PCASTLE門羅幣挖礦病毒利用無檔案技術,再次針對中國發動攻擊

這張圖片的 alt 屬性值為空,它的檔案名稱為 feature_cybercrime-300x300.jpg

利用PowerShell散播惡意軟體並不件新鮮事;事實上,有許多無檔案病毒(fileless malware)都使用了這種作法。我們經常會看到這類型的威脅,趨勢科技的行為監控技術也能夠加以主動偵測和封鎖。比方說我們有智慧型特徵碼能夠主動偵測惡意PowerShell腳本所建立的排程工作。我們還有網路層規則來偵測SMB漏洞攻擊、暴力破解攻擊和非法虛擬貨幣挖礦( coinmining )連線等惡意活動。

不過這些活動的突然飆升仍然並不常見。根據趨勢科技 Smart Protection Suites反饋資料顯示,最近出現了一波針對中國的攻擊。攻擊活動在5月17日發現,現在仍在進行中;在5月22日到達顛峰後就一直保持穩定。

進一步分析後讓我們認為這些都屬於同一波的攻擊活動,行為模式跟之前用混淆PowerShell腳本(名為PCASTLE)散播門羅幣挖礦病毒的攻擊類似。但前一波的攻擊已經擴散到了日本、澳洲、台灣、越南、香港和印度等其他地區。現在似乎正將目標再度針對中國,跟之前被報導的首波攻擊一樣。

這波新攻擊使用了一些新手法。首先,它用了多個進行不同工作的組件來以各種方式散播虛擬貨幣挖礦病毒。它還使用了多層的無檔案技術,透過惡意PowerShell腳本下載其他病毒(通過排程工作)並只在記憶體內執行。最終的PowerShell腳本也是在記憶體內執行,用來進行所有的惡意行為:SMB漏洞攻擊(EternalBlue(永恆之藍))、暴力破解、傳遞雜湊(pass-the-hash)攻擊及下載其他病毒。

繼續閱讀

惡意虛擬貨幣挖礦容器,針對暴露API 的 Docker主機,並用 Shodan 找出其他受害目標

這張圖片的 alt 屬性值為空,它的檔案名稱為 feature_vul-200x200.jpg

趨勢科技架設了一台機器模擬Docker主機來監控針對容器的惡意活動,這個蜜罐系統的主機有著對外暴露的API,這是容器相關威脅最常攻擊的目標之一。我們的目標是透過監控蜜罐系統來偵測是否有人找到它並用來部署有問題的容器,最終希望可以找出攻擊的源頭。我們最近檢查了蜜罐狀態,發現已經有容器被部署進去。

分析蜜罐系統的日誌和流量資料後發現此容器來自名為zoolu2的公開(因此可以連上)Docker Hub儲存庫。檢查並下載儲存庫的內容後,我們發現它包含了9個映像,裡面含有客製化shell、Python腳本、設定檔,還有Shodan和虛擬貨幣挖礦程式。請注意,Docker自己也發現了此儲存庫,並在本文撰寫時已經讓其離線。

zoolu2儲存庫內的所有映像都包含了門羅幣(XMR)挖礦程式。這引起了我們的興趣,因為我們之前看過了將容器部署成礦工。此外,有些映像包含了列出有對外暴露API Docker主機的Shodan腳本,我們推測這些腳本是用來找出進一步散播的目標。

 Figure 1. The zoolu2 Docker Hub repository

圖1. zoolu2 Docker Hub儲存庫

繼續閱讀

還在使用老舊軟體和這 61 組弱密碼? 挖礦病毒利用多重攻擊手法自中國擴散至台灣、日本等亞洲企業

趨勢科技偵測到一個惡意軟體: Trojan.PS1.LUDICROUZ.A用多種感染方式,擴散門羅幣挖礦程式到更多的系統和伺服器。該挖礦病毒在今年初現身中國,原先的感染方式是用弱密碼及pass-the-hash(傳遞雜湊)技術,還有經由Windows管理工具與公開原始碼進行暴力破解攻擊, 。在日本發現的這起新案例會用EternalBlue(永恆之藍) 漏洞攻擊及PowerShell來入侵系統並躲避偵測。

挖礦病毒利用多重攻擊手法自中國擴散至台灣、日本等亞洲企業

看起來攻擊者正在將此殭屍網路擴展到其他國家;趨勢科技發現在台灣、日本、香港、越南、印度及澳洲都發現了此威脅。

趨勢科技發現這個惡意軟體非常複雜,專門設計成感染更多的電腦,而且可以不會馬上被偵測到。它會利用電腦系統和資料庫的弱密碼,針對企業可能仍在使用的老舊軟體,使用會在記憶體內下載和執行組件的PowerShell腳本,攻擊未修補的漏洞以及使用Windows的啟動資料夾和任務排程進行安裝。

鑑於PowerShell的日漸普及加上有越來越多公開可用的開放程式碼,可以預期會看到更加複雜的惡意軟體。雖然收集系統資訊並送回C&C與直接竊取個人身份資料相比可能顯得微不足道,但系統資訊對機器來說是獨一無二的,可以用來追蹤識別使用者及其活動。

呼籲企業儘早更新系統, 使用複雜密碼, 並應用可以從閘道到端點主動封鎖這些威脅和惡意網址的多層次保護系統。

主要散播方式是利用弱密碼登入連接網路的其他電腦

這個惡意軟體(趨勢科技偵測為Trojan.PS1.LUDICROUZ.A)的主要散播方式是利用弱密碼登入連接網路的其他電腦。它不會直接將自己複製到連接的系統,而是透過遠端命令來變更中毒電腦的防火牆和端口轉發設定,建立排程來下載並執行更新的惡意軟體。下載的PowerShell腳本會執行:

繼續閱讀

Bashlite IoT 惡意程式新增挖礦與後門功能,專門攻擊 WeMo 品牌裝置

最近,趨勢科技發現 Bashlite 惡意程式出現新的版本,會將其感染的物聯網(IoT ,Internet of Thing裝置收編到某個殭屍網路來發動分散式阻斷服務 (DDoS) 攻擊。趨勢科技將這些惡意程式命名為 Backdoor.Linux.BASHLITE.SMJC4、Backdoor.Linux.BASHLITE.AMF、Troj.ELF.TRX.XXELFC1DFF002 以及 Trojan.SH.BASHDLOD.AMF。根據其採用的 Metasploit 模組來看,此惡意程式專門鎖定採用 WeMo Universal Plug and Play (UPnP) 通用隨插即用應用程式開發介面 (API) 的裝置來攻擊。

Bashlite 惡意程式亦稱為 Gafgyt、Lizkebab、Qbot、Torlus 或 LizardStresser,其最為人知的不良事蹟是 2014 年曾發動大規模分散式阻斷服務攻擊 (DDoS),如今它甚至開始跨界感染 IoT 裝置。先前的 Bashlite 版本會利用 Shellshock 漏洞來入侵裝置,然後再透過遠端指令遙控被入侵的裝置發動 DDoS 攻擊 (如 2016 年所發生的事件),或者再下載其它惡意檔案到被入侵的裝置。

這次發現的新版 Bashlite 相當值得關注。首先,其感染方式已不再仰賴特定 CVE 漏洞,而是使用可公開取得的 Metasploit 漏洞攻擊模組。此外,新版也支援更多 DDoS 遠端遙控指令,以及一些虛擬貨幣和後門功能。同時,還會在裝置上植入惡意程式來將競爭對手的殭屍病毒移除。

繼續閱讀

以雲端基礎架構為攻擊目標的挖礦攻擊

隨著過去幾年加密貨幣挖礦惡意程式的興起,網路罪犯正在持續嘗試不同種類的變現方案。其中一種日益猖獗的方式,便是鎖定雲端基礎架構,尤其是企業的雲端基礎架構。根據 AT&T 的報告指出,針對企業雲端基礎架構的網路犯罪就有以下四種:遭入侵的容器管理平台、惡意 Docker 映像、API 金鑰竊取,以及控制面板漏洞攻擊。

1.濫用遭入侵的容器管理平台。容器是一種開發人員用來裝載所有應用程式元件的技術,這些元件包括管理介面、檔案、程式碼以及程式庫等。網路罪犯會應用以上元件的弱點,或利用不當設定的容器來部署惡意程式。在 2018 年 2 月便有這樣的例子,當時一家電動車製造商的 Kubernetes 基礎架構遭到攻擊者盜用。攻擊者之後便使用遭入侵的容器來執行加密貨幣挖礦作業。

此外,攻擊者還透過濫用開放式 API 和未驗證的管理介面來入侵這些平台。

繼續閱讀