歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

惡意挖礦軟件PCASTLE Zeroes回歸,使用多層無文件到達技術

來源:本站整理 作者:佚名 時間:2019-06-13 TAG: 我要投稿

濫用PowerShell來傳播惡意軟件是一種常見的技術,事實上這也是許多無文件威脅使用的技術。Trend Micro研究人員近期就發現和攔截了此類威脅。Trend Micro安全產品檢測到此次攻擊活動主要是針對中國的系統。攻擊首次出現是在5月17日,到5月22日達到峰值,然后進入穩定期。
進一步分析顯示這是與之前使用混淆的PowerShell腳本來傳播門羅幣挖礦惡意軟件的活動類似。之前的攻擊活動覆蓋的區域包括日本、澳大利亞、臺灣、越南、香港和印度,此次攻擊活動主要是針對中國。
此次攻擊活動中還加入了一些新的技巧。比如,使用多種傳播方法,使用執行不同任務的組件來傳播加密貨幣挖礦機。還使用多層無文件方法使惡意PowerShell腳本可以在內存中下載和執行payload。最終的PowerShell腳本也是在內存中執行的,并且打包了所有惡意路徑:使用SMB漏洞濫用、暴力破解系統、使用pass-the-hash攻擊方法,并下載payload。

最新的門羅幣挖礦惡意軟件攻擊活動
攻擊鏈分析
下面是攻擊鏈的分析過程:
1、如果成功應用繁殖方法,就會執行計劃任務或RunOnce注冊表來下載第一層PowerShell腳本;
2、第一層PowerShell腳本會嘗試訪問腳本內的URL列表,下載PowerShell命令、執行并保存為另一個計劃任務(每小時);
3、計劃任務會執行PowerShell腳本來下載和執行第二層PowerShell腳本。在下載和執行第三層PowerShell腳本前會報告系統信息給C2服務器:
· 發送給C2服務器的系統信息包括計算機名、GUID、MAC地址、操作系統、架構和時間戳;
· 發送信息的格式為{url}?ID={ComputerName}&GUID={guid}&MAC={MacAddr}&OS={OS}&BIT={Architecture}&_T={Timestamp};
· C2通信會為連接使用唯一的用戶代理:Lemon-Duck-{random}-{random}。
4、第三層PowerShell腳本會根據報告的系統信息下載加密貨幣挖礦模塊,然后使用另一個公開的codem——Invoke-ReflectivePE,注入到PowerShell進程中。還會下載負責其他路徑的PCASTLE腳本組件。該攻擊活動使用的傳播方法與之前攻擊活動中的相似,但是打包到了一個單獨的PowerShell腳本(PCASTLE)中。還使用EternalBlue漏洞利用、暴力破解、pass-the-hash等技術。
感染會繼續一直到發現要感染的系統。手動下載時的PowerShell腳本的格式如下:
Invoke-Expression $(New-Object IO.StreamReader ($(New-Object IO.Compression.DelfateStream (&(New-Object IO.MemoryStream(,$([Convert]::FromBase64String(‘’)))), [IO.Copression.CompressionMode]::Decompress)), [Text.Encoding]::ASCII)).ReadToEnd();
攻擊活動分析
攻擊活動主要目標是中國,占總檢測量的92%。從受害者分布來看,攻擊的目標并不針對某個特定行業,可能主要是因為攻擊的方法。使用SMB漏洞利用和暴力破解弱口令并不是針對特定行業的安全問題。攻擊活動的運營者也并不關心受感染的用戶是誰。
攻擊活動使用XMRig作為payload的挖礦機模塊。與其他挖礦機算法相比,門羅幣挖礦算法使用的資源并不多,也不需要大量的處理能力。也就是說可以在不讓用戶察覺的情況下進行加密貨幣挖礦活動。
該攻擊活動使用了2個域名,不同的URI和子域名對應不同的功能。
· t[.]zer2[.]com/{uri} –用于下載多層PowerShell腳本和報告系統信息
· down[.]ackng[.]com – 用于下載挖礦機payload的URL
· lpp[.]zer2[.]com:443 –payload的挖礦池
· lpp[.]ackng[.]com:443 – 第二個挖礦池
最佳實踐
攻擊者將目標轉回中國系統的意圖尚不明確。研究人員預測無文件技術是當前網絡攻擊圖譜中的最主流的威脅。目前該工具是開源的,也就是說其他黑客也可以使用。攻擊者可以利用這個合法系統管理工具來繞過傳統的安全防御措施。因此,研究人員給出以下安全最佳實踐:
· 深度防御策略。使用行為監控等安全機制來檢測和預防異常路徑和未授權的程序和腳本的運行,防火墻和入侵防御系統可以攔截惡意軟件相關的流量。
· 對系統進行更新和打補丁。攻擊者在本次攻擊活動中使用了一個擁有補丁的漏洞利用。研究人員還推薦使用虛擬補丁或嵌入式系統。
· 限制對系統管理工具的訪問。使用合法工具來繞過檢測會增加威脅。
· 對系統進行安全加固。認證和加密機制可以防止對目標系統的非授權的修改,加強賬號憑證應對暴力破解和詞典攻擊的能力。
 

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视