新手駭客也可輕易取得“軍事級”工具,攻擊使用過時 Windows 系統的企業

先進的針對性攻擊工具被用來散播挖礦病毒

使用進階工具來散播常見惡意軟體是我們最近所觀察到的趨勢。 近日趨勢科技發現一波針對全球企業散播挖礦病毒的攻擊活動。

這波攻擊活動有一些特別的地方。首先是它只針對企業,另外是所有的受感染電腦都運行過時版本的Windows作業系統,很容易遭受已修補的漏洞攻擊。

網路犯罪分子似乎都會從針對性目標攻擊(Targeted attack )的攻擊工具包取材,好讓惡意活動取得最大的效果,像是挖礦劫持(Cryptojacking)。

新手駭客也可輕易取得“軍事級”工具,攻擊使用過時 Windows 系統的企業

一般網路犯罪和針對性目標攻擊(Targeted attack )的差別之一是意圖:前者的主要動機大多數是要馬上得到金錢上的好處,但後者常會有其他目的,像是竊取智慧產權。此外,攻擊者心態也可能相當不同。一般網路犯罪通常會想盡可能地攻擊更多對象,來大量散播勒索病毒 Ransomware (勒索軟體/綁架病毒)、挖礦( coinmining )病毒或銀行木馬等,但針對性目標攻擊(Targeted attack )則需要計劃如何滲透並取得企業網路的完全存取權限,同時儘可能保持不被發現。

此外,針對性攻擊通常會經過大量的規劃,加上製作或使用高度特製化的工具。而一般網路犯罪可能沒有能力或資源來規劃複雜的攻擊活動,因此會從地下市場取得通用工具。

趨勢科技最近發現攻擊者使用來自Equation駭客集團的工具(由Shadow Brokers公開流出),大量入侵使用過時版本Windows作業系統的機器。

使用進階工具來散播常見惡意軟體是我們最近所觀察到的趨勢。趨勢科技在本月初也發現了一個稱為BlackSquid的惡意軟體家族,它會用已知的漏洞攻擊碼來散播挖礦病毒。本文所討論的調查結果證實了我們的懷疑,就是網路犯罪分子新手現在也可以輕易地取得“軍事級”工具。

近日我們發現一波針對全球企業散播虛擬貨幣挖礦病毒的攻擊活動。這波攻擊活動有一些特別的地方。首先是它只針對企業,目前沒有看到針對個人使用者的案例。另外是所有的受感染電腦都運行過時版本的Windows作業系統,很容易遭受已修補的漏洞攻擊。此外,這波攻擊活動還利用Equation駭客集團的工具來散播勒索病毒 Ransomware (勒索軟體/綁架病毒)、挖礦( coinmining )病毒到世界各地的企業。

⊚延伸閱讀:《 資安漫畫》念舊不是好事讓過時的系統遠離你的電腦和智慧型手機

受感染系統內發現了許多工具,包含使用EternalBlue(永恆之藍)的後門程式

我們在受感染電腦所偵測到的一個檔案似乎是攻擊元凶 – Vools(Trojan.Win32.VOOLS.SMAL01)的一隻變種,這是個使用EternalBlue(永恆之藍)的後門程式,用來散布虛擬貨幣挖礦病毒和其他惡意軟體。我們還在受感染系統內發現了許多其他工具,主要是密碼擷取工具Mimikatz和Equation駭客集團工具。最終會部署的惡意軟體是虛擬貨幣採礦病毒。根據趨勢科技 Smart Protection Suites的資料,可以確認所有的受感染系統似乎都位在被入侵企業的內部網段。

雖然我們無法確認感染起因,但我們在研究過程中找到一個似乎是安裝程式的樣本,它會發送HTTP請求到以下伺服器:

  • log.boreye[.]com/ipc.html?mac={MAC address}&ip={IP address}&host={host}&tick=6min&c=error_33

但在本文撰寫時,我們已經無法從網址取得任何挖礦病毒。而且該網站也已經離線,可能被幕後攻擊者移到不同的位置。

我們確認了所有受感染電腦主要Windows資料夾內都有的檔案:

  • C:\Windows\NetworkDistribution\Diagnostics.txt

使用.TXT副檔名只是種避免被偵測的伎巧。這其實是個包含多個檔案(Equation工具包)的ZIP壓縮檔,如下圖所示(可以看到許多熟悉的名稱,如EternalBlue和EternalChampion)。而且我們看到會被植入目標電腦的DLL檔符合同一GitHub儲存庫所流出資料夾的內容。

 Figure 1. The files located inside the zip archive

圖1. 位於zip壓縮檔內的檔案

所有的檔案都可以讓人在網路上免費取用。雖然所攻擊的漏洞已經被修補,但仍可以用來攻擊沒有更新的系統。

80多個開放原始碼XMRig(門羅幣)挖礦程式的變種,大量地被全球網路犯罪分子所使用

趨勢科技2019年3月開始追蹤以來,發現了80多個被用在這波攻擊的不同檔案(根據雜湊值)。這些檔案都是開放原始碼XMRig(門羅幣)挖礦程式的變種,大量地被全球網路犯罪分子所使用。這些變種被偵測為Coinminer.Win32.MALXMR.SMBM4或Coinminer.Win64.TOOLXMR.SMA。

我們發現的樣本設定出現了許多挖礦伺服器,如下所示:

  • coco[.]miniast[.]com:443
  • iron[.]tenchier[.]com:443
  • cake[.]pilutce[.]com:443
  • pool[.]boreye[.]com:53

還有一個(雖然我們沒有樣本)是log.miniast[.]com。

有意思的是,前三個網域是在2019年3月17日註冊,這也是趨勢科技觀察到此攻擊活動開始的時間。這些網域是匿名註冊,而在2018年10月17日註冊的舊網域boreye[.]com所用的電子郵件地址只拿來註冊此一網域。連接挖礦伺服器需要使用者憑證,但只要密碼就可以取得新的雜湊值。

圖2顯示了挖礦病毒所使用的設定檔。

 Figure 2. Screenshot of the configurations used by the cryptocurrency miner binaries

注意:已經移除了密碼。

圖2. 虛擬貨幣挖礦病毒所用的設定檔截圖

如圖2所示,所用的使用者名稱都很相似。此外它們都用相同的密碼,顯示是同一個攻擊者在處理這些樣本。挖礦病毒檔名都是dllhostex.exe。此外,這個檔案都位在受感染Windows電腦上的“system32”或“SysWOW64”資料夾(看是哪種挖礦病毒變種)。

中國是重災區 過時或未修補的系統是主要目標

這波攻擊活動似乎很發散,目標散布世界各地。中國和印度等人口眾多的國家也有最多被針對的組織。這似乎顯示出攻擊者沒有在挑選受害者,而是用亂槍打鳥的方式,通過被入侵組織的內部網路來大肆擴散,而非尋求一般個人做為目標。

 Figure 3. Distribution of targeted organizations according to country

圖3. 被針對的國家/地區分布

這波攻擊活動還針對了各個產業,包括教育、通信和媒體、銀行、製造業和科技業。同樣地,攻擊者並不針對某個產業,目標放在所有使用過時或未修補的系統。大多數(約83%,包含所有版本)受感染電腦都是運行Windows Server 2003 SP2。其次是Windows 7 Ultimate Professional SP1和Windows XP Professional。

犯罪工具可在地下網路犯罪市場內輕易取得,兼售即時可用的挖礦伺服器

雖然部署大型攻擊活動需要一些技巧,但幾乎不需要用到從Equation駭客集團流出的複雜工具。這些工具可以在地下網路犯罪市場內輕易取得,還一併出售即時可用的挖礦伺服器,就算是一般的網路犯罪分子也能夠用這些工具進行看來普通的網路犯罪活動。正如我們在「工業4.0時代的安全防護:處理針對智慧製造環境的威脅」報告中所探討的,許多產業都還在使用明顯過時的系統,讓它們很容易遭受攻擊,儘管這些漏洞已經有了修補程式。

自動攻擊平台的存在以及在被入侵網路內使用橫向移動技術來散播像虛擬貨幣挖礦病毒和勒索病毒等威脅,代表了有漏洞系統就算是位在內部網路也已經成為網路犯罪分子容易得手的目標。我們在本文中所討論的攻擊活動只是我們近幾個月來所觀察到眾多活動之一。可以預期會看到更多非專業攻擊者利用專業工具來讓攻擊更有效。鑑於我們所觀察到的情況,我們必須再次強調企業必須盡快更新系統來最小化風險並防止這類型的威脅影響其系統。

⊚延伸閱讀
【製造業資安】這些年鎖定智慧工廠的病毒
65% 製造環境,還在使用過時作業系統

趨勢科技解決方案

趨勢科技端點解決方案(如趨勢科技Smart Protection SuitesWorry-Free Business Security )可以偵測惡意檔案和封鎖所有相關惡意網址來保護使用者和企業抵禦虛擬貨幣挖礦病毒等威脅。企業還可以用趨勢科技趨勢科技的Deep Discovery Inspector來監控所有端口和網路協定以識別進階威脅。

入侵指標(IoC

網路入侵指標

  • miniast[.]com:443
  • tenchier[.]com:443
  • boreye[.]com:80
  • boreye[.]com:53
  • pilutce[.]com:443

挖礦病毒樣本雜湊值

SHA256 偵測名稱
dd21a9ce1d87e3a7f9f2a592ec9dd642ca19aee4a60502c8df21d9c25f9acf86 Trojan.Win64.VOOLS.AF
2af73c8603e1d51661b0fffc09be306797558204bcbd4f95dd2dfe8363901606 Trojan.Win64.VOOLS.AB
ed2febf310ae90739002b9ddb07a29d0b2c8e92462ae4a0a6dcc19cc537ddef3 Trojan.Win64.VOOLS.AB
007f81debf1c984c5b4d5b84d6a8c06bcdf84d1a4cccdd9633e45de35015faf3 PE_VIRUX.R-3
125f93883ccccb3c33964c8bcdd17b409b53fbc44de1e3b4afd7dfe79aa358cd Coinminer.Win64.TOOLXMR.SMA
1ac26e86540610d1293c421ed05c13cd6ed51759be153c45d194ff7552c88855 Coinminer.Win64.TOOLXMR.SMA
4c3575c7b6c530603e4cd76c7dcaed12fc5ebadbf4d4d6b46352eb08458683e8 Coinminer.Win64.TOOLXMR.SMA
4e46cec7f6e7fa13c10e808f0da104a8c810b7ef17c40d0e9a908453be87e7f4 Coinminer.Win64.TOOLXMR.SMA
5472f9ba3bc623450cc208669dacddb1b6a73ffe4dc705b85cf41637070fda28 Coinminer.Win64.TOOLXMR.SMA
572c3943f70a3e362d9bf195ce37cec68074235eb1abba9f0cdbb91f5231a572 Coinminer.Win64.TOOLXMR.SMA
5db45fa654910495592cf1ca00d7ef537708c38c4803d10d89eaa0ddba0e7d8c Coinminer.Win64.TOOLXMR.SMA
6ee5c5724ecc70f77aadcf00c77829e5313f44c61b2720113ada0c8263ac662c Coinminer.Win64.TOOLXMR.SMA
7ced0990ac94f36fab21821395f543f3a06be486c9f34cdc137874912573fb27 Coinminer.Win64.TOOLXMR.SMA
7f5bddeb0c9ecde4d64ddac8b046859fb1627811d96c29dfa2b88102740571ce Coinminer.Win64.TOOLXMR.SMA
94af094fc02cfe85a80f2f90d408f9598f9d77def36155e16a90e2bd8f8fdcce Coinminer.Win64.TOOLXMR.SMA
975dc8ecda9a9c15d19c4d9d67f961366d2f0ac1074b5eb5d3b36e653092a6a3 Coinminer.Win64.TOOLXMR.SMA
bafe63e8fd76f1c9010137e6cd5137655ea12ab5c25d0b86700627b2ebad2be0 Coinminer.Win64.TOOLXMR.SMA
ce5025a484b3e2481e248dee404e6d321b6d7f58bae77b284ec9e602672e6a10 Coinminer.Win64.TOOLXMR.SMA
ce8cb7c8dc29b9e4feab463fdf53b569b69e6a5c4ab0e50513b264563d74a6ac Coinminer.Win64.TOOLXMR.SMA
9af55d177e7d7628dc63f7753de4780031073098e1c674e619826cb97c190744 Coinminer.Win64.TOOLXMR.AR
f81dd3e5b0507d78815f5909ab442545cb3f5262397abd89b5947e1e7b3fef12 Coinminer.Win64.TOOLXMR.AQ
35d10df58e340b6a7d69e590852b84a6a02f774306c3eb29e60e6b24740456eb Coinminer.Win32.MALXMR.SMBM4
13800d1075e56f9bd0d87b2e85555040233e8b2ec679770101d046ffa4e39582 Coinminer.Win32.MALXMR.SMBM4
199e0419622e108ffdd7c9de571931d9aedc4f980a602766c0fdcb17bdddfc2a Coinminer.Win32.MALXMR.SMBM4
1bc9762470423393521d9aa64d505501d201d3cb50c8e6576d4381590b090d75 Coinminer.Win32.MALXMR.SMBM4
2d6a5eb8a78cddee8ce90321aab80f85784b11a87b00fde75c4c457998a5aebd Coinminer.Win32.MALXMR.SMBM4
3638ee8c0153b2763eb36246d9ffe4f7ec6d1f7e76876fb6f579c45e6e55e260 Coinminer.Win32.MALXMR.SMBM4
469e7ac4b5bad89e305e1e7ec65773844f3d639e84476da4b1fdf442a7c28504 Coinminer.Win32.MALXMR.SMBM4
59e3cf8f342a2bb5ce22bb03f8671568f68751f807002f9b329ed58e12a8831c Coinminer.Win32.MALXMR.SMBM4
5cd9ff29454e84923d4178484ecfb3bc48561d4401fa94b98f9d2693d47a740a Coinminer.Win32.MALXMR.SMBM4
6173542183c304ac2efc0348df799c1e3dea508cceaaac461bd509dc436d4edf Coinminer.Win32.MALXMR.SMBM4
82c0b0fbb0f44ad2bc46c8b105f167f0feadf936ff811f97aab3a9a6cccc2fb2 Coinminer.Win32.MALXMR.SMBM4
87488d9ad54b88e5488c18d8de6a338eaf4fe7bdeec2df7eeaf90380de1533b6 Coinminer.Win32.MALXMR.SMBM4
8d402a3871bada94d84dd8a7c29361f27b75ac37394f6de059b06afb340fe3d6 Coinminer.Win32.MALXMR.SMBM4
9853e7bd0906cf92d2767fa55ee0a645f23099b37d59654d3c388d897a19fb1e Coinminer.Win32.MALXMR.SMBM4
af21fb86d48b60ee58084570fba12cf3dbc3992c713421a265cd451c169967d2 Coinminer.Win32.MALXMR.SMBM4
cf60518d2a22631d0539964ff97bc396b44ef5f6979f7a9e59e03c89598db0bf Coinminer.Win32.MALXMR.SMBM4
ec85ec44771401d4a71cb7f8bc3597d55ec02b84178464ab33161c77c4f51f0b Coinminer.Win32.MALXMR.SMBM4
ecfcd390712f6ac57b822ef519063f8e9151e90549e245e4e2a70d02ff584634 Coinminer.Win32.MALXMR.SMBM4

@原文出處:Advanced Targeted Attack Tools Found Being Used to Distribute Cryptocurrency Miners 作者:Cedric Pernet,Vladimir Kropotov和Fyodor Yarochkin