H2Miner
警惕程度 ★★★
影响平台: Windows/Linux
病毒执行体描述
攻击者利用漏洞入侵Windows平台和Linux平台。在Windows平台中,失陷主机下载并执行wbw.xml的XML文件,在XML文件中执行一段PowerShell命令,下载名为1.ps1的脚本,该脚本下载挖矿程序以及挖矿的配置文件并重命名执行,创建计划任务每30分钟执行一次1.ps1脚本,实现持久化长期驻留失陷主机;在Linux平台中,失陷主机下载并执行名为wb.xml的XML文件,该XML文件使用同样的手法内嵌了一段bash脚本,执行后下载挖矿脚本,主要功能包括清除竞品挖矿程序和计划任务、MD5校验、卸载安全软件和下载Kinsing恶意软件并执行等。Kinsing恶意软件不仅具有挖矿功能,还会在失陷主机上开放后门以及masscan端口扫描等功能,连接C2服务器上传版本号、内核数量、内存信息、操作系统信息、是否获得Root 权限和Uuid等信息,并会下载后续脚本进行横向移动等。
Windows平台传播途径
在Windows平台中,攻击者向受害主机发送一个构造好的数据包,将该数据包中的可执行代码部分架设在远程服务器的XML文件中,当漏洞利用成功后,受害主机就会访问攻击者架设远程服务器的XML文件,并解析执行。
Linux平台传播途径
Linux平台传播与Windows平台传播途径一样,同样向受害主机上发送构造好的数据包,将该数据包中的可执行代码部分架设在远程服务器的XML文件中,当漏洞利用成功后,受害主机就会访问攻击者架设远程服务器的XML文件,并解析执行。
根据攻击事件对样本进行梳理得到如下信息:
Windows样本分析
1.ps1
定义门罗币挖矿程序地址和配置文件的下载路径以及保存路径和挖矿程序名等信息:
下载挖矿程序,并将挖矿程序保存在TMP目录下,并重命名为sysupdate.exe。
下载挖矿配置文件,并将配置文件保存在TMP目录下,并重命名为config.json。
更新程序和创建计划任务,创建名为Update service for Windows Service的计划任务,无限期地每隔30分钟重复一次。该计划任务使用PowerShell执行1.ps1脚本。
配置文件config.json
配置文件中有5个矿池地址,钱包地址均为4ASk4RhUyLL7sxE9cPyBiXb82ofekJg2SKiv4MKtCbzwHHLQxVVfVr4D4xhQHyyMTieSM5VUFGR9jZVR5gp6sa1Q2p8SahC,以下为配置文件中部分内容:
Linux样本分析
md.sh
下载两个脚本文件,两个脚本文件的作用是卸载被感染主机上的安全软件。
清除竞品的挖矿程序。
清除竞品的计划任务。
kinsing恶意软件
挖矿
样本执行后,会在tmp目录下创建名为kdevtmpfsi的挖矿程序并执行。
后门功能
该后门代码可以实现在主机上执行任意命令。
masscan扫描
创建名为firewire.sh的脚本文件,该脚本文件中内置了一个MD5哈希值,该哈希值经验证,为masscan扫描器。masscan 是一个高性能的端口扫描器,它的功能类似于nmap工具。
C2通信
恶意软件通过 HTTP 与 C2 服务器进行通信,失陷主机会请求发送系统状态和系统资源信息,例如内核数量、内存信息、操作系统信息、是否获得Root 权限和UUID等。所有这些参数都使用自定义 HTTP 头发送给 C2 服务器。
失陷主机不断通过get请求C2服务器,Sign字段为服务器响应后传递的恶意 Shell 脚本。
失陷主机会使用/mg对C2服务器进行请求,C2服务器会响应几个字符,失陷主机使用 JSON-RPC 的形式通过 HTTP 发送主机信息。
下载cron.sh脚本,功能是结束竞品挖矿程序。
下载spre.sh脚本,脚本会从/.ssh/config,.bash_history, /.ssh/known_hosts进行搜索和匹配,来发现攻击目标,并找到与其相对应的身份验证的信息,检查~/.ssh/config、~/.bash_history和.ssh/known_hosts尝试进行横向移动等操作。
关联分析
通过关联分析,我们找到该组织的资产上另一个脚本文件xx.sh,xx.sh的功能是从 194.38.20.199/libsystem.so处下载名为 libsystem.so的Rootkit以及其他恶意软件。然后其他脚本将该 Rootkit预加载到/etc/ld.so.preload。
该脚本还注册一个定期重新感染主机的系统服务来持久化。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
Zloader
警惕程度 ★★★
影响平台:Windows
Zloader是一种旨在窃取用户凭据和私人信息的银行恶意软件,它以简单而复杂的感染链回归。之前在2020年出现的Zloader活动使用恶意文档、成人网站和Google广告来感染系统。新活动的证据在2021年11月初左右首次出现。感染链中包含的技术包括使用合法的远程管理软件(RMM)来获得对目标机器的初始访问权限。
然后恶意软件利用微软的数字签名验证方法将其有效载荷注入到签名的系统DLL中,以进一步逃避系统的防御。这一证据表明,Zloader活动的作者在防御规避方面付出了巨大努力,并且仍在每周更新他们的方法。
感染始于在受害者机器上安装Atera 软件。Atera是一款合法的企业远程监控和管理软件,专为IT使用而设计。Atera可以安装代理并使用包含所有者电子邮件地址的唯一 .msi文件将端点分配给特定帐户。活动作者使用临时电子邮件地址创建了此安装程序 (b9d403d17c1919ee5ac6f1475b645677a4c03fe9):“Antik.Corp@mailto.plus”。该文件模仿Java安装,就像之前的 Zloader活动一样。截至目前,尚未完全了解此文件的确切分发方法。
一旦代理安装在机器上,攻击者就可以完全访问系统并能够上传/下载文件、运行脚本等。Atera为新用户提供30天的免费试用,这对攻击者来说足够了悄悄地获得初始访问权限。此前,Conti勒索软件组织使用Atera来获得持久性和远程访问。
安装代理后,攻击者然后使用“运行脚本”功能将两个.bat 文件上传并运行到设备上:
defender.bat用于修改Windows Defender首选项。
load.bat用于加载恶意软件的其余部分。
其余文件托管在域teamworks455[.]com上并从那里下载。
load.bat脚本下载并运行new.bat,它检查管理员权限并使用BatchGotAdmin脚本请求它们。然后它继续下载另一个bat文件 (new1.bat)。这个新脚本为Windows Defender添加了更多针对不同文件夹的排除项,禁用了机器上可用于检测和调查的不同工具,例如cmd.exe和任务管理器。它还会将其他文件下载到%appdata%文件夹中:
9092.dll–主要负载,Zloader。
adminpriv.exe–Nsudo.exe。启用具有提升权限的运行程序。
appContast.dll–用于运行9092.dll和new2.bat。
reboot.dll–也用于运行9092.dll。
new2.bat–禁用“管理员批准模式”并关闭计算机。
auto.bat–放置在 Startup文件夹中,用于引导持久性。
接下来,脚本以文件appContast.dll作为参数运行mshta.exe。当我们仔细查看DLL时,我们注意到该文件是由Microsoft使用有效签名进行签名的(请参见下面的进一步说明),其原始文件名为AppResolver.dll。
然后,此脚本使用写入%temp%目录的文件WScriptSleeper.vbs 进入休眠阶段。接下来,它使用regsvr32.exe运行9092.dll(主要的 Zloader 负载)。
Malwarebytes于2020年5月发布了对Zloader的完整技术分析。最终,恶意软件调用msiexec.exe并将其有效载荷注入正在运行的进程中。Msiexec 然后与域lkjhgfgsdshja[.]com中的C2服务器通信。
最后,new2.bat脚本编辑注册表 SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System禁用“管理员在管理员批准模式”用户类型,默认情况下以完全管理员权限运行所有应用程序,然后关闭计算机以使更改生效。
当恶意软件最初运行时,它会在启动文件夹下放置一个auto.bat 脚本,该脚本运行mshta.exe,以reboot.dll作为参数。类似于appContast.dll,然后脚本自行删除。在下图中,我们看到使用zoom.dll 和9092.dll调用regsvr32.exe。文件zoom.dll 丢失,这表明该活动可能仍在开发中,我们将在未来看到它。
将恶意代码注入msiexec.exe 后,会在 HKCU\Software\Microsoft\Windows\CurrentVersion\Run下创建一个随机注册表项值。这将运行带有9092.dll 副本的regsvr32.exe,该副本位于%appdata%中新创建的文件夹中。这就是恶意软件在下次系统重新启动时仍然存在的方式。
预防和清除:
不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。
钓鱼网站提示:
1、假冒亚马逊类钓鱼网:
https://www-drv.com/site/tkqcyrr0mdjbxcscn6agiq/page/
危害:骗取用户邮箱账号及密码信息。
2、假冒PDF类钓鱼网:
http://www.capelini.com.br/adobeCom/inc/
危害:骗取用户账号及密码信息。
3、假冒Paypal类钓鱼网:
http://www.skblibrary.org.in/cottonlibrary/a
危害:骗取用户账号及密码信息。
4、假冒腾讯游戏类钓鱼网站:
http://www.dnf233.com/
危害:骗取用户信用卡号及密码信息。
5、假冒Gmail类钓鱼网站
http://www.ilona.com/wcmilona/wp-includes/SimplePie/Data/
危害:骗取用户邮箱账号及密码信息。
请勿打开类似上述网站,保持计算机的网络防火墙打开。