歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Bluehero挖礦蠕蟲變種空降!

來源:本站整理 作者:佚名 時間:2019-06-18 TAG: 我要投稿

近日,深信服安全團隊捕獲到Bluehero挖礦蠕蟲最新變種,該挖礦蠕蟲集多種功能為一體,釋放后門程序竊取主機信息,釋放Mimikatz模塊、嗅探模塊、“永恒之藍”攻擊模塊、LNK漏洞利用模塊(CVE-2017-8464)進行傳播和反復感染,最終釋放挖礦模塊進行挖礦。
通過威脅情報查詢,Bluehero挖礦蠕蟲最新變種兩個關鍵文件的創建時間均為6月3號,可以確認近期剛開始進行活動,并且有擴大感染面的趨勢。深信服安全團隊在第一時間捕獲到該變種進行分析:


Bluehero挖礦蠕蟲變種運行流程如下:

詳細分析
Download.exe
創建C:\WebKitsSDK\2.7.92目錄:

釋放并運行后門程序,該后門程序的文件名為隨機字符:

通過鏈接http://fid.hognoob.se/SunloglicySrv.exe下載SunloglicySrv.exe到C:\WebKitsSDK\2.7.92并運行:

從C2服務器下載相應的配置文件cfg.ini,如下所示:

相應的C2服務器URL地址:
· http://uio.hognoob.se:63145/cfg.ini
· http://uio.heroherohero.info:63145/cfg.ini
下載回來的配置文件中包含挖礦流量的礦池地址:
· pxi.hognoob.se:35791
· pxx.hognoob.se:35789
下載模塊的URL地址:
· http://fid.hognoob.se/download.exe

后門程序
自復制到C:\Windows\system32\目錄下,名字為隨機字符:

將復制體注冊為服務,服務名為Abfdef:

通過服務啟動,連接C&C端q1a.hognoob.se的1889端口,發送主機信息:

SunloglicySrv.exe
自復制到windows目錄,以隨機字符命名:

通過命令行重新啟動:

釋放Mimikatz模塊,用于抓取域用戶密碼:

釋放嗅探模塊,掃描指定IP段:


設置ipsec規則,過濾掉相關的協議流量:

關閉主機防火墻、網絡共享、殺毒軟件等,如下所示:

創建相應的計劃任務,如下所示:

釋放“永恒之藍”攻擊模塊,進行內網橫向傳播:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视