从1月的最后一周起,趋势科技注意到越来越多的黑客工具在安装过程中会试图将看似随机的文件植入Windows目录中。据分析显示,其最终的负载是一种门罗币挖矿恶意软件变体,它扫描开放端口445,利用Windows SMB服务器漏洞MS17-010(已于2017年修补)进行感染和传播,目标是中国大陆、中国台湾、中国香港和意大利的公司。

在之前的攻击活动中,也曾有过威胁行为者使用MIMIKATZ和RADMIN配合挖矿软件的案例——利用MIMIKATZ和其他黑客工具来收集用户帐户和系统凭证;RADMIN工具则是用于获取管理员权限,并将恶意软件引入目标系统。由于命名随机、看似合法的Windows函数可能不会被检测到,RADMIN和MIMIKATZ的这种组合成为了企业资产和信息数据外泄的一个严重隐患。另外,我们发现有趣的一点是,此次检测到的样本本身并不会下载挖矿机恶意软件,而是通过RADMIN发送命令,远程下载并植入挖矿软件的负载。当需要对软件更新时,这种负载的模块化结构可能会让恶意软件的更替更容易进行。

图1.使用RADMIN和MIMIKATZ的门罗币挖矿恶意软件例程

该恶意软件变体(趋势科技检测到为Trojan.Win32.INFOSTEAL.ADS)在从受感染的网站下载到系统中,或被其他恶意软件植入后,可以通过删除与初始下载相关的旧版本、文件和进程进行重新安装,以确保感染过程得到更新。

图2.该样本能利用自身资源创建一个名为C:\windows\temp\tt .exe (Trojan.Win32.INFOSTEAL.ADS)的文件,执行后启动更新操作。

图3.样本会检查当前名称是否为svhost.exe或svcho .exe。如果不是,它会终止所有旧版本的恶意软件,启用防火墙并开放端口。

该样本通过连接到多个url和IP地址,发送有关受感染计算机的信息,并下载包括加密的挖矿机和Trojan.Win32.MIMIKATZ.ADU在内的相关文件,之后样本将植入一个名为taskmgr.exe的.exe文件中(趋势科技检测为Coinminer.Win32.MALXMR.ADS),该文件解密后开启门罗币矿机。

图4.样本连接到某个URL、发送信息以及下载加密文件示例

接着该样本会在驱动器中植入修改后的自身副本,并创建一个任务来执行wmiex,在线连接以发送系统信息,下载文件后执行flushdns。

之后该样本会保存并执行下载的文件(趋势科技检测为Trojan.Win32.MIMIKATZ.ADU),这是一个Python编译的可执行文件,它将通过导入其他几个Python模块(趋势科技检测为Trojan.PS1.MIMIKATZ.ADS)来收集凭证和psexec,使攻击者能够远程执行命令。它还可以通过互联网和本地网络为开放端口445随机扫描生成的IP地址。

图5.该样本将下载的文件保存为C:\windows\temp\svchost.exe (Trojan.Win32.MIMIKATZ.ADU)并执行。

通过使用另一个名为impacket的Python模块,它会创建一个名为pipe\ .\pipe\RemCom_communicaton的管道(趋势科技检测到该工具为HackTool.Win32.Radmin.GB)来实现远程命令通信。

图6.扫描并检查开放端口

通过复制执行Trojan.Win32.INFOSTEAL.ADS,样本将利用Windows SMB服务器漏洞MS17-010,继续寻找未安装补丁(补丁于2017年10月发布)的下一位受害者,然后循环往复。

图7.遥测数据显示,在中国大陆和中国台湾,近些天的感染数量是较高的。报告还显示,即使过了农历新年,攻击事件也没有减少的趋势。

趋势科技将继续跟踪这一威胁。我们注意到,在发表报告时,探测到的感染数量又有增长的趋势。我们推测该恶意软件背后的网络犯罪分子为了预谋未来的更多攻击,正在开发此种模块化结构,通过升级特权、远程访问和使用窃取的凭证来感染尽可能多的系统,由于信息窃取者能够得到用户帐户、端口转发和系统细节等信息,并能够为远程管理功能植入黑客工具,因此如果不加以检查,攻击者通过远程访问可以在将来发起更多攻击。

结论

感染高峰是在中国的春节期间,犯罪分子可能正是利用了众人欢度节日无暇检测恶意软件活动的这段时机兴风作浪。

该技术将其行动隐藏在随机命名的文件和看似有效的函数之下,对CPU和GPU资源施加负重,这可能导致系统运行异常缓慢。

我们还注意到,这背后的行为者可能拥有中等水平的技能——通过对多个免费在线工具的组合使用:Python-compiled恶意软件、开源软件模块、过时的漏洞和免费的黑客工具——可能表明行为者仍在磨练他们的攻击能力。例如,行为者这次使用的RADMIN工具少说也有五年的历史了,已被多个引擎检测到,并且已使用较新的开源版本进行更新,其中一些已用作合法管理系统的故障排除工具。恶意软件要想成功感染目标系统,就必须在没有安装保护结构的情况下运行。行为者要么是指望目标系统安装最少的保护机制,要么就只能完全无视这一方面。

尽管如此,该技术也还是表现出了一定程度的复杂性。利用MIMIKATZ、RADMIN工具和Windows系统上关键的漏洞,并能像类似蠕虫病毒的方式传播,借以针对某些特定行业的系统,且不会被第一时间检测到。此种方式让人联想到Petya和SOBREBRECT的惯例,诸如执行psexec和在网络中横向移动时降低SMB等操作,都能降低自身被侦测的风险,但是使用这种过时的软件可能会起到反作用。

建议用户在补丁发布后,定期从合法供应商处下载补丁。对于企业,我们建议使用多层保护系统来检测、预防和解决恶意软件感染和攻击,如加密货币挖矿恶意软件,以防止它们扰乱正常的业务操作。

IOC

URLs

· dl[.]haqo[.]net/ins2.exez

· i[.]haqo[.]net/i.png

· ii[.]haqo[.]net/u.png

· o[.]beahh[.]com/i.png

· p[.]abbny[.]com/im.png

· v[.]beahh[.]com/v

· 132[.]162[.]107[.]97/xmrig-32_1.mlz

· 139[.]162[.]107[.]97/h.bat

· 153[.]92[.]4[.]49

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/monero-miner-malware-uses-radmin-mimikatz-to-infect-propagate-via-vulnerability/如若转载,请注明原文地址: http://www.4hou.com/web/16317.html
源链接

Hacking more

...