“驱动人生”挖矿病毒再更新,利用“新冠病毒”邮件传播
新冠疫情在国内的防控形势已经由阴转晴,但全球范围内的爆发还在继续。在防控成为常态化的同时,人们更加关注“新冠病毒”的研究与调查。随着关注度的提升,越来越多的不法分子抓住人们关注新冠病毒的心理,利用新冠热点话题传播各类病毒。
近日,亚信安全截获“驱动人生”无文件挖矿病毒的最新变种文件,此变种能够绕过老版本的防护措施,伪装成“新冠病毒”相关邮件,通过给受感染主机的联系人发送电子邮件传播,利用人们对“新冠病毒”的好奇心,诱导收件人点击邮件附件,导致感染并继续传播病毒。
攻击流程
病毒详细分析
本次变种的计划任务是调用PowerShell访问下载a.jsp:
a.jsp是一段经过多次混淆的脚本代码:
经过多次去混淆后,得到可读代码,如下代码是获取系统磁盘信息:
获取本机IP等网络信息:
获取本机系统位数、显卡类型,以针对不同性能,运行不同挖矿程序:
其中,if.bin为传播模块,其使用多种方法进行传播,为了达到最大程度牟取暴利,病毒作者针对不同性能的主机进行定制化感染,通过对感染主机类型进行判断,选择运行模块。
如果是64位主机,则运行m6.bin:
如果感染主机为64位系统且使用独立显卡(N卡/A卡),则运行m6g.bin:
如果感染主机使用64位系统且使用N卡,则下载运行nvd.zip:
传播模块if.bin功能分析
扫描内网中存在ms17-010漏洞主机,并记录信息:
将恶意文件写入可移动磁盘、网络驱动器及各类型文件系统中,进而通过上述介质将病毒传播至其它机器:
终止其它影响此挖矿的相关服务和计划任务等:
服务池:
计划任务池:
针对开启RDP远程桌面的弱口令爆破,并记录信息:
扫描存在SMB共享445端口的主机,并记录信息:
扫描SQL Server的1433端口,对数据库进行弱口令爆破,以获取数据库信息,并记录:
弱口令爆破使用的工具:
以上为常规的传播部分,当任意一种攻击方式成功后,均会继续进行挖矿及再次传播。以下是本次变种的更新部分,即利用Outlook向邮箱联系人发送“新冠病毒”等热点话题相关的邮件进行传播:
在若干构造路径中遍历搜索Outlook,若存在Outlook,则执行if_mail.bin。该模块为构造邮件的传播模块,同样是使用已混淆的代码,经过多次去混淆,得到可读代码。
其通过遍历目录,获取邮件联系人的邮箱地址:
在邮件池中随机选取一种文本作为邮件的主题及正文:
邮件内容从下图中随机选取,有的是“新冠病毒”起源等讨论度较高的话题,还有的是伪装成熟人发送邮件,诱导收件人点击下载:
另外,其会在在邮件中添加附件readme.doc、readme.zip:
附件显示内容如下:
此文档附带CVE-2017-0199漏洞攻击代码,运行后会下载并运行mail.jsp:
运行mail.jsp后,即会创建计划任务,进行挖矿,并继续下一轮的传播:
矿池信息:
解决方案
ü 不要点击或打开来源不明的邮件、附件以及邮件中的链接;
ü 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
ü 打开系统自动更新,并检测更新进行安装;
ü 针对使用445端口的业务,进行权限限制;
ü 保持安全产品的部署及相关组件的更新;
ü 如无需使用,禁用PowerShell功能;
ü 系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新 (4013389)补丁程序详细信息请考链接: https://technet.microsoft.com/library/security/MS17-010 XP和部分服务器版WindowsServer2003特别安全补丁,详细信息请参考链接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
ü 系统打上CVE-2019-0708 RDP服务远程代码执行漏洞补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
ü 系统打上CVE-2017-8464 LNK 远程执行代码漏洞补丁:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
ü 建议安装如下补丁防止Mimikatz窃取本机密码:
IOCs
| 文件SHA-1 | 亚信安全检测名 |
|---|---|
| 1501457cecebf12acc60c7da8585e0a7ab2e928a | Trojan.Win32.POWLOAD.CMPNPD |
| b7b692c1a4138d427fe4fabaeb23f508aab806e8 | Trojan.Win64.SHELMA.SMB1 |
| 68032251ff8266ca289f344b8668fefc5f0a06bb | Trojan.PS1.LEMONDUCK.YPAE-A |
| 0af7a28d9e5a9435db125d7e46e7e20825643ca4 | Trojan.PS1.LEMONDUCK.D |
| 0237988ae9b43baf972177867b49b88db8eea517 | Trojan.PS1.LEMONDUCK.E |
| 0357d1a601d276a13a7e4ad768cac7a439f6bc0b | Possible_SMBCVE20170199 |
| c7e131259652ba8b47514b54594543f7f735be32 | Trojan.JS.FLEMSDUCK.B |
| bd2da0336e3c2f0705245c99e9aa22a19333f0a3 | TROJ_FRS.0NA103EI20 |
URL:
hxxp://d[.]ackng[.]com hxxp://t[.]awcna[.]com hxxp://t[.]tr2q[.]com hxxp://t[.]amynx[.]com
IP:
128[.]199[.]183[.]160
*本文作者:亚信安全,转载请注明来自FreeBuf.COM
About The Author
bjmayor
程序员,码农,php,python,ios,android,go,产品经理,创业。