“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

栏目: IT技术 · 发布时间: 4年前

内容简介:新冠疫情在国内的防控形势已经由阴转晴,但全球范围内的爆发还在继续。在防控成为常态化的同时,人们更加关注“新冠病毒”的研究与调查。随着关注度的提升,越来越多的不法分子抓住人们关注新冠病毒的心理,利用新冠热点话题传播各类病毒。近日,亚信安全截获“驱动人生”无文件挖矿病毒的最新变种文件,此变种能够绕过老版本的防护措施,伪装成“新冠病毒”相关邮件,通过给受感染主机的联系人发送电子邮件传播,利用人们对“新冠病毒”的好奇心,诱导收件人点击邮件附件,导致感染并继续传播病毒。

新冠疫情在国内的防控形势已经由阴转晴,但全球范围内的爆发还在继续。在防控成为常态化的同时,人们更加关注“新冠病毒”的研究与调查。随着关注度的提升,越来越多的不法分子抓住人们关注新冠病毒的心理,利用新冠热点话题传播各类病毒。

近日,亚信安全截获“驱动人生”无文件挖矿病毒的最新变种文件,此变种能够绕过老版本的防护措施,伪装成“新冠病毒”相关邮件,通过给受感染主机的联系人发送电子邮件传播,利用人们对“新冠病毒”的好奇心,诱导收件人点击邮件附件,导致感染并继续传播病毒。

攻击流程

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

病毒详细分析

本次变种的计划任务是调用PowerShell访问下载a.jsp:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

a.jsp是一段经过多次混淆的脚本代码:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

经过多次去混淆后,得到可读代码,如下代码是获取系统磁盘信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

获取本机IP等网络信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

获取本机系统位数、显卡类型,以针对不同性能,运行不同挖矿程序:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

其中,if.bin为传播模块,其使用多种方法进行传播,为了达到最大程度牟取暴利,病毒作者针对不同性能的主机进行定制化感染,通过对感染主机类型进行判断,选择运行模块。

如果是64位主机,则运行m6.bin:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

如果感染主机为64位系统且使用独立显卡(N卡/A卡),则运行m6g.bin:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

如果感染主机使用64位系统且使用N卡,则下载运行nvd.zip:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

传播模块if.bin功能分析

扫描内网中存在ms17-010漏洞主机,并记录信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

将恶意文件写入可移动磁盘、网络驱动器及各类型文件系统中,进而通过上述介质将病毒传播至其它机器:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

终止其它影响此挖矿的相关服务和计划任务等:

服务池:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

计划任务池:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

针对开启RDP远程桌面的弱口令爆破,并记录信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

扫描存在SMB共享445端口的主机,并记录信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

扫描SQL Server的1433端口,对数据库进行弱口令爆破,以获取数据库信息,并记录:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

弱口令爆破使用的工具:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

以上为常规的传播部分,当任意一种攻击方式成功后,均会继续进行挖矿及再次传播。以下是本次变种的更新部分,即利用Outlook向邮箱联系人发送“新冠病毒”等热点话题相关的邮件进行传播:

在若干构造路径中遍历搜索Outlook,若存在Outlook,则执行if_mail.bin。该模块为构造邮件的传播模块,同样是使用已混淆的代码,经过多次去混淆,得到可读代码。

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

其通过遍历目录,获取邮件联系人的邮箱地址:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

在邮件池中随机选取一种文本作为邮件的主题及正文:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

邮件内容从下图中随机选取,有的是“新冠病毒”起源等讨论度较高的话题,还有的是伪装成熟人发送邮件,诱导收件人点击下载:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

另外,其会在在邮件中添加附件readme.doc、readme.zip:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

附件显示内容如下:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

此文档附带CVE-2017-0199漏洞攻击代码,运行后会下载并运行mail.jsp:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

运行mail.jsp后,即会创建计划任务,进行挖矿,并继续下一轮的传播:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

矿池信息:

“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播

解决方案

ü 不要点击或打开来源不明的邮件、附件以及邮件中的链接;

ü 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

ü 打开系统自动更新,并检测更新进行安装;

ü 针对使用445端口的业务,进行权限限制;

ü 保持安全产品的部署及相关组件的更新;

ü 如无需使用,禁用PowerShell功能;

ü 系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新 (4013389)补丁程序详细信息请考链接: https://technet.microsoft.com/library/security/MS17-010 XP和部分服务器版WindowsServer2003特别安全补丁,详细信息请参考链接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

ü 系统打上CVE-2019-0708 RDP服务远程代码执行漏洞补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

ü 系统打上CVE-2017-8464 LNK 远程执行代码漏洞补丁:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464

ü 建议安装如下补丁防止Mimikatz窃取本机密码:

https://support.microsoft.com/zh-cn/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a

IOCs

文件SHA-1 亚信安全检测名
1501457cecebf12acc60c7da8585e0a7ab2e928a Trojan.Win32.POWLOAD.CMPNPD
b7b692c1a4138d427fe4fabaeb23f508aab806e8 Trojan.Win64.SHELMA.SMB1
68032251ff8266ca289f344b8668fefc5f0a06bb Trojan.PS1.LEMONDUCK.YPAE-A
0af7a28d9e5a9435db125d7e46e7e20825643ca4 Trojan.PS1.LEMONDUCK.D
0237988ae9b43baf972177867b49b88db8eea517 Trojan.PS1.LEMONDUCK.E
0357d1a601d276a13a7e4ad768cac7a439f6bc0b Possible_SMBCVE20170199
c7e131259652ba8b47514b54594543f7f735be32 Trojan.JS.FLEMSDUCK.B
bd2da0336e3c2f0705245c99e9aa22a19333f0a3 TROJ_FRS.0NA103EI20

URL:

hxxp://d[.]ackng[.]com
hxxp://t[.]awcna[.]com
hxxp://t[.]tr2q[.]com
hxxp://t[.]amynx[.]com

IP:

128[.]199[.]183[.]160

*本文作者:亚信安全,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Introduction to Computation and Programming Using Python

Introduction to Computation and Programming Using Python

John V. Guttag / The MIT Press / 2013-7 / USD 25.00

This book introduces students with little or no prior programming experience to the art of computational problem solving using Python and various Python libraries, including PyLab. It provides student......一起来看看 《Introduction to Computation and Programming Using Python》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

MD5 加密
MD5 加密

MD5 加密工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试