388d897a19fb1e | Coinminer.Win32.MALXMR.SMBM4 |
| af21fb86d48b60ee58084570fba12cf3dbc3992c713421a265cd451c169967d2 | Coinminer.Win32.MALXMR.SMBM4 |
| cf60518d2a22631d0539964ff97bc396b44ef5f6979f7a9e59e03c89598db0bf | Coinminer.Win32.MALXMR.SMBM4 |
| ec85ec44771401d4a71cb7f8bc3597d55ec02b84178464ab33161c77c4f51f0b | Coinminer.Win32.MALXMR.SMBM4 |
| ecfcd390712f6ac57b822ef519063f8e9151e90549e245e4e2a70d02ff584634 | Coinminer.Win32.MALXMR.SMBM4 |
@原文出處:Advanced Targeted Attack Tools Found Being Used to Distribute Cryptocurrency Miners 作者:Cedric Pernet,Vladimir Kropotov和Fyodor Yarochkin