Souleman 矿工利用永恒之蓝漏洞攻击企业,获利超 27万元
感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/6mTvjKUesPS0MrpoIW5_5Q
一、概述
腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现,攻击时利用永恒之蓝漏洞在内网攻击传播,攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时,会结束其他挖矿木马进程以独占资源。
对SoulemanMiner使用的下载服务器上的样本进行分析,还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。AZORult会从浏览器、邮件和各类客户端软件中获取登录密码并上传至远程服务器,Bitcoin-Grabber或将剪切板中的比特币、以太坊币、莱特币、门罗币等多个类型的数字钱包地址进行替换,企图在用户进行交易时盗取相应的数字货币。
通过公开的钱包地址查询交易历史记录,发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。
二、安全建议与解决方案
腾讯安全专家建议企业用户尽快修复永恒之蓝相关安全漏洞,避免挖矿木马利用漏洞在局域网内扩散;网管可以关闭内网暂时非必要的端口(如135、139、445、3389等),减少 *** 攻击面;使用腾讯T-Sec终端安全管理系统及腾讯电脑管家均已支持对SoulemanMiner的查杀。企业用户还可使用腾讯安全系列产品对 *** 流量进行检测,及时发现内网挖矿行为。
三、样本分析
SoulemanMiner在失陷机器解压new3.exe释放 “双脉冲星”、“永恒之蓝”漏洞攻击工具,以及1×64.dll、1×86.dll、2×64.dll、2×86.dll、3×64.dll、3×86.dll共6个Payload文件。
攻击包安装完成后,启动rundll.exe开始攻击。该文件采用Pyinstaller打包生成,我们利用开源工具pyinstxtractor.py解压文件,然后利用Easy Python Decompiler对解压出的pyc文件进行反编译得到rundll.py。
rundll.py获取本机IP地址。
针对本机IP的同A、B网段(遍历C、D网段)地址进行445端口扫描,保存结果至Result.txt。
使用“双脉冲星”、“永恒之蓝”漏洞攻击工具进行攻击。
漏洞攻击成功后,针对三组不同的IP地址,植入不同的Payload文件。
1.挖矿
Payload在目标系统执行后,分别下载x.rar、y.rar、z.rar,保存至c:\programdata\lsass4.exe
并运行。下载地址如下:
http[:]//178.32.53.209/x.rar
http[:]//178.32.53.209/y.rar
http[:]//178.32.53.209/z.rar
x.rar、y.rar、z.rar是利用NSIS生成的可执行文件,通过解压可以看到
Parameters.ini里面是配置信息:
Processlist.txt是检测运行环境是否存在监控进程:
taskmgr.exe
ProcessHacker.exe
perfmon.exe
procexp.exe
procexp64.exe
procexp32.exe
re *** on.exe
autoruns.exe
procmon.exe
aida64.exe
rpexplorer.exe
anvir.exe
AutoCloseExe.txt是需要杀死的竞品挖矿进程名单,包括WannaMiner等:
C:\Windows\System32\SearchIndexer.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\Fonts\runhost.exe
C:\Windows\debug\winlogond.exe
C:\Windows\System32\dllhost.exe
C:\Windows\System32\msdtc.exe
C:\Windows\System32\ctfmon.exe
C:\Windows\System32\TrustedHostex.exe
C:\Windows\System32\SearchProtocolHost.exe
C:\Windows\System32\wuauclt.exe
C:\Windows\YZebx\Xs.exe
C:\Windows\odeZP\dW.exe
C:\Windows\dwVSF\TW.exe
C:\Windows\AppDiagnostics\wininit.exe
C:\Windows\AppDiagnostics\svchost.exe
C:\Windows\SysWOW64\InstallShield\setup.exe
C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64\csrss.exe
C:\Windows\Fonts\Mysql\svchost.exe
C:\ProgramData\clr_optimization_v4.0.30318_64\svchost.exe
C:\Windows\svchost.exe
C:\Windows\SysWOW64\svchost.exe
C:\Windows\Fonts\Mysql\puls.exe
C:\Windows\System32\WUDFHostex.exe
C:\Program Files\Microsoft Security Client\MpCmdRun.exe
C:\Windows\Fonts\d1lhots.exe
C:\Windows\kkOqZ\wM.exe
C:\Windows\SysWOW64\Application.exe
C:\Windows\XIPNL\EM.exe
C:\Windows\MicrosoftUpdateLink.exe
C:\Windows\System32\dllhostex.exe
从NSIS脚本中可以看到,样本执行后会释放conhost.exe等文件到C:\Windows\System32\drivers\目录下,然后将conhost.exe安装为服务“WinsockSvc”启动。
conhost.exe会检测是否存在Processlist.txt的监控进程,杀死AutoCloseExe.txt中的竞品挖矿进程,然后从Parameters.ini配置的服务器地址下载挖矿木马http[:]//178.32.53.209/xm64.zip。
下载得到由开源挖矿程序XMRig编译而成的挖矿木马。
2.窃密
分析发现,SoulemanMiner使用的服务器185.228.83.153还传播除挖矿外的其他木马http[:]//185.228.83.153/st.exe,st.exe通过自解压释放自身到全局启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\。
st.exe是采用Delphi编写的窃密木马AZORult,运行后会窃取以下信息加密后发送至C2服务器:http[:]//soulemanivsusa.xyz/32/index.php
- 窃取保存在浏览器中的各类密码;
- 窃取数字加密货币钱包;
- 窃取浏览器历史记录;
- 盗取网站cookie;
- 窃取电子邮件登陆账号密码;
- 窃取Telegram、Steam密码;
- Skype密码和聊天记录;
- 获取中招机器屏幕截图;
- 执行自定义命令
3.盗取数字货币
通过服务器下载的另一样本http[:]//185.228.83.153/777.exe,自解压得到svhosts.exe,同样安装到全局启动目录下。svhosts.exe是采样C#编写的数字货币盗取程序(也称剪切板劫持木马)Bitcoin-Grabber。
Bitcoin-Grabber实时监测获取电脑剪切板内容,通过正则匹配发现其中的数字加密货币地址,并将匹配到的不同类型钱包地址替换成木马的钱包地址,以便在用户进行转账时盗取数字货币。
盗取数字货币用的钱包地址如下:
通过公开的矿池、交易历史可查到的信息,该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。
IOCs
IP
116.203.240.6
178.32.53.209
185.228.83.153
Domain
klicoverof.world
handler1.soulemanifight.club
3.soulemanifight.club
2.soulemanifight.club
1.soulemanifight.club
1.blackhohol.online
2.blackhohol.online
km1.maxvarlamoff.club
km2.maxvarlamoff.club
km1.koronavirus *** .xyz
km2.koronavirus *** .xyz
km2.dancingblack.online
1.novichok.xyz
2.novichok.xy
1.soulemanivsusa.xyz
2.soulemanivsusa.xyz
soulemanivsusa.xyz
Md5
2662452d7f77c434b185040575c87932
fdae88d3a3e21ab29f0e4390f960543c
fb59c96176c1453cd2a05eadb8368026
a8f757a0a871b2aaca3535f16f0c8b66
b9ae13778f36534ddfeccf7329f4f62e
04d04cbd71f45ad36a03fd9a3a761055
1ed7e0fdd1e072cb92b8115579aac391
8c50dabe5dd305d1f6d28f5164075ff7
0f38c4b35c4f830ba14d9237bf82af56
6fa76c8b29b4da063766d2e6df001ed6
04ac52778d6871d24a5dc957a41d84fd
4cf0ff9887c3e7de5d4c0ed9674d2903
67a7c1c24de0026b9d367fc5f0048a0e
6fa76c8b29b4da063766d2e6df001ed6
8ab5c496b795f12526e7ae0bf26365fb
URL
http[:]//178.32.53.209/x.rar
http[:]//178.32.53.209/y.rar
http[:]//178.32.53.209/z.rar
http[:]//185.228.83.153/new3.exe
http[:]//3.soulemanifight.club/z.rar
http[:]//185.228.83.153/xm32.zip
http[:]//178.32.53.209/777.exe
http[:]//185.228.83.153/777.exe
C2
http[:]//soulemanivsusa.xyz/32/index.php
“Souleman 矿工利用永恒之蓝漏洞攻击企业,获利超 27万元” 的相关文章
乌克兰安全局关闭了五个在公民中传播恐慌和错误信息的机器人农场
据Techspot报道,乌克兰国家安全局(SBU)宣布,自俄罗斯入侵该国以来,该机构已发现并关闭了5个运营10万个社交媒体账户的机器人农场,这些账户传播与入侵有关的假新闻。 SBU在一份新闻稿中写道,这些农场位于包括哈尔科夫、切尔卡瑟、捷尔诺皮尔和外喀尔巴阡在内的地区,被用于 “大规模信息破坏”,...
苹果、Meta 被曝向伪装成执法官员的黑客提供用户数据
据知情人士透露,苹果和Meta在2021年年中回应了伪造的“紧急数据请求”,向黑客提供了用户的基本信息,如客户的地址、电话号码和IP地址。伪造的“紧急数据请求”是由多个国家/地区的执法人员的被黑电子邮件域发送的,并且经过精心设计,带有真实或虚构执法人员的伪造签名,看起来合法。 据彭博社报道,一个名...
Microsoft Defender 又一次误将 Google Chrome 更新视作可疑活动
近日,我们在 Twitter 和 Reddit 等平台上见到了不少系统管理员报告,可知问题主要集中在被 Microsoft Defender for Endpoint 安全防护软件标记为“可疑”的 Google Chrome 更新上。由于谷歌更新服务(GoogleUpdate.exe)没有给“goo...
Project Zero 报告:2021 年共发现 58 个已被黑客利用的零日漏洞
Project Zero 是由 Google 专家和分析师组成的内部团队,负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二,该团队发布公告称,在 2021 年共发现了 58 个已被黑客利用的漏洞,刷新了历史记录。 零日漏洞是指开发人员刚刚意识到的安全缺陷,因此,他们有“零天”时间来修复...
跑分软件 UserBenchmark 被 23 款安全软件误标记为“恶意软件”
反病毒软件主要根据各种病毒特征进行预防、隔离等操作,但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal,这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。 UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内...
跨越多代:三星修复影响上亿 Android 设备的硬件密钥安全漏洞
SamMobile 报道称,尽管三星总能在 Google 正式发布修复之前,就为自家规模庞大的 Android 移动设备提供安全更新。然而过去多年销售的三星智能机,还是被发现存在一个出厂即有的安全漏洞,使得黑客能够轻易提取包括密码在内的敏感信息。以色列特拉维夫大学的研究人员指出,问题在于 Galax...
评论列表
发表评论
