春節期間針對國人的挖礦惡意軟體攻擊活動
從1月的最後一週起,趨勢科技注意到越來越多的黑客工具在安裝過程中會試圖將看似隨機的檔案植入Windows目錄中。據分析顯示,其最終的負載是一種門羅幣挖礦惡意軟體變體,它掃描開放埠445,利用Windows SMB伺服器漏洞MS17-010(已於2017年修補)進行感染和傳播,目標是中國大陸、中國臺灣、中國香港和義大利的公司。
在之前的攻擊活動中,也曾有過威脅行為者使用MIMIKATZ和RADMIN配合挖礦軟體的案例——利用MIMIKATZ和其他黑客工具來收集使用者帳戶和系統憑證;RADMIN工具則是用於獲取管理員許可權,並將惡意軟體引入目標系統。由於命名隨機、看似合法的Windows函式可能不會被檢測到,RADMIN和MIMIKATZ的這種組合成為了企業資產和資訊資料外洩的一個嚴重隱患。另外,我們發現有趣的一點是,此次檢測到的樣本本身並不會下載挖礦機惡意軟體,而是通過RADMIN傳送命令,遠端下載並植入挖礦軟體的負載。當需要對軟體更新時,這種負載的模組化結構可能會讓惡意軟體的更替更容易進行。
圖1.使用RADMIN和MIMIKATZ的門羅幣挖礦惡意軟體例程
該惡意軟體變體(趨勢科技檢測到為 Trojan.Win32.INFOSTEAL.ADS )在從受感染的網站下載到系統中,或被其他惡意軟體植入後,可以通過刪除與初始下載相關的舊版本、檔案和程序進行重新安裝,以確保感染過程得到更新。
圖2.該樣本能利用自身資源建立一個名為C:\windows\temp\tt .exe (Trojan.Win32.INFOSTEAL.ADS)的檔案,執行後啟動更新操作。
圖3.樣本會檢查當前名稱是否為svhost.exe或svcho .exe。如果不是,它會終止所有舊版本的惡意軟體,啟用防火牆並開放埠。
該樣本通過連線到多個url和IP地址,傳送有關受感染計算機的資訊,並下載包括加密的挖礦機和Trojan.Win32.MIMIKATZ.ADU在內的相關檔案,之後樣本將植入一個名為taskmgr.exe的.exe檔案中(趨勢科技檢測為 Coinminer.Win32.MALXMR.ADS ),該檔案解密後開啟門羅幣礦機。
圖4.樣本連線到某個URL、傳送資訊以及下載加密檔案示例
接著該樣本會在驅動器中植入修改後的自身副本,並建立一個任務來執行wmiex,線上連線以傳送系統資訊,下載檔案後執行flushdns。
之後該樣本會儲存並執行下載的檔案(趨勢科技檢測為Trojan.Win32.MIMIKATZ.ADU),這是一個Python編譯的可執行檔案,它將通過匯入其他幾個Python模組(趨勢科技檢測為 Trojan.PS1.MIMIKATZ.ADS )來收集憑證和psexec,使攻擊者能夠遠端執行命令。它還可以通過網際網路和本地網路為開放埠445隨機掃描生成的IP地址。
圖5.該樣本將下載的檔案儲存為C:\windows\temp\svchost.exe (Trojan.Win32.MIMIKATZ.ADU)並執行。
通過使用另一個名為impacket的Python模組,它會建立一個名為pipe\ .\pipe\RemCom_communicaton的管道(趨勢科技檢測到該工具為 HackTool.Win32.Radmin.GB )來實現遠端命令通訊。
圖6.掃描並檢查開放埠
通過複製執行Trojan.Win32.INFOSTEAL.ADS,樣本將利用Windows SMB伺服器漏洞MS17-010,繼續尋找未安裝補丁(補丁於2017年10月釋出)的下一位受害者,然後迴圈往復。
圖7.遙測資料顯示,在中國大陸和中國臺灣,近些天的感染數量是較高的。報告還顯示,即使過了農曆新年,攻擊事件也沒有減少的趨勢。
趨勢科技將繼續跟蹤這一威脅。我們注意到,在發表報告時,探測到的感染數量又有增長的趨勢。我們推測該惡意軟體背後的網路犯罪分子為了預謀未來的更多攻擊,正在開發此種模組化結構,通過升級特權、遠端訪問和使用竊取的憑證來感染儘可能多的系統,由於資訊竊取者能夠得到使用者帳戶、埠轉發和系統細節等資訊,並能夠為遠端管理功能植入黑客工具,因此如果不加以檢查,攻擊者通過遠端訪問可以在將來發起更多攻擊。
結論
感染高峰是在中國的春節期間,犯罪分子可能正是利用了眾人歡度節日無暇檢測惡意軟體活動的這段時機興風作浪。
該技術將其行動隱藏在隨機命名的檔案和看似有效的函式之下,對CPU和GPU資源施加負重,這可能導致系統執行異常緩慢。
我們還注意到,這背後的行為者可能擁有中等水平的技能——通過對多個免費線上工具的組合使用:Python-compiled惡意軟體、開源軟體模組、過時的漏洞和免費的黑客工具——可能表明行為者仍在磨練他們的攻擊能力。例如,行為者這次使用的RADMIN工具少說也有五年的歷史了,已被多個引擎檢測到,並且已使用較新的開源版本進行更新,其中一些已用作合法管理系統的故障排除工具。惡意軟體要想成功感染目標系統,就必須在沒有安裝保護結構的情況下執行。行為者要麼是指望目標系統安裝最少的保護機制,要麼就只能完全無視這一方面。
儘管如此,該技術也還是表現出了一定程度的複雜性。利用MIMIKATZ、RADMIN工具和Windows系統上關鍵的漏洞,並能像類似蠕蟲病毒的方式傳播,藉以針對某些特定行業的系統,且不會被第一時間檢測到。此種方式讓人聯想到Petya和SOBREBRECT的慣例,諸如執行psexec和在網路中橫向移動時降低SMB等操作,都能降低自身被偵測的風險,但是使用這種過時的軟體可能會起到反作用。
建議使用者在補丁釋出後,定期從合法供應商處下載補丁。對於企業,我們建議使用多層保護系統來檢測、預防和解決惡意軟體感染和攻擊,如加密貨幣挖礦惡意軟體,以防止它們擾亂正常的業務操作。
IOC