针对Web服务器的MassMiner恶意软件

导语:安全研究人员已经发现了新一波感染整个网络的服务器的加密货币挖掘恶意软件,此恶意软件正在使用多种漏洞利用来访问易受攻击和未打补丁的系统来安装Monero矿工。

2018年恶意软件最大的趋势之一是各种加密货币恶意软件瞄准了服务器。

我们称之为“MassMiner”的一个采矿恶意软件家族脱颖而出,它不仅通过大量不同的漏洞进行传播,而且还暴力攻击Microsoft SQL Server。令我们感到惊讶的是,它在单个可执行文件中利用了多种不同的漏洞攻击和黑客工具。

MassMiner首先在本地网络内传播,然后尝试在更广泛的互联网上传播:

 

MassMiner有许多不同的版本,而蜜罐数据表明他们仍在继续传播:

一个已感染MassMiner的机器试图利用Apache Struts漏洞进行传播

这一个网站记录了多个国家受感染的蜜罐,与真实受感染系统相符:

这些数字可能仅代表受感染系统中的少数。

侦察

MassMiner包含MassScan,一个可以在6分钟内扫描互联网的工具。MassScan接受一系列IP范围以在执行期间进行扫描,其中包括专用和公用IP。

利用

然后MassMiner继续针对易受攻击的系统运行漏洞攻击,其中包括:

· CVE-2017-10271 WebServer漏洞

· CVE-2017-0143 SMB 漏洞(EternalBlue, 用于安装 DoublePulsar)

· CVE-2017-5638 Apache Struts漏洞

· 使用SQLck暴力攻击Microsoft SQL服务器

安装

受感染的Microsoft SQL Server首先安装MassMiner的脚本:

通过SQL安装MassMiner

然后是一个超过1000行的SQL脚本script ,它禁用了许多重要的安全功能:

SQL 脚本禁用反病毒

受感染的Weblogic服务器通过PowerShell下载MassMiner:

并且使用一个简短的VisualBasic脚本将恶意软件部署到受控制的Apache Struts服务器上:

建立环境

一旦安装了恶意软件,它就会建立系统以避免检测并确保持久性:

· 它将自身复制到'C:\Windows\ime\taskhost.exe'和启动文件夹以实现持久性

· 安排执行其组件的任务

· 通过运行cacls.exe修改ACL以授予对系统中某些文件的完全访问权限,命令为:cmd /c schtasks /create /sc minute /mo 1 /tn 'Flashfxl' /ru system /tr 'cmd /c echo Y|cacls C:\Windows\TEMP\Networks\taskmgr.exe /p everyone:F

· 使用以下命令关闭Windows防火墙: cmd /c net stop MpsSvc

命令与控制

MassMiner首先从http://server/Cfg.ini下载配置文件,指定:

Cfg.ini下载的MassMiner与我们原始的样本稍微不同

· 服务器从哪儿下载更新

· 用来感染其他机器的可执行文件

· 用于发送门罗币的钱包和采矿池

但是,如果配置文件的http请求未得到响应,则恶意软件可以使用其默认配置成功运行Miner。

Gh0st后门

我们分析的一个样本还安装了经典的Gh0st后门,它与域名rat.kingminer [.]club进行通信。

兑现

我们已经确定了两个属于攻击者的Monero钱包:

· 44qLwCLcifP4KZfkqwNJj4fTbQ8rkLCxJc3TW4UBwciZ95yWFuQD6mD4QeDusREBXMhHX9DzT5LBaWdVbsjStfjR9PXaV9L

· 49Rocc2niuCTyVMakjq7zU7njgZq3deBwba3pTcGFjLnB2Gvxt8z6PsfEn4sc8WPPedTkGjQVHk2RLk7btk6Js8gKv9iLCi

使用 OTX Threat Hunter检测

我们最近发布了一款免费工具OTX Threat Hunter,用于寻找各主机之间的IoC指标。OTX Threat Hunter通过以下方式检测到Mass Miner:

· 基于文件和网络的指标(见下文)

· 通用检测与采矿池服务器的通信以及采矿软件的执行

· Yara规则(见原文)

网络指标

list.idc3389[.]top

down.idc3389[.]top

vps.idc3389[.]top

down.kingminer[.]club
list.kingminer[.]club
rat.kingminer[.]club

ppxvip1.ppxxmr[.]com (采矿池服务器)

样本Hash

8522E61D14D3186996D5017031E269B124290396DA2C4CABE8C2437D165F07D9

OTX(here

MassMiner

6 DAYS AGO BY ALIENVAULT

· 15YARA

· 272SHA256

· 7HOSTNAME

· 13MD5

SUBSCRIBE 

DOWNLOAD 

powered by Open Threat Exchange

Yara规则(见原文)

源链接

Hacking more

...