摘要:一、背景腾讯安全威胁情报中心检测到挖矿木马 ThanatosMiner(死神矿工)利用 BlueKeep 漏洞 CVE-2019-0708 攻击传播。攻击者将公开的 Python 版本 BlueKeep 漏洞利用代码打包
一、背景
腾讯安全威胁情报中心检测到挖矿木马 ThanatosMiner(死神矿工)利用 BlueKeep 漏洞 CVE-2019-0708 攻击传播。攻击者将公开的 Python 版本 BlueKeep 漏洞利用代码打包生成 scan.exe,大范围扫描随机生成的 IP 地址进行探测和攻击。漏洞利用成功后执行 shellcode 下载 C# 编写的木马 svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因 Payload 程序 Assembly Name 为 ThanatosCrypt,将该挖矿木马命名为 ThanatosMiner(死神矿工)。
2019 年 5 月 15 日,微软发布了针对远程桌面服务(Remote Desktop Services )的关键远程执行代码漏洞 CVE-2019-0708 的安全更新,该漏洞影响某些旧版本的 Windows。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作——意味着,存在漏洞的电脑只需要连网,勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep 漏洞(CVE-2019-0708)是所有安全厂商都异常重视的高危漏洞。
该漏洞影响旧版本的 Windows 系统,包括:
Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。
Windows 8 和 Windows 10 及之后版本不受此漏洞影响。
二、样本分析
攻击模块 scan.exe 通过 pyinstaller 打包 Python 代码生成 exe,使用 pyinstxtractor.py 可解压出 Python 编译后的无后缀文件 scan。pyinstaller 在打包 pyc 的时候会去掉 pyc 的 magic 和时间戳,而打包的系统库文件中这两项内容会被保留,所以可以查看解压出的系统库中的 magic 和时间戳并添加到 scan 的文件头,然后将其命名为 scan.pyc,并通过 uncompyle6 进行反编译,可以还原的 Python 代码 scan.py。
分析发现,Python3 版本编译后的二进制文件开头为 e3 00 00 00 00 00 00 00,Python2 版本通常为 63 00 00 00 00 00 00 00。
scan.py 获取本机同网段 IP 地址,以及随机生成的外网 IP 地址扫描 3389 端口。
利用公开的 BlueKeep 漏洞 CVE-2019-0708 攻击代码进行攻击。
漏洞攻击成功执行 shellcode 命令,在 %Temp% 目录下创建 DO.vbs,下载执行 http [ : ] //download.loginserv.net/svchost.exe。
Payload 木马 svchost.exe 采样 C# 编写,代码经过 Dotfuscator 混淆处理,可使用开源工具 De4dot 去除部分混淆,程序的 Assembly Name 为 ThanatosCrypt。
运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。
SYSTEMCurrentControlSetEnumSCSIDisk&Ven_VMware_&Prod_VMware_Virtual_S
SYSTEMCurrentControlSetControlCriticalDeviceDatabaseroot#vmwvmcihostdev
SYSTEMCurrentControlSetControlVirtualDeviceDrivers
SOFTWAREVMWare, Inc.VMWare Tools
SOFTWAREOracleVirtualBox Guest Additions
C:windowsSysnativeDriversVmmouse.sys
C:windowsSysnativeDriversvmci.sys
C:windowsSysnativeDriversvmusbmouse.sys
C:windowsSysnativeVBoxControl.exe
通过 IsDebuggerPresent ( ) 、IsDebuggerAttached ( ) 、CheckRemoteDebuggerPresent ( ) 判断进程是否被调试。
若无虚拟机环境、未处于被调试状态则继续执行。
然后 svchost.exe 继续下载 http [ : ] //download.loginserv.net/scan.exe 进行扫描攻击,以及下载 http [ : ] //download.loginserv.net/xmrig.exe 挖矿门罗币。
IOCs
Domain
download.loginserv.net
MD5
scan.exe
608915ba7d1a3adbfb632cd466d6a1ca
svchost.exe
2db2c1de5797eac67d497fe91cb7448f
shell32.exe
a66144032e62a6f6fa9b713c32cb6627
857b1f5e9744006241fe2d0915dba201
windowsservice.exe
6d28a08caf2d90f5d02a2bf8794c7de9
thanatoscrypt.exe
7afb5dd9aba9d1e5dcbefb35d10cc52a
mine.exe
ec0267e5ef73db13e880cf21aeb1102a
URL
http [ : ] //download.loginserv.net/svchost.exe
http [ : ] //download.loginserv.net/xmrig.exe
http [ : ] //download.loginserv.net/scan.exe
http [ : ] //download.loginserv.net/mine.exe
相关文章推荐
新网新人专享,注册领SSL证书百元神券2022-09-15
新网与亚洲诚信达成战略合作,携手共建安全云生态2022-09-06
企业网站没有SSL证书,你将面临......2022-09-27
SSL协议、TLS协议,有什么区别?2022-09-26
网站跳出率高?可能是没装SSL证书2022-09-26