歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

BlackSquid惡意軟件分析:利用8個臭名昭著的漏洞攻擊服務器,并投放挖礦惡意軟件

來源:本站整理 作者:佚名 時間:2019-06-06 TAG: 我要投稿

如果說,攻擊者成功利用未修復的安全漏洞實現攻擊的事件,大家已經習以為常。那么,如果有攻擊者使用了8個漏洞來獲取企業資產數據及客戶信息,那么事情就變得不一樣了。
近期,我們發現了一個新型惡意軟件系列,它使用多種Web服務器攻擊和暴力攻擊方式,針對Web服務器、網絡驅動器和可移動驅動器發起攻擊。我們根據該惡意軟件所創建的注冊表名稱和主要組件文件名稱,將其命名為BlackSquid。根據多個方面,我們綜合評估該惡意軟件的危險性非常高。惡意軟件采用反虛擬化、反調試和反沙箱的方法來確定是否繼續安裝過程。此外,該惡意軟件還具有類似于蠕蟲病毒的橫向傳播行為。惡意軟件使用了一些臭名昭著的漏洞,包括EternalBlue、DoublePulsar、CVE-2014-6287、CVE-2017-12615、CVE-2017-8464以及三個針對多版本ThinkPHP的漏洞利用。
此外,網絡犯罪分子可能正在測試在惡意軟件程序中使用不同技術的可行性,以便進一步開發。我們對所獲得的樣本進行分析,發現該樣本下載并安裝XMRig Monero挖礦工具,將其作為最終Payload。然而,在未來,BlackSquid可能會與其他Payload共同使用。
根據我們的遙測發現,在5月的最后一周,針對泰國和美國發起的BlackSquid攻擊次數最多。
逃避、執行和漏洞利用
BlackSquid可以從三個初始入口點感染系統,分別是:(1)通過受感染的已知服務器訪問受感染的網頁;(2)通過漏洞作為感染Web服務器的主要原始入口點;(3)通過可移動驅動器或網絡驅動器。如果滿足以下至少一個條件,該惡意軟件會立即取消感染例程,從而避免惡意軟件被檢測到或被阻止。
檢查受害者的用戶名是否屬于常見沙箱的用戶名:
· Avira
· COMPUTERNAME
· CWSX
· Kappa
· NMSDBOX
· VBOX
· WILBERT-SC
· XPAMASTC
· XXXX-OS
· cuckoo
· cwsx-
· nmsdbox
· qemu
· sandbox
· virtual
· wilbert-sc
· xpamast-sc
· xxxx-ox
檢查磁盤驅動器型號是否屬于如下型號:
· Avira
· Kappa
· VBOX
· Qemu
· Sandbox
· test
· virtual
· vitual
· vmware
· vware
檢查設備驅動程序、進程和動態鏈接庫是否屬于下面的文件之一:
· Anubis.exe
· api_log.dll
· Cuckoo.exe
· dir_watch.dll
· ImmunityDebugger.exe
· OllyDBG.EXE
· OllyICE.exe
· Sandboxie.exe
· sandboxiedcomlaunch.exe
· sandboxierpcss.exe
· sbieDLL.dll
· SbieDrv.sys
· SbieSvc.exe
· SXIn.dll
· vboxdrv.sys
· VBoxGuestAdditions.sys
· vboxnetadp.sys
· VBoxRes.dll
· Vboxusb.sys
· Vboxusbmon.sys
· windbg.exe
· x64_dbg.exe
惡意軟件還會檢查斷點寄存器中的硬件斷點,特別是標志。在硬編碼中,如果該標志為0,則惡意軟件將會跳過例程;如果該標志為1,則惡意軟件將繼續進行感染。在撰寫本文時,該代碼被設置為0,也就意味著惡意軟件例程的這一方面仍然屬于正在開發階段。
硬編碼中硬件斷點標記為0:

一旦系統不滿足上述三個條件中的任何一個,惡意軟件例程就會繼續感染。在近期發生的安全事件中,有許多加密貨幣挖掘的惡意軟件例程都利用了EternalBlue-DoublePulsar漏洞(MS17-010 SMB遠程代碼執行漏洞)并通過網絡傳播,而BlackSquid也是如此。
EternalBlue-DoublePulsar漏洞利用的命令行:

445端口和139端口上的服務器消息塊(SMB)漏洞利用攻擊:

該惡意軟件使用嚴重漏洞CVE-2017-8464自我執行,從而在網絡和可移動驅動器中刪除自身的副本。這一遠程代碼執行(RCE)缺陷可用于獲取與本地系統用戶相同的用戶權限。
通過CVE-2017-8464執行的惡意軟件:

除了網絡傳播之外,BlackSquid還通過Web應用程序漏洞感染Web服務器。惡意軟件使用GetTickCount API作為其種子,隨機選擇要定位的IP地址,檢查該地址是否有效。在確認了地址的實時狀態之后,開始通過漏洞利用和暴力破解的方式攻擊目標。
隨機生成并檢查要定位的實時IP地址:

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视