“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

栏目: IT技术 · 发布时间: 4年前

内容简介:新冠疫情在国内的防控形势已经由阴转晴,但全球范围内的爆发还在继续。在防控成为常态化的同时,人们更加关注“新冠病毒”的研究与调查。随着关注度的提升,越来越多的不法分子抓住人们关注新冠病毒的心理,利用新冠热点话题传播各类病毒。近日,亚信安全截获“驱动人生”无文件挖矿病毒的最新变种文件,此变种能够绕过老版本的防护措施,伪装成“新冠病毒”相关邮件,通过给受感染主机的联系人发送电子邮件传播,利用人们对“新冠病毒”的好奇心,诱导收件人点击邮件附件,导致感染并继续传播病毒。

新冠疫情在国内的防控形势已经由阴转晴,但全球范围内的爆发还在继续。在防控成为常态化的同时,人们更加关注“新冠病毒”的研究与调查。随着关注度的提升,越来越多的不法分子抓住人们关注新冠病毒的心理,利用新冠热点话题传播各类病毒。

近日,亚信安全截获“驱动人生”无文件挖矿病毒的最新变种文件,此变种能够绕过老版本的防护措施,伪装成“新冠病毒”相关邮件,通过给受感染主机的联系人发送电子邮件传播,利用人们对“新冠病毒”的好奇心,诱导收件人点击邮件附件,导致感染并继续传播病毒。

攻击流程

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

病毒详细分析

本次变种的计划任务是调用PowerShell访问下载a.jsp:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

a.jsp是一段经过多次混淆的脚本代码:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

经过多次去混淆后,得到可读代码,如下代码是获取系统磁盘信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

获取本机IP等网络信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

获取本机系统位数、显卡类型,以针对不同性能,运行不同挖矿程序:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

其中,if.bin为传播模块,其使用多种方法进行传播,为了达到最大程度牟取暴利,病毒作者针对不同性能的主机进行定制化感染,通过对感染主机类型进行判断,选择运行模块。

如果是64位主机,则运行m6.bin:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

如果感染主机为64位系统且使用独立显卡(N卡/A卡),则运行m6g.bin:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

如果感染主机使用64位系统且使用N卡,则下载运行nvd.zip:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

传播模块if.bin功能分析

扫描内网中存在ms17-010漏洞主机,并记录信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

将恶意文件写入可移动磁盘、网络驱动器及各类型文件系统中,进而通过上述介质将病毒传播至其它机器:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

终止其它影响此挖矿的相关服务和计划任务等:

服务池:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

计划任务池:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

针对开启RDP远程桌面的弱口令爆破,并记录信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

扫描存在SMB共享445端口的主机,并记录信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

扫描SQL Server的1433端口,对数据库进行弱口令爆破,以获取数据库信息,并记录:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

弱口令爆破使用的工具:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

以上为常规的传播部分,当任意一种攻击方式成功后,均会继续进行挖矿及再次传播。以下是本次变种的更新部分,即利用Outlook向邮箱联系人发送“新冠病毒”等热点话题相关的邮件进行传播:

在若干构造路径中遍历搜索Outlook,若存在Outlook,则执行if_mail.bin。该模块为构造邮件的传播模块,同样是使用已混淆的代码,经过多次去混淆,得到可读代码。

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

其通过遍历目录,获取邮件联系人的邮箱地址:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

在邮件池中随机选取一种文本作为邮件的主题及正文:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

邮件内容从下图中随机选取,有的是“新冠病毒”起源等讨论度较高的话题,还有的是伪装成熟人发送邮件,诱导收件人点击下载:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

另外,其会在在邮件中添加附件readme.doc、readme.zip:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

附件显示内容如下:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

此文档附带CVE-2017-0199漏洞攻击代码,运行后会下载并运行mail.jsp:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

运行mail.jsp后,即会创建计划任务,进行挖矿,并继续下一轮的传播:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

矿池信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

解决方案

ü 不要点击或打开来源不明的邮件、附件以及邮件中的链接;

ü 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

ü 打开系统自动更新,并检测更新进行安装;

ü 针对使用445端口的业务,进行权限限制;

ü 保持安全产品的部署及相关组件的更新;

ü 如无需使用,禁用PowerShell功能;

ü 系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新 (4013389)补丁程序详细信息请考链接: https://technet.microsoft.com/library/security/MS17-010 XP和部分服务器版WindowsServer2003特别安全补丁,详细信息请参考链接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

ü 系统打上CVE-2019-0708 RDP服务远程代码执行漏洞补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

ü 系统打上CVE-2017-8464 LNK 远程执行代码漏洞补丁:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464

ü 建议安装如下补丁防止Mimikatz窃取本机密码:

https://support.microsoft.com/zh-cn/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a

IOCs

文件SHA-1 亚信安全检测名
1501457cecebf12acc60c7da8585e0a7ab2e928a Trojan.Win32.POWLOAD.CMPNPD
b7b692c1a4138d427fe4fabaeb23f508aab806e8 Trojan.Win64.SHELMA.SMB1
68032251ff8266ca289f344b8668fefc5f0a06bb Trojan.PS1.LEMONDUCK.YPAE-A
0af7a28d9e5a9435db125d7e46e7e20825643ca4 Trojan.PS1.LEMONDUCK.D
0237988ae9b43baf972177867b49b88db8eea517 Trojan.PS1.LEMONDUCK.E
0357d1a601d276a13a7e4ad768cac7a439f6bc0b Possible_SMBCVE20170199
c7e131259652ba8b47514b54594543f7f735be32 Trojan.JS.FLEMSDUCK.B
bd2da0336e3c2f0705245c99e9aa22a19333f0a3 TROJ_FRS.0NA103EI20

URL:

hxxp://d[.]ackng[.]com
hxxp://t[.]awcna[.]com
hxxp://t[.]tr2q[.]com
hxxp://t[.]amynx[.]com

IP:

128[.]199[.]183[.]160

*本文作者:亚信安全,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

进化

进化

北大首届互联网CIO-CTO班全体同学 著 / 人民邮电出版社 / 2014-10 / 39

精彩视频:http://v.youku.com/v_show/id_XNzkyNzAyNDA0.html 京东购买链接:http://item.jd.com/11549275.html 互动出版网购买链接:http://product.china-pub.com/4352423 互联网是一个年轻的行业,同时也是一个推陈出新、不断进化的行业。 本书是北京大学首届互联网CIO-......一起来看看 《进化》 这本书的介绍吧!

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具