记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

针对Web服务器的MassMiner恶意软件

2018-05-15 12:20

2018年恶意软件最大的趋势之一是各种加密货币恶意软件瞄准了服务器。

我们称之为“MassMiner”的一个采矿恶意软件家族脱颖而出,它不仅通过大量不同的漏洞进行传播,而且还暴力攻击Microsoft SQL Server。令我们感到惊讶的是,它在单个可执行文件中利用了多种不同的漏洞攻击和黑客工具。

MassMiner首先在本地网络内传播,然后尝试在更广泛的互联网上传播:

 

MassMiner有许多不同的版本,而蜜罐数据表明他们仍在继续传播:

一个已感染MassMiner的机器试图利用Apache Struts漏洞进行传播

这一个网站记录了多个国家受感染的蜜罐,与真实受感染系统相符:

这些数字可能仅代表受感染系统中的少数。

侦察

MassMiner包含MassScan,一个可以在6分钟内扫描互联网的工具。MassScan接受一系列IP范围以在执行期间进行扫描,其中包括专用和公用IP。

利用

然后MassMiner继续针对易受攻击的系统运行漏洞攻击,其中包括:

· CVE-2017-10271 WebServer漏洞

· CVE-2017-0143 SMB 漏洞(EternalBlue, 用于安装 DoublePulsar)

· CVE-2017-5638 Apache Struts漏洞

· 使用SQLck暴力攻击Microsoft SQL服务器

安装

受感染的Microsoft SQL Server首先安装MassMiner的脚本:

通过SQL安装MassMiner

然后是一个超过1000行的SQL脚本script ,它禁用了许多重要的安全功能:

SQL 脚本禁用反病毒

受感染的Weblogic服务器通过PowerShell下载MassMiner:

并且使用一个简短的VisualBasic脚本将恶意软件部署到受控制的Apache Struts服务器上:

建立环境

一旦安装了恶意软件,它就会建立系统以避免检测并确保持久性:

· 它将自身复制到'C:\Windows\ime\taskhost.exe'和启动文件夹以实现持久性

· 安排执行其组件的任务

· 通过运行cacls.exe修改ACL以授予对系统中某些文件的完全访问权限,命令为:cmd /c schtasks /create /sc minute /mo 1 /tn 'Flashfxl' /ru system /tr 'cmd /c echo Y|cacls C:\Windows\TEMP\Networks\taskmgr.exe /p everyone:F

· 使用以下命令关闭Windows防火墙: cmd /c net stop MpsSvc

命令与控制

MassMiner首先从http://server/Cfg.ini下载配置文件,指定:

Cfg.ini下载的MassMiner与我们原始的样本稍微不同

· 服务器从哪儿下载更新

· 用来感染其他机器的可执行文件

· 用于发送门罗币的钱包和采矿池

但是,如果配置文件的http请求未得到响应,则恶意软件可以使用其默认配置成功运行Miner。

Gh0st后门

我们分析的一个样本还安装了经典的Gh0st后门,它与域名rat.kingminer [.]club进行通信。

兑现

我们已经确定了两个属于攻击者的Monero钱包:

· 44qLwCLcifP4KZfkqwNJj4fTbQ8rkLCxJc3TW4UBwciZ95yWFuQD6mD4QeDusREBXMhHX9DzT5LBaWdVbsjStfjR9PXaV9L

· 49Rocc2niuCTyVMakjq7zU7njgZq3deBwba3pTcGFjLnB2Gvxt8z6PsfEn4sc8WPPedTkGjQVHk2RLk7btk6Js8gKv9iLCi

使用 OTX Threat Hunter检测

我们最近发布了一款免费工具OTX Threat Hunter,用于寻找各主机之间的IoC指标。OTX Threat Hunter通过以下方式检测到Mass Miner:

· 基于文件和网络的指标(见下文)

· 通用检测与采矿池服务器的通信以及采矿软件的执行

· Yara规则(见原文)

网络指标

list.idc3389[.]top

down.idc3389[.]top

vps.idc3389[.]top

down.kingminer[.]club
list.kingminer[.]club
rat.kingminer[.]club

ppxvip1.ppxxmr[.]com (采矿池服务器)

样本Hash

8522E61D14D3186996D5017031E269B124290396DA2C4CABE8C2437D165F07D9

OTX(here

MassMiner

6 DAYS AGO BY ALIENVAULT

· 15YARA

· 272SHA256

· 7HOSTNAME

· 13MD5

SUBSCRIBE 

DOWNLOAD 

powered by Open Threat Exchange

Yara规则(见原文)

本文翻译自:https://www.alienvault.com/blogs/labs-research/massminer-malware-targeting-web-servers如若转载,请注明原文地址: http://www.hackdig.com/05/hack-51935.htm

知识来源: www.4hou.com/web/11606.html

阅读:48426 | 评论:0 | 标签:Web安全 MassMiner恶意软件

想收藏或者和大家分享这篇好文章→复制链接地址

“针对Web服务器的MassMiner恶意软件”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词