腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner,黑客通过SQL Server服务器弱口令爆破入侵,爆破成功后在目标系统释放C#语言编写的木马as *** .exe,进一步通过该木马与C2服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。挖矿木马文件通过ZIP解压缩得到,并且会伪装成各类Windows系统服务。由于该挖矿木马的C2地址、矿池账号和文件信息均包含特征字符“MRB”,腾讯安全威胁情报中心将其命名为“MrbMiner“。
MrbMiner入侵后会释放另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载器会将挖矿木马安装为系统服务以实现持久化运行,同时会搜集中招系统信息(包括CPU型号、CPU数量、.NET版本信息),关闭Windows升级服务以及在Windows系统中添加后门账号以方便继续入侵控制。
MrbMiner挖矿木马会小心隐藏自身,避免被管理员发现。木马会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件。
腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件,推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据,MrbMiner挖矿木马已控制上千台服务器组网挖矿。
腾讯安全系列产品已支持检测、清除MrbMiner挖矿木马,详细响应清单如下:
场景
胁
情
报
威胁情报云查服务
(SaaS)
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
高级威胁追溯系统
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts
防护
(Cloud Firewall,CFW)
1)MrbMiner挖矿木马关联的IOCs已支持识别检测;
2)SQL Server弱口令爆破登陆预警。
有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw
(Cloud Workload Protection,CWP)
2)SQL Server弱口令爆破登陆预警。
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp
关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html
高级威胁检测系统
(腾讯御界)
关于T-Sec高级威胁检测系统的更多信息,可参考:
https://cloud.tencent.com/product/nta
腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
黑客通过批量扫描和爆破SQL Server服务,执行shellcode下载as *** .exe到服务器一下位置,并启动as *** .exe:
c:/program files/microsoft sql server/mssql**.mssqlserver/mssql/data/sqlmanagement/as *** .exe
c:/windows/temp/sqlmanagement/as *** .exe
as *** .exe采用C#编写,执行后首先杀死已有挖矿进程,并删除文件。
然后向服务器vihansoft.ir:3341发送上线信息“ StartProgram ok”。
从服务器mrbfile[.]xyz下载门罗币挖矿木马压缩包文件sqlServer.dll。
对下载得到的文件进行Zip解压缩。
挖矿木马文件名伪装成与Windows正常服务相似的文件名:
Microsoft Media Service.exe
Microsoft Agent System.exe
WindowsSecurityService.exe
WindowsAgentService.exe
WindowsHostService.exe
Windows Desktop Service.exe
Windows Host Management.exe
Windows Update Service.exe
SecurityService.exe
InstallWindowsHost.exe
SystemManagement.exe
文件描述也使用类似的伪装手法:
Services
Service-Mrb
WindowsSecurityService
MrbMngService
SetAllconfig()设置挖矿配置文件,首先向服务器发送消息“getConfig”获取配置文件,然后将得到的配置文件中的“rig-id”由“MRB_ADMIN”替换为“MrbAdmin-ProcessorCount”,ProcessorCount为当前机器CPU数量。
同时根据环境下不同的CPU数量设置不同的挖矿端口,默认端口为3333:
CPU:1,port:3331
CPU:2,port:3332
CPU:4,port:3334
CPU:8,port:3338
默认挖矿配置参数:
一旦检测到挖矿进程退出,则重新启动。
一旦检测到“taskmgr”进程存在,则退出挖矿进程,并删除相关文件。(非常狡猾的设计,如果用户发现系统异常,准备打开任务管理器检查时,挖矿进程就结束,并删除文件)
私有矿池:mrbpool.xyz:443
公有矿池:pool.supportxmr.com:3333
门罗币钱包:
49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk
目前该钱包的收益为7个XMR,其私有矿池收益无法查询,而挖矿木马收益主要来源于私有矿池,因此该挖矿木马的实际收益会远远超过当前数额。
分析发现,黑客入侵后释放的另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载门罗币挖矿木马之后,还会将其安装服务进行持久化,服务名为”Microsoft Agent Service”、”Windows Host Service”。
添加Windows账号”Default”,密码:”@fg125kjnhn987″,以便后续入侵系统。
执行Powershell命令,关闭系统升级服务:
获取系统内存信息:
获取IP地址:
获取CPU名称:
获取CPU数量:
获取.NET Framework版本信息:
此外,腾讯安全专家在攻击者的FTP服务器ftp[:]//145.239.225.15上,还发现了基于Linux平台和ARM平台的挖矿木马:
Linux和ARM平台挖矿使用矿池:pool.supportxmr.com:80
钱包:
498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh
该钱包目前收益3.38个XMR。
IP
145.239.225.15
145.239.225.18
Domain
mrbfile.xyz
vihansoft.ir
C&C
vihansoft.ir:3341
URL
http[:]//mrbfile.xyz/Hostz.zip
http[:]//mrbfile.xyz/PowerShellInstaller.exe
http[:]//mrbfile.xyz/sql/SqlServer.dll
http[:]//mrbfile.xyz/Agentz.zip
http[:]//mrbfile.xyz/Agenty.zip
http[:]//mrbfile.xyz/sql/syslib.dll
http[:]//mrbfile.xyz/sys.dll
http[:]//mrbfile.xyz/35/sys.dll
http[:]//mrbfile.xyz/Hosty.zip
http[:]//vihansoft.ir/sys.dll
https[:]//vihansoft.ir/Sys.dll
http[:]//vihansoft.ir/Agentx.zip
https[:]//vihansoft.ir/d.zip
http[:]//vihansoft.ir/k.exe
http[:]//vihansoft.ir/d.zip
https[:]//vihansoft.ir/Hostx.zip
http[:]//vihansoft.ir/p.zip
https[:]//vihansoft.ir/k.exe
https[:]//vihansoft.ir/Agentx.zip
https[:]//vihansoft.ir/vhost.tar.gz
https[:]//vihansoft.ir/P.zip
https[:]//github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true
https[:]//vihanSoft.ir/Agent.zip
https[:]//vihanSoft.ir/host.zip
ftp[:]//145.239.225.15/armv.tar.gz
ftp[:]//145.239.225.15/linux-os.tar.gz
ftp[:]//145.239.225.15/linuxservice.tar.gz
ftp[:]//145.239.225.15/osx.tar.gz
ftp[:]//145.239.225.15/vhost.tar.gz
ftp[:]//145.239.225.15/xmr.tar.gz
ftp[:]//145.239.225.15/arm.tar.gz
Md5
c79d08c7a122f208edefdc3bea807d64
6bcc710ba30f233000dcf6e0df2b4e91
ac72e18ad3d55592340d7b6c90732a2e
6c929565185c42e2e635a09e7e18fcc8
04612ddd71bb11069dd804048ef63ebf
68206d23f963e61814e9a0bd18a6ceaa
a5adecd40a98d67027af348b1eee4c45
c417197bcd1de05c8f6fcdbfeb6028eb
76c266d1b1406e8a5e45cfe279d5da6a
605b858b0b16d4952b2a24af3f9e8c8e
c3b16228717983e1548570848d51a23b
c10b1c31cf7f1fcf1aa7c79a5529381c
391694fe38d9fb229e158d2731c8ad7c
5d457156ea13de71c4eca7c46207890d
f1cd388489270031e659c89233f78ce9
54b14b1aa92f8c7e33a1fa75dc9ba63d
f9e91a21d4f400957a8ae7776954bd17
61a17390c68ec9e745339c1287206fdb
f13540e6e874b759cc3b51b531149003
2915f1f58ea658172472b011667053df
3cb03c04a402a57ef7bb61c899577ba4
f2d0b646b96cba582d53b788a32f6db2
5eaa3c2b187a4fa71718be57b0e704c9
8cf543527e0af3b0ec11f4a5b5970810
36254048a516eda1a13fab81b6123119
0a8aac558c77f9f49b64818d7ab12000
59beb43a9319cbc2b3f3c59303989111
ce8fdec586e258ef340428025e4e44fa
e4284f80b9066adc55079e8e564f448c
2f402cde33437d335f312a98b366c3c8
25a579dcc0cd6a70a56c7a4a0b8a1198
2d1159d7dc145192e55cd05a13408e9b
2dd8a0213893a26f69e6ae56d2b58d9d
0d8838116a25b6987bf83214c1058aad
0c883e5bbbbb01c4b32121cfa876d9d6
2d26ecc1fdcdad62e608a9de2542a1a6
27c91887f44bd92fb5538bc249d0e024
96b0f85c37c1523f054c269131755808
028f24eb796b1bb20b85c7c708efa497
门罗币钱包:
49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk
498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh
据美国国土安全部(DHS)近日透露,加入“Hack DHS”漏洞赏金项目(bug bounty program)的赏金猎人已经在国土安全部的外部系统中发现了122个安全漏洞,其中27个被评估为严重漏洞。 据悉,国土安全部已向450多名经审查的安全研究人员和道德黑客发放了总计125,600美元的奖金...
利用新冠疫情,网络犯罪分子发起各种攻击而尽可能地牟利。欧盟网络安全机构 Enisa 强调,这类活动导致雇佣黑客在过去 15 个月中成为网络安全的最大威胁。 2020 年 4 月至 2021 年 7 月进行的研究的年度报告中,Enisa 表示 COVID-19 疫情期间观察到网络犯罪分子加大了针对潜在...
美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼...
SamMobile 报道称,尽管三星总能在 Google 正式发布修复之前,就为自家规模庞大的 Android 移动设备提供安全更新。然而过去多年销售的三星智能机,还是被发现存在一个出厂即有的安全漏洞,使得黑客能够轻易提取包括密码在内的敏感信息。以色列特拉维夫大学的研究人员指出,问题在于 Galax...
据CNN报道,红十字国际委员会(ICRC)周三表示,该组织使用的一个承包商遭到的网络攻击已经泄露了超过51.5万名“高危人群”的个人数据,包括因冲突和灾难而与家人分离的人。 该人道主义组织说,黑客攻击迫使红十字会关闭了支持因冲突、移民或灾难而分离的家庭团聚的IT系统。 目前还不清楚谁是这次网络事件...
本周二,网络安全研究人员揭开了 4 个近期比较猖獗的新兴勒索软件团体,它们可能对企业和关键基础设施构成严重威胁。最近勒索软件事件激增的连锁反应表明,攻击者在从受害者那里获取报酬方面正变得越来越复杂,越来越有利可图。 在分享给 The Hacker News 的一份报告中,Palo Alto Net...