记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

警惕BasedMiner挖矿木马爆破SQL弱口令入侵挖矿

2020-07-19 00:21

警惕BasedMiner挖矿木马爆破SQL弱口令入侵挖矿

2020-07-18 22:24:31
腾讯安全威胁情报中心检测到针对Windows服务器进行攻击的挖矿木马BasedMiner。该挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会下载Gh0st远控木马对系统进行控制,还会利用多个Windows漏洞进行提权攻击获得系统最高权限,植入门罗币挖矿木马进行挖矿,目前已获利8000元。

一、背景

腾讯安全威胁情报中心检测到针对Windows服务器进行攻击的挖矿木马BasedMiner。该挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会下载Gh0st远控木马对系统进行控制,还会利用多个Windows漏洞进行提权攻击获得系统最高权限,植入门罗币挖矿木马进行挖矿,目前已获利8000元。

因其远控模块名为based.dll,腾讯安全中心将其命名为BasedMinerBasedMiner入侵后在企业服务器植入远控木马,可能导致受害企业机密信息泄露,挖矿时严重消耗服务器资源,会影响正常业务运行。腾讯安全专家建议企业检查纠正使用弱口令登录服务器,修复服务器存在的安全漏洞,避免挖矿团伙入侵。

腾讯安全系列产品应对BasedMiner挖矿木马的响应清单如下,建议企业网管参考检查:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1BasedMiner挖矿木马黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1BasedMiner挖矿木马黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1BasedMiner挖矿木马关联的IOCs已支持识别检测;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)已支持查杀BasedMiner相关后门程序;

2)已支持 MS SQL弱密码检测 ;

3) 已支持Windows系统提权漏洞CVE-2018-8639检测;

 4)已支持Windows系统提权漏洞CVE-2017-0213检测。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)通过协议检测BasedMiner相关木马与服务器的网络通信

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

非云企业安全防护

腾讯T-Sec终端安全管理系统(御点)

1)可查杀BasedMiner挖矿木马团伙入侵释放的后门木马程序;

2)腾讯御点可支持终端检查修复Windows提权漏洞(CVE-2018-8639)。

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/

二、样本分析

攻击团伙对MS SQL服务器爆破成功后,会通过shellcode直接下载挖矿模块lsass.txt、提权攻击模块8639.exeNew.exe以及远控模块Test.txt

远控模块Test.txt被保存至C:\ProgramData\svchost.exe并执行,从资源文件中获取二进制数据“0X64,写入文件C:\ProgramFiles (x86)\Common Files\based.dll并加载到内存执行。



based.dll写入注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WcCemsvc_connection\Parameters,安装为服务” WcCemsvc_connection”进行启动。



DLLGh0st远控木马模块,导出函数ServiceMain,首次加载时传入参数“install”进行安装,通过服务启动之后连接C2地址www[.]bjcptj.com:19966,执行各类远控命令。



8639.exeWindows提权漏洞CVE-2018-8639利用程序,文件属性伪装成搜狗输入法安装程序(注意文件属于并无搜狗公司的数字签名,一看就知道这是伪造的)。


漏洞攻击程序作者为ze0rhttps[:]//github.com/ze0r/CVE-2018-8639-exp


New.exeWindows提权漏洞CVE-2017-0213利用程序。


lsass.txt是开源挖矿程序XMRig编译生成的挖矿木马,挖矿配置文件保存在资源文件“PEIZ”中,挖矿使用矿池pool.supportxmr.com:3333,门罗币钱包:

43TosPcYFbmi7GuQSQZhXHP5XhZ8K2w77XtvnP5m5pMGQGCmhgeq3ZTcBgrm62NZfzgG19fj5nEEZXoypbHHnm6SRJsLpKw



BasedMiner目前已挖矿获得17XMR,折合人民币8000元。

IOCs

Doamin

www[.]bjcptj.com

IP

221.212.96.254

Md5

Test.txt

97f35b7658f61380720073e86f2ada59

lsass.txt

cfe6457baa60685a2f838e65705c02a1

new.exe

f31a4049c6ed9f6f1395bbd5fc7c136f

ju.exe

c58cdbc08b03c24e6ae3647aeeeb2fe8

tu.exe

aaabcbc46344b2e396a0f660c9d68724

8639.exe

e8f0591076498c50e78504b4fb2055d3

URL

http[:]//221.212.96.254:14563/8639.exe

http[:]//221.212.96.254:14563/tu.exe

http[:]//221.212.96.254:14563/ju.exe

http[:]//221.212.96.254:14563/new.exe

http[:]//221.212.96.254:14563/lsass.txt

http[:]//221.212.96.254:14563/Test.txt

http[:]//bjcptj.com/ju.exe

http[:]//bjcptj.com:3215/8639.exe

http[:]//bjcptj.com:3215/tu.exe


知识来源: https://s.tencent.com/research/report/1052.html

阅读:14028 | 评论:0 | 标签:入侵

想收藏或者和大家分享这篇好文章→复制链接地址

“警惕BasedMiner挖矿木马爆破SQL弱口令入侵挖矿”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云