快速进击的挖矿僵尸网络:单日攻击破10万次

本文涉及的产品
.cn 域名,1个 12个月
简介: 背景 2017年9月,360互联网安全中心首家发现了利用msSQL进行大规模入侵并释放挖矿木马的僵尸网络。木马先期通过永恒之蓝漏洞进行传播,后期转为对msSQL进行弱口令攻击传播,入侵成功后释放挖矿木马,获利达数百万之多。

背景

2017年9月,360互联网安全中心首家发现了利用msSQL进行大规模入侵并释放挖矿木马的僵尸网络。木马先期通过永恒之蓝漏洞进行传播,后期转为对msSQL进行弱口令攻击传播,入侵成功后释放挖矿木马,获利达数百万之多。相关分析详见我们在2017年发布的报告:《悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币》。

近日,360互联网安全中心又发现了一批使用msSQL进行传播的挖矿木马的新型变种。此次木马攻击主要利用“白利用”这一通常出现在远控或盗号木马上的隐藏手段,说明此类木马已经具有了与安全软件对抗的意识。并且利用自身在扩散形式上的优势快速传播,出现仅6天,单日攻击次数就突破了10万次。另外,该木马早期曾出现过一个仅攻击一次就自我退出的版本,但该版本在大量传播之后便消失,我们怀疑这是一个作者早期用于验证程序功能的测试版:

快速进击的挖矿僵尸网络:单日攻击破10万次

图1

样本分析

样本通过被入侵后的msSQL进行更新投递,包括一组exe和dll文件,通过白利用方式启动,其中exe文件为某公司带签名程序,名称被命名为help.exe如下

快速进击的挖矿僵尸网络:单日攻击破10万次

图2

DLL模块被命名为active_desktop_render.dll,其导出表如下

快速进击的挖矿僵尸网络:单日攻击破10万次

图3

执行逻辑

exe启动后会加载active_desktop_render模块,调用其导出函数SetDesktopMonitorHook,实际样本中直接调用了king1函数。

king1函数首先判断当前模块名称,不同的文件名称则执行的流程也会不同,例如当

前名称为assist.exe时,则下载l.txt并内存加载执行,其他如下图所示

快速进击的挖矿僵尸网络:单日攻击破10万次

图4

之后根据系统版本调整当前工作目录(用于后续文件落地时使用),其中不高于xp版本的位于根目录下/Docume~1/AllUse~1/Applic~1/,否则为/Users/Public/,同时间隔10分钟尝试下载a-n.txt名称的文件,其中大部分文件以插件形式内存加载执行。

快速进击的挖矿僵尸网络:单日攻击破10万次

图5

插件模块及域名生成算法

通过上文可以知道,该dll的行为实则类似于插件管理器,其大多数情况下通过远程下载模块并自行加载

,下图是样本模块加载流程示意图。

快速进击的挖矿僵尸网络:单日攻击破10万次

图6

插件模块的加载

down_memLoader函数通过死循环等待文件下载成功,

快速进击的挖矿僵尸网络:单日攻击破10万次

图7

实际下载后的文件内容如下,通过fscanf完成ascii到bin的转换,之后对文件内容在进行解密,然后加载执行导出函数a

快速进击的挖矿僵尸网络:单日攻击破10万次

图8

域名生成算法(DGA)

样本下拉插件模块的服务器域名并不固定,而是通过前缀后缀方式拼接而成,其中前缀生成算法如下

快速进击的挖矿僵尸网络:单日攻击破10万次

图9

后缀从如下列表中获取

快速进击的挖矿僵尸网络:单日攻击破10万次

图10

通过简化之后其域名生成算法如下:

快速进击的挖矿僵尸网络:单日攻击破10万次

知道域名后,再拼接插件名称得到下载地址,但访问时服务器会检测当前请求的UA部分,样本内嵌的UA名称为onlyme。

d与l模块

d模块延迟十分钟后结束如下进程,其中 manager.exe和diagnosis.exe分别为m和n模块(未获取到),a.exe是提权用到的程序。

快速进击的挖矿僵尸网络:单日攻击破10万次

图11

l模块负责结束上述进程并重新启动help.exe,间隔时间为10小时。

p模块

p模块在启动后,首先判断当前进程是否拥有管理员权限,若有则创建(已有则打开)名称为helpsys的服务,其二进制文件路径指向自身help.exe程序,如果权限不够,则远程拉取远端tqdll.txt和tq.txt文件,通过名称可以猜测其主要功能为提权,若成功,则在下次运行时即可创建服务,保证自身持久化驻留服务器。

快速进击的挖矿僵尸网络:单日攻击破10万次

图12

b模块

b模块是x64环境下使用到的,其部署64位环境下exe(repair.txt)和dll模块(64zhu.txt),所有exe和dll功能与本文分析基本一致,只不过在x64下运行。

同时下拉config.json与x.png,x.png 为xmr矿机(被64zhu.txt内存加载运行),矿机配置文件config内容如下

快速进击的挖矿僵尸网络:单日攻击破10万次

图13

k模块

该模块用于权限提升,首先尝试BypassUAC,样本使用如下2种方式

1..Net环境变量劫持

快速进击的挖矿僵尸网络:单日攻击破10万次

图14

其中ti.dll是拉取服务器的ti32.txt或ti64.txt重命名得到,主要功能是提权成功后再启动help.exe

2.mscfile的shellopen键值劫持

快速进击的挖矿僵尸网络:单日攻击破10万次

图15

若权限提升成功,则会创建好名称为helpsys的服务。

提权失败,则利用CVE漏洞进行本地权限提升,其远程拉取20170263.txt和up.txt模块

快速进击的挖矿僵尸网络:单日攻击破10万次

图16

其中up.txt是被利用的某公司签名文件,

快速进击的挖矿僵尸网络:单日攻击破10万次

图17

20170263.txt实则为CVE-2017-0213,该漏洞为.Net下类型混淆漏洞,可被用来本地权限提升,由Google Project zero发现。

快速进击的挖矿僵尸网络:单日攻击破10万次

图18

当漏洞成功触发后,其后续启动c:\users\public\help.exe,实际测试如下图

快速进击的挖矿僵尸网络:单日攻击破10万次

图19

相关域名:

aqwxrfghh.com

js.mys2018.xyz

矿池地址:

140.82.7.235:8756

钱包地址:

48mQvBiWBwzTMXhnfHFJEhLgUqoSr9CdB1UDGzwgsHUVM2Bh5g5Z78qQ5Jg9edqewWajtZX7ddjdGfudDhkaUtJS3owE8um

总结

相较于上一波挖矿僵尸的攻击,此次事件的传播量并没有那么夸张(由于其使用的是私有矿池,故此次无法估算其收益)。但比前次事件更令我们不安的,是此次通过僵尸网络传播的挖矿木马已不再有如上次一样冗长的缓慢传播期,而是直入主题——简单验证功能正常后,便直接放出正式版大量传播。

由此可见,此类攻击手段被黑客使用的越来越得心应手。也预示着今后此类时间也会越来越多的出现在我们的视野中。但反观我们的服务器管理人员却依然没有对此类问题提起足够的重视——依然是弱口令入侵,依然是本地漏洞提权,熟悉的配方熟悉的味道却总能屡屡得手。

在此我们只能再次重申几点注意事项:

1.重视SQL、RDP、Telnet等服务的弱口令问题,加强口令强度,避免被暴力破解。

2.非服务器系统尽量不要暴露在公网上,服务器系统要检查所有开放的服务端口,关闭不必要的端口。

3.配备必要的安全软/硬件产品,保障系统安全。

4.即时更新系统和软件,即时安装安全补丁,避免漏洞被利用来攻击系统。

5.对系统状态建立实时监控机制,关注系统异常,及时处理。


原文发布时间为:2018-05-25

本文来自云栖社区合作伙伴“嘶吼网”,了解相关信息可以关注“嘶吼网”。

相关文章
|
2月前
|
安全 数据安全/隐私保护
谨防二维码陷阱:揭秘网络钓鱼攻击与保护措施
当我们深入了解二维码的世界时,了解它们的特性和潜在风险变得至关重要,揭示了伴随其广泛普及的更为阴暗的一面
|
1月前
|
存储 安全 网络安全
如何识别和防范网络钓鱼攻击?
通过以上方法的综合运用,可以有效识别和防范网络钓鱼攻击,降低遭受网络安全威胁的风险,保护个人信息和财产安全。
87 12
|
1月前
|
安全 网络安全 数据安全/隐私保护
社会工程学攻击:了解并预防心理操控的网络欺诈
社会工程学攻击:了解并预防心理操控的网络欺诈
114 7
|
1月前
|
存储 安全 网络安全
互联网上如何有效应对网络勒索攻击?
有效应对网络勒索攻击需要采取多方面的措施,从预防、监测到应急响应和数据恢复等多个环节进行综合防护。
50 4
|
1月前
|
网络协议 安全 物联网
网络安全涨知识:基础网络攻防之DDoS攻击
网络安全涨知识:基础网络攻防之DDoS攻击
85 0
|
2月前
|
安全 网络协议 物联网
物联网僵尸网络和 DDoS 攻击的 CERT 分析
物联网僵尸网络和 DDoS 攻击的 CERT 分析
|
2月前
|
机器学习/深度学习 人工智能 安全
|
2月前
|
Web App开发 测试技术 网络安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(一)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(一)
97 0
|
2月前
|
网络安全 数据安全/隐私保护 安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(二)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(二)
173 0
|
3月前
|
云安全 缓存 网络协议
如何防护DDoS攻击,筑牢网络安全防线
随着信息技术的飞速发展,网络已成为现代社会不可或缺的一部分,极大地便利了个人社交和商业活动。然而,网络空间在创造无限机遇的同时,也潜藏着诸多威胁,其中分布式拒绝服务攻击(DDoS,Distributed Denial of Service)以其高破坏力和难以防范的特点,成为网络安全领域的一大挑战。本文将从DDoS攻击的原理出发,详细探讨如何有效防护DDoS攻击,以筑牢网络安全防线。

热门文章

最新文章