警惕WatchDog挖矿活动

admin
admin
admin
138514
文章
114
评论
2023年11月20日20:41:43评论56 views字数 1631阅读5分26秒阅读模式

攻击描述






山石网科情报中心近期获取了一批挖矿恶意样本。其在受害主机上执行后除了挖矿还会进行漏洞利用、清除其他挖矿进程等活动。分析对比发现这些样本疑似Watchdog挖矿活动脚本。Watchdog攻击团伙最早于2019年被披露,目前仍在活跃中。其常用攻击方式是利用redis漏洞入侵受害主机,随后进行挖矿、漏洞利用等恶意活动。

简要分析






样本为一个PowerShell脚本。其中定义了多个恶意程序与脚本的下载url和备用下载url。脚本执行后将依次检查这些文件是否存在,不存在则下载这些文件,若下载失败则使用备用url再次下载。

警惕WatchDog挖矿活动

该脚本使用SchTasks.exe创建定时任务定期执行自身。

警惕WatchDog挖矿活动

之后脚本将依次在后台执行下载的恶意可执行程序或脚本。

警惕WatchDog挖矿活动

警惕WatchDog挖矿活动

分析这些程序或脚本发现:

1、“redis-bin.exe”为挖矿程序。由于C2下载url失效,目前未获取该样本。由开源情报分析该程序应为xmrig门罗币挖矿程序。

2、“VGAuthServices.exe”为漏洞扫描利用程序。由go语言编写,使用upx加密。执行后将在受害主机中扫描利用如CVE-2015-1427、CVE-2014-3120等漏洞。以下为部分利用漏洞:

警惕WatchDog挖矿活动

3、“rsyncd.ps1”即为该脚本自身。

4、“rsysdlog.exe”同样由go语言编写,使用upx加密。其主要功能为扫描进程,并使用SchTasks计划任务保证挖矿程序持续运行。

警惕WatchDog挖矿活动

5、“clean.bat”批处理脚本会扫描并清除其他挖矿进程。以下为部分清除进程。

警惕WatchDog挖矿活动

此外还会将受害主机主机名、ip发送至C2服务器。

警惕WatchDog挖矿活动

6、“clean.exe” 由rust语言编写,使用upx加密。执行后将“bak$”用户添加到管理员用户组。脚本下该程序后并未直接执行它。

警惕WatchDog挖矿活动

山石情报中心已收录相关样本,用户可以在山石网科威胁情报中心云瞻中查看相关IOC信息:

警惕WatchDog挖矿活动


处置建议






用户可以通过使用山石网科的防火墙和NIPS产品,利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含最新安全特征信息。山石网科的防火墙不仅提供了先进的网络安全防护功能,还集成了态势感知云景的智能能力,可以高效地监测和拦截与APT组织相关的威胁情报(IOC)和恶意行为。此外,它还能够快速响应和拦截与当前安全趋势、安全事件和相关样本有关的威胁。

失陷指标






b0c08627430b7762e305880ca2714728

da4a0db31fc346355edef28f8ad23ad8

02c6ab99ec79112bcf04f71454224563

2ec4ae1aaabc5ba4b804706b72f8ce9b

fadd08a8e50e14078387806d70cba3a0

6b1b5830e221865c1b80f08f6bae9a01

45.155.250.64

www.cn2an.top


关于山石网科情报中心






山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。

山石云瞻威胁情报中心:

https://ti.hillstonenet.com.cn/

警惕WatchDog挖矿活动

山石云影沙箱:

https://sandbox.hillstonenet.com.cn/

警惕WatchDog挖矿活动

原文始发于微信公众号(山石网科安全技术研究院):警惕WatchDog挖矿活动

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月20日20:41:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕WatchDog挖矿活动https://cn-sec.com/archives/2223385.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息