本文是根據360互聯網安全中心在2018年6月18日至2018年6月29日攔截到攻擊的攻擊數量、攻擊類型和攻擊手法所撰寫的“近期威脅形勢分析”。本文中提供的IOC信息用於幫助友商及相關人士對對應的攻擊進行預警和防禦。(注:本文中的IOC僅涉及6.18-6.29出現的新木馬家族相關的域名、ip信息以及已知木馬家族在這兩週活動時使用的新域名、ip信息,歷史IOC信息請查閱本系列前幾篇報告。)
一、 挖礦木馬攻擊
針對Windows服務器的小規模入侵挖礦事件頻發。過去針對Windows服務器的挖礦木馬主要遵循“入侵——〉建立殭屍網絡——〉挖礦獲利”的攻擊流程,而近期出現了較多規模較小的“一次性”服務器入侵挖礦攻擊。這類攻擊一般只在特定時間發生,且持續時間不長,黑客只向服務器投遞挖礦木馬,而不利用服務器對其他機器進行掃描入侵來建立殭屍網絡。這類攻擊由於不具備持久性較難被觀察到。在之前的威脅預警中提到一些提供位置服務的Windows服務器遭到來自ip 121.41.33.131的攻擊就屬於這一類型的攻擊。
圖1 121.41.33.131發起攻擊的時間及影響計算機數量柱狀圖顯示該攻擊只在特定時間進行
在漏洞使用方面,這類挖礦木馬主要使用當下比較流行的幾個Weblogic、Jboss、Struts平臺的漏洞,也有部分通過遠程桌面爆破、MsSql弱口令爆破入侵服務器。幾乎每個發起攻擊的黑客都會使用多個針對不同平臺的漏洞以求入侵更多計算機。
IOC
hxxp://211.149.176.110:666/winlogonx.exe
hxxp://103.99.115.220:8080/xmrig.exe
hxxp://103.99.115.220:8080/aaa.exe
yamMiner更新。沉寂多時的挖礦殭屍網絡yamMiner在6月27日左右進行更新,在這次更新中yamMiner使用兩個新的載荷託管地址,並且落地的挖礦木馬文件名也改為隨機名稱以躲避殺軟查殺。
圖2 新版本yamMiner部分代碼截圖
IOC
hxxp://66.212.17.162:7001/console/css/test.ps1
hxxp://66.212.17.162:7001/console/css/winpm.ps1
hxxp://66.212.17.162:7001/console/css/freewin
hxxp://dl.peanutman.ru/winpm.ps1
hxxp://dl.peanutman.ru/test.ps1
hxxp://dl.peanutman.ru/freewin
大量挖礦木馬通過網頁掛馬形式下發,影響使用刷流量軟件的用戶。前段時間友商報告部分刷流量軟件請求掛馬頁面後觸發漏洞下發挖礦木馬、DDos木馬的情況。根據360互聯網安全中心的監測,在這兩週時間內有大量挖礦木馬通過此類掛馬頁面下發,掛馬漏洞主要為IE漏洞CVE-2018-8174和flash漏洞CVE-2018-4878。
IOC
hxxp://www.wulei168.pw:1235/sql.exe
hxxp://666.926cs.com/win32.exe
hxxp://111.73.46.18:2998/xzz.scr
hxxp://118.24.73.34:9999/studyy.exe
hxxp://58.218.56.90:8080/vmwarerss.exe
二、 勒索病毒攻擊
近期,針對服務器數據庫的勒索家族Satan發起的攻擊呈現上升趨勢。圖3展示了4月至6月360互聯網安全中心監測到的受到Satan勒索病毒攻擊的計算機數量(按周統計),不難看出在最近這段時間Satan勒索病毒出現了大爆發,單日受影響服務器數量最高將近1000臺。
圖3 360互聯網安全中心監測到的受到Satan勒索病毒攻擊的計算機數量變化趨勢
幸運的是,Satan勒索病毒並未改變其載荷託管地址,依然使用101.99.84.136這個ip作為載荷託管地址,防禦方可以針對此ip進行防禦。
IOC
101.99.84.136
三、 銀行木馬攻擊
銀行木馬攻擊一直是國內個人及企業最常遭遇的攻擊之一。黑客通過垃圾郵件傳遞帶有Office漏洞利用代碼或者惡意宏的文檔對用戶發起攻擊。從攻擊源看,幾乎所有攻擊都來自國外。圖4是這段時間發起銀行木馬攻擊的家族分佈柱狀圖。
圖4 銀行木馬家族分佈柱狀圖
圖5 銀行木馬攻擊漏洞使用情況
IOC
LokiBot
hxxp://cselegance.com/vib1.exe
hxxp://csabulk.com/west/sop1.exe
hxxp://abatii.web.id/isupa/po.exe
hxxp://em-latee.cf/both/soa.exe
hxxp://vardey.tk/maka/new
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/pa1.exe
hxxp://www.triurnph-china.com/maski.msi
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/temp1.exe
hxxp://asamshut.ml/emzii/soa.exe
hxxp://uploadtops.is/1//f/cbjcywf
hxxp://uploadtops.is/1//f/qrvovd7
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/4fb.exe
hxxp://www.triurnph-china.com/1234.msi
hxxp://uploadtops.is/1//f/wr2jwj4
hxxp://abatii.web.id/zor/0075656002453.exe
hxxp://maalikitreeservices.com.au/yuc.exe
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/crystal/ar1.exe
hxxps://lokipanelhostingnew.cf/wordpress/wp-includes/images/wlw/xa2.exe
hxxp://abatii.web.id/smart/order.exe
hxxp://cortlnachina.com/dada_253782.exe
hxxp://lokipanelhostingnew.gq/wordpress/1ab.exe
hxxp://185.227.83.56:4560/soldi.exe
hxxp://confirm-your-accounts-1146.ml/rf/uc1.exe
hxxp://lokipanelhostingnew.gq/wordpress/2p.exe
hxxp://31.220.40.22/~blackdia/enesfolder/0000000.exe
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/crystal/p1.exe
hxxp://rnicrosoft.cf/1.exe
hxxp://servicelearning.thu.edu.tw/tk.exe
hxxp://185.227.83.56:4560/sayofis.exe
hxxp://indostraits.co.id/dafff.exe
hxxp://csabulk.com/west/upx.exe
hxxp://servicelearning.thu.edu.tw/zeya.exe
hxxp://ayerstechnology.com/u.msi
hxxp://www.triurnph-china.com/8776tt.exe
hxxp://internationalcon.com/ar/jakuzo/fynoy/ste.exe
hxxp://jessicalinden.net/wp-ftp/ghh.exe
hxxp://servicelearning.thu.edu.tw/zey.exe
hxxp://indostraits.co.id/kane.exe
hxxp://picluib-jp.co/sop.exe
hxxp://uploadtops.is/1//f/jpjdkuw
hxxp://csabulk.com/west/tekex1.exe
hxxp://em-latee.cf/park/purchase
hxxp://31.220.40.22/~obahomer/1234567890.exe
hxxp://abatii.web.id/ojay/quotation.exe
hxxp://salesxpert.ml/exp/tclokii.exe
hxxp://www.mimicbngovy.ru/petit/order.exe
hxxp://indostraits.co.id/yahooooooo.exe
hxxp://picluib-jp.co/tekex.exe
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/tt2.exe
hxxp://zenshinonline.ru/images/jon001.exe
hxxp://earthart.org/inco/oodds.exe
hxxp://meta-mim.in/uc1.exe
hxxp://decalogoabogados.com/tread/zey.exe
hxxp://indostraits.co.id/dave.exe
Pony
hxxp://indostraits.co.id/conte.exe
hxxp://sinutinu.com/edusite/quopes/sowypzqstfhupo.exe
hxxp://tpreiastephenville.com/fr2.exe
hxxp://grafoinvest.rs/97.scr
hxxp://185.227.83.56:4560/press1.exe
hxxp://syscore.duckdns.org/jhonvn/vbc.exe
hxxp://energy.rs/40.scr
hxxp://mders77.5gbfree.com/koda.exe
hxxp://fovig.be/admin/jon001.exe
hxxp://107.173.219.125/wrk.exe
hxxp://psatafoods.com/waplord/neworder.exe
hxxp://grafoinvest.rs/17.scr
hxxp://grafoinvest.rs/07.scr
hxxp://syscore.duckdns.org/tonychunks/fb.exe
hxxp://grafoinvest.rs/54.scr
hxxp://olorioko.ga/bin/kenny.exe
hxxp://indostraits.co.id/chi.exe
hxxp://grafoinvest.rs/83.scr
hxxp://grafoinvest.rs/11.scr
hxxp://23.249.161.109/wrd/zomamez.exe
hxxp://zigizaga.gq/net.exe
hxxp://mirocaffe.ro/7f.exe
hxxp://sauditechnical-sa.com
hxxp://23.249.161.109/wrd/carmen.exe
hxxp://23.249.161.109/wrd/mamez.exe
FormBook
hxxp://www.kwikri.com/.well-known/5sun.exe
hxxp://i-razum.ru/th/po.exe
hxxp://arasscofood.com/hm/aae.exe
hxxp://earthart.org/dev/ers.exe
hxxp://arasscofood.com/b/a.exe
hxxp://uploadtops.is/1//f/7brb9i0
hxxp://albazrazgroup.com/hrd/roc.exe
hxxp://majormixer.com/images/scann.exe
hxxp://syscore.duckdns.org/shell/vbc.exe
AgentTesla
hxxp://23.249.161.109/wrd/jhn.exe
hxxp://cafeelcafee.com/cbg/coz.exe
hxxp://yihhvva.com/ft/ag.exe
hxxp://sunusa.in//img/mine10/phynollllll.exe
RemcosRAT
hxxp://107.173.219.125/w/dns.exe
TrickBot
hxxp://bismillah-sourcing.com/sec.bin
hxxp://woodbeei.com/leap.bin
hxxp://chimachinenow.com/cherry.png
hxxp://sabarasourcing.com/mo.bin
Ursnif
hxxp://tonetdog.com/ecotime\
HawkEye
hxxp://uploadtops.is/1//f/0vfsn7d
hxxp://indostraits.co.id/znsaaa.exe
Heodo
hxxp://acantara.ml/emexco/po.exe
NetWire
hxxp://23.249.161.38/outlokk.exe
SmokeLoader
hxxp://cloudphotos.party/fogliodati\
njRAT
hxxp://secured.monclaer.com/system.123
閱讀更多 360安全衛士 的文章
