Bluehero挖礦蠕蟲變種空降

2019-06-23 53879人圍觀 ,發現 3 個不明物體 系統安全

背景概述

近日,深信服安全團隊捕獲到Bluehero挖礦蠕蟲最新變種,該挖礦蠕蟲集多種功能為一體,釋放后門程序竊取主機信息,釋放Mimikatz模塊、嗅探模塊、“永恒之藍”攻擊模塊、LNK漏洞利用模塊(CVE-2017-8464)進行傳播和反復感染,最終釋放挖礦模塊進行挖礦。

通過威脅情報查詢,Bluehero挖礦蠕蟲最新變種兩個關鍵文件的創建時間均為6月3號,可以確認近期剛開始進行活動,并且有擴大感染面的趨勢。深信服安全團隊在第一時間捕獲到該變種進行分析:

Bluehero挖礦蠕蟲變種運行流程如下:

詳細分析

Download.exe

創建C:\WebKitsSDK\2.7.92目錄:

釋放并運行后門程序,該后門程序的文件名為隨機字符:

通過鏈接http://fid.hognoob.se/SunloglicySrv.exe下載SunloglicySrv.exe到C:\WebKitsSDK\2.7.92并運行:

從C2服務器下載相應的配置文件cfg.ini,如下所示:

相應的C2服務器URL地址:

http://uio.hognoob.se:63145/cfg.ini

http://uio.heroherohero.info:63145/cfg.ini

下載回來的配置文件中包含挖礦流量的礦池地址:

pxi.hognoob.se:35791

pxx.hognoob.se:35789

下載模塊的URL地址:

http://fid.hognoob.se/download.exe

后門程序

自復制到C:\Windows\system32\目錄下,名字為隨機字符:

將復制體注冊為服務,服務名為Abfdef:

通過服務啟動,連接C&C端q1a.hognoob.se的1889端口,發送主機信息:

SunloglicySrv.exe

自復制到windows目錄,以隨機字符命名:

通過命令行重新啟動:

釋放Mimikatz模塊,用于抓取域用戶密碼:

釋放嗅探模塊,掃描指定IP段:

設置ipsec規則,過濾掉相關的協議流量:

關閉主機防火墻、網絡共享、殺毒軟件等,如下所示:

創建相應的計劃任務,如下所示:

釋放“永恒之藍”攻擊模塊,進行內網橫向傳播:

釋放LNK漏洞利用模塊:

利用LNK漏洞(CVE-2017-8464)下載最開始的download.exe模塊,加速傳播:

C:\Windows\Temp目錄下釋放挖礦模塊,并運行挖礦程序:

挖礦流量如下:

IOC

DNS:

q1a.hognoob.se

URL:

http://fid.hognoob.se/download.exe

http://uio.hognoob.se:63145/cfg.ini

http://uio.heroherohero.info:63145/cfg.ini

http://fid.hognoob.se/SunloglicySrv.exe

MD5:

0FE77BC5E76660AD45379204AA4D013C(download.exe)

7B6308828105E080D7F238BB14D28874(SunloglicySrv.exe)

解決方案

1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3、更新MS17-010 補丁以及 CVE-2017-8464漏洞補丁。

*本文作者:深信服千里目安全實驗室,轉載請注明來自FreeBuf.COM

發表評論

已有 3 條評論

取消
Loading...

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图