360安全大腦監測到通過"驅動人生"供應鏈攻擊傳播的挖礦木馬在1月30日下午4時左右再次更新。此次更新中,木馬在此前抓取系統帳戶密碼的基礎上增加了抓取密碼hash值的功能,並試圖通過pass the hash攻擊進行橫向滲透,使得該木馬的傳播能力進一步加強,即使是有高強度口令的機器也有可能被攻陷。
pass the hash也稱作哈希傳遞攻擊,攻擊者可以直接通過密碼的哈希值訪問遠程主機或服務,而不用提供明文密碼。攻擊者使用pass the hash技術嘗試在系統登錄密碼非弱口令並且無法抓取登錄密碼的情況下進行橫向攻擊,增加攻擊成功率。
此次更新是由hxxp://r.minicen.ga/r和hxxp://v.beahh.com/v這兩個後門下載Url下發的。更新成功後從hxxp://139.162.107.97/new.dat下載PowerShell腳本保存為cred.ps1執行攻擊。
圖1 下載PowerShell腳本並執行
cred.ps1複用了Invoke-SMBClient和PowerDump兩個開源項目完成密碼哈希值抓取與pass the hash攻擊。此外,cred.ps1中還存儲了若干弱口令的哈希值,cred.ps1在抓取密碼哈希值完成pass the hash攻擊的同時也會使用這些弱口令的哈希值完成pass the hash攻擊,這與之前該家族在使用Mimikatz抓取登錄密碼橫向滲透的同時使用弱口令爆破的思路是一致的。
圖2 cred.ps1中使用的弱口令哈希值
攻擊成功後,cred.ps1會在目標機器上通過certutil.exe從hxxp://cert.beahh.com/cert.php下載載荷執行,目前該載荷還未上線。
攻擊者此時更新主要原因在於其構建的殭屍網絡擴張速度不夠快。從360互聯安全中心的監測數據看,該家族自1月25日更新所帶來的上漲之後就保持平穩微降的趨勢,這顯然不符合攻擊者的預期。從攻擊者之前的動作看,其意欲構建一個大型殭屍網絡並將其轉化為獲利工具。
圖3 通過"驅動人生"供應鏈攻擊傳播的挖礦木馬家族攻擊趨勢
值得一提的是,攻擊者將系統密碼抓取與系統密碼哈希值抓取加入攻擊模塊後,該木馬的危險程度激增。因為這意味著即使用戶使用強度高的登錄口令同樣可能被該木馬攻擊。不過安裝了360安全衛士的用戶完全無需擔心,360安全衛士能夠攔截該木馬的攻擊,保護用戶計算機的安全。
IOC
hxxp://r.minicen.ga/r
hxxp://v.beahh.com/v
hxxp://139.162.107.97/new.dat
hxxp://p.beahh.com/upgrade.php
閱讀更多 360安全衛士 的文章
