内容简介:新冠疫情在国内的防控形势已经由阴转晴,但全球范围内的爆发还在继续。在防控成为常态化的同时,人们更加关注“新冠病毒”的研究与调查。随着关注度的提升,越来越多的不法分子抓住人们关注新冠病毒的心理,利用新冠热点话题传播各类病毒。近日,亚信安全截获“驱动人生”无文件挖矿病毒的最新变种文件,此变种能够绕过老版本的防护措施,伪装成“新冠病毒”相关邮件,通过给受感染主机的联系人发送电子邮件传播,利用人们对“新冠病毒”的好奇心,诱导收件人点击邮件附件,导致感染并继续传播病毒。
新冠疫情在国内的防控形势已经由阴转晴,但全球范围内的爆发还在继续。在防控成为常态化的同时,人们更加关注“新冠病毒”的研究与调查。随着关注度的提升,越来越多的不法分子抓住人们关注新冠病毒的心理,利用新冠热点话题传播各类病毒。
近日,亚信安全截获“驱动人生”无文件挖矿病毒的最新变种文件,此变种能够绕过老版本的防护措施,伪装成“新冠病毒”相关邮件,通过给受感染主机的联系人发送电子邮件传播,利用人们对“新冠病毒”的好奇心,诱导收件人点击邮件附件,导致感染并继续传播病毒。
攻击流程
病毒详细分析
本次变种的计划任务是调用PowerShell访问下载a.jsp:
a.jsp是一段经过多次混淆的脚本代码:
经过多次去混淆后,得到可读代码,如下代码是获取系统磁盘信息:
获取本机IP等网络信息:
获取本机系统位数、显卡类型,以针对不同性能,运行不同挖矿程序:
其中,if.bin为传播模块,其使用多种方法进行传播,为了达到最大程度牟取暴利,病毒作者针对不同性能的主机进行定制化感染,通过对感染主机类型进行判断,选择运行模块。
如果是64位主机,则运行m6.bin:
如果感染主机为64位系统且使用独立显卡(N卡/A卡),则运行m6g.bin:
如果感染主机使用64位系统且使用N卡,则下载运行nvd.zip:
传播模块if.bin功能分析
扫描内网中存在ms17-010漏洞主机,并记录信息:
将恶意文件写入可移动磁盘、网络驱动器及各类型文件系统中,进而通过上述介质将病毒传播至其它机器:
终止其它影响此挖矿的相关服务和计划任务等:
服务池:
计划任务池:
针对开启RDP远程桌面的弱口令爆破,并记录信息:
扫描存在SMB共享445端口的主机,并记录信息:
扫描SQL Server的1433端口,对数据库进行弱口令爆破,以获取数据库信息,并记录:
弱口令爆破使用的工具:
以上为常规的传播部分,当任意一种攻击方式成功后,均会继续进行挖矿及再次传播。以下是本次变种的更新部分,即利用Outlook向邮箱联系人发送“新冠病毒”等热点话题相关的邮件进行传播:
在若干构造路径中遍历搜索Outlook,若存在Outlook,则执行if_mail.bin。该模块为构造邮件的传播模块,同样是使用已混淆的代码,经过多次去混淆,得到可读代码。
其通过遍历目录,获取邮件联系人的邮箱地址:
在邮件池中随机选取一种文本作为邮件的主题及正文:
邮件内容从下图中随机选取,有的是“新冠病毒”起源等讨论度较高的话题,还有的是伪装成熟人发送邮件,诱导收件人点击下载:
另外,其会在在邮件中添加附件readme.doc、readme.zip:
附件显示内容如下:
此文档附带CVE-2017-0199漏洞攻击代码,运行后会下载并运行mail.jsp:
运行mail.jsp后,即会创建计划任务,进行挖矿,并继续下一轮的传播:
矿池信息:
解决方案
ü 不要点击或打开来源不明的邮件、附件以及邮件中的链接;
ü 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
ü 打开系统自动更新,并检测更新进行安装;
ü 针对使用445端口的业务,进行权限限制;
ü 保持安全产品的部署及相关组件的更新;
ü 如无需使用,禁用PowerShell功能;
ü 系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新 (4013389)补丁程序详细信息请考链接: https://technet.microsoft.com/library/security/MS17-010 XP和部分服务器版WindowsServer2003特别安全补丁,详细信息请参考链接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
ü 系统打上CVE-2019-0708 RDP服务远程代码执行漏洞补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
ü 系统打上CVE-2017-8464 LNK 远程执行代码漏洞补丁:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
ü 建议安装如下补丁防止Mimikatz窃取本机密码:
IOCs
| 文件SHA-1 | 亚信安全检测名 |
|---|---|
| 1501457cecebf12acc60c7da8585e0a7ab2e928a | Trojan.Win32.POWLOAD.CMPNPD |
| b7b692c1a4138d427fe4fabaeb23f508aab806e8 | Trojan.Win64.SHELMA.SMB1 |
| 68032251ff8266ca289f344b8668fefc5f0a06bb | Trojan.PS1.LEMONDUCK.YPAE-A |
| 0af7a28d9e5a9435db125d7e46e7e20825643ca4 | Trojan.PS1.LEMONDUCK.D |
| 0237988ae9b43baf972177867b49b88db8eea517 | Trojan.PS1.LEMONDUCK.E |
| 0357d1a601d276a13a7e4ad768cac7a439f6bc0b | Possible_SMBCVE20170199 |
| c7e131259652ba8b47514b54594543f7f735be32 | Trojan.JS.FLEMSDUCK.B |
| bd2da0336e3c2f0705245c99e9aa22a19333f0a3 | TROJ_FRS.0NA103EI20 |
URL:
hxxp://d[.]ackng[.]com hxxp://t[.]awcna[.]com hxxp://t[.]tr2q[.]com hxxp://t[.]amynx[.]com
IP:
128[.]199[.]183[.]160
*本文作者:亚信安全,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 病毒利用安全产品模块 劫持流量、攻击其他安全软件
- 利用Drupal漏洞进行传播的挖矿僵尸病毒分析
- 新攻击活动正利用恶意RTF文档传播多种信息窃取类病毒
- 利用Confluence最新漏洞传播的Linux挖矿病毒seasame
- 警惕!利用Confluence最新漏洞传播的Linux挖矿病毒seasame
- 国外黑客组织利用RIGEK传播新型勒索病毒GETCRYPT(附解密工具)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Programming Python
Mark Lutz / O'Reilly Media / 2006-8-30 / USD 59.99
Already the industry standard for Python users, "Programming Python" from O'Reilly just got even better. This third edition has been updated to reflect current best practices and the abundance of chan......一起来看看 《Programming Python》 这本书的介绍吧!
