近日,“驅動人生”無文件挖礦病毒計劃任務再次更新,此次更新中的惡意腳本將會篡改hosts文件指向隨機域名,並將DNS服務器地址修改為“8.8.8.8”及“9.9.9.9”,同時採用多種攻擊方式橫向傳播。亞信安全將其命名為Coinminer.Win64.MALXMR.TIAOODDA。
攻擊流程
病毒詳細分析
此次發現的惡意計劃任務代碼主要為如下兩種,實際功能均是下載同一文件x.js(a49add2a8eeb7e89b9d743c0af0e1443):
a49add2a8eeb7e89b9d743c0af0e1443分析:
a49add2a8eeb7e89b9d743c0af0e1443是一段經過混淆加密的PowerShell代碼,解密後的代碼如下圖,其主要功能是上傳被感染機器信息並下載另外一個PowerShell腳本(f19d9a77c3f6f07e43f5822f9a796104):
f19d9a77c3f6f07e43f5822f9a796104主要功能如下:
1. 下載並執行if.bin(橫向傳播模塊);
2. 如果是N卡(GTX | NVIDIA | GEFORCE),則下載XMRig CUDA插件到tmp目錄,以便後續利用NVIDIA GPU同時挖礦;
3. 根據系統版本不同分別執行32/64位挖礦軟件me3.exe/m6.bin,若系統為64位機器,將調用Invoke-ReflectivePEInjection注入到Powershell進程中執行;
4. 如果系統中包含N卡或A卡則額外執行挖礦程序m6g.exe;
5. 修改DNS服務器地址為“8.8.8.8”及“9.9.9.9”;
6. 開啟防火牆65529/TCP端口並設置端口轉發,且會禁用135/445端口,導致文件共享無法使用。
64位系統,調用Invoke-ReflectivePEInjection將挖礦程序注入到PowerShell進程中。
If.bin模塊包含多個攻擊模塊,且使用如下弱口令暴力破解其他機器:
攻擊模塊:
1)利用“永恆之藍”漏洞攻擊
此功能將會掃描內網中開放445端口的易受攻擊機器,且會獲取易受攻擊機器的系統版本,根據系統版本使用不同的攻擊代碼,一旦攻擊成功將會執行PowerShell命令。
【MS17-010漏洞掃描程序】
【MS17-010攻擊代碼】
2) MS-SQL Server SA賬戶暴力破解
枚舉並掃描內網其他開放1433端口的機器,並嘗試使用弱口令及Mimikatz從本地收集到的密碼暴力破解 SA賬戶,一旦登錄成功將會使用xp_cmdshell執行PowerShell腳本並上報機器IP及SQLSERVER密碼到服務器。
如果登錄成功,則上報機器IP和MS-SQL Server密碼。
3) PassTheHash攻擊
此功能將會驗證用戶帳戶權限,如果當前登錄用戶具有管理員權限則使用PowerDump模塊和Mimikatz來轉儲所有NTLM哈希、用戶名、密碼和域信息。後續將會使用這些憑據,將惡意腳本文件上傳到網絡中可訪問的任何遠程計算機的%startup%文件夾中,使用WMI遠程執行PowerShell代碼。
使用默認HASH及PowerDump模塊和Mimikatz轉儲的HASH值嘗試訪問其他機器的IPC$。
4) 針對RDP弱口令進行爆破攻擊
此模塊會掃描內網其他開啟3389端口的機器,並嘗試使用”Administrator”用戶名及前述弱口令密碼及Mimikatz收集到的密碼嘗試登錄,成功登錄後將會執行PowerShell後門代碼並上報機器IP及密碼。
5) USB和網絡驅動器
此功能將惡意Windows*.lnk快捷方式文件和惡意DLL文件寫入連接到受感染機器的可移動存儲及映射的網絡驅動器中。一旦其他機器點擊(不需要打開.lnk文件)被感染後的可移動存儲或者網絡驅動器會觸發CVE-2017-8464LNK 遠程執行代碼漏洞,進而感染病毒。
6) 針對RDP漏洞CVE-2019-0708進行檢測和上報
對RDP CVE-2019-0708漏洞進行檢測,目前尚無利用代碼。
一旦網絡中的機器被以上任意一種方式攻陷,將會執行如下PowerShell後門代碼並修改防火牆設置,打開65529/TCP端口,其將作為被感染機器標識,避免後續重複攻擊這些機器。
被攻陷機器最終將被創建如開始所述計劃任務,進而進行挖礦並感染其他機器。
閱讀更多 Exploit 的文章
關鍵字: Microsoft PowerShell
