Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:9674 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
内网渗透报告及详细步骤-带教学   2020.04.02 10:07:07  89
每日安全动态推送(04-03)   2020.04.03 07:52:43  73
颤抖吧!郭某华重出江湖   2020.04.07 10:32:23  62
今日更新53个网络安全资料   2020.04.02 18:29:48  58
每日安全动态推送(04-02)   2020.04.02 07:47:28  48
免杀webshell?无限生成工具蚁剑   2020.04.04 08:01:34  47
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
换汤不换药!BlueHero挖矿团伙又双叒发新版本
本文来自公众号:深信服千里目安全实验室   2020.03.25 18:00:24

01

背景介绍


近日深信服安全团队通过威胁情报的知识图谱系统跟踪到大量BlueHero挖矿团伙的活动记录。
该团伙利用的“肉鸡”数量逐渐增多且频繁更换具有英语短语的URL,主要使用主流的Web RCE漏洞进行互联网传播。
近一个月以来累计监测到数百个IP地址发起的恶意攻击数据包流量,该病毒样本在内网同时采用“永恒之蓝 漏洞和弱密码爆破进行传播,过程中的样本与之前相比呈现出差异性新增驱动程序等特点。


02

流量特征



该团伙主要采用Apache Struts 远程代码执行漏洞、WebLogic Server wls9-async 远程代码执行漏洞、ThinkPHP5 任意代码执行漏洞、Drupal Drupalgeddon2 远程命令执行漏洞等进行传播,且主要针对常见的web端口(82  80  7001  443  8000  81  8080),并将一串恶意连接命令写入对应的payload字段当中。如果被攻击目标存在脆弱性将会从互联网上下载并执行对应程序从而导致被感染。


在windows场景下主要使用powershell.exe  certutil.exe从互联网上下载样本母体download.exe后直接执行,保存在本地的常见路径为为C: windows/temp 或%systemroot%/temp.


利用S2传播的payload数据包字段如下:


从数据流量与过程中的ini配置文件来看,该团伙在互联网上十分活跃且更新较为频繁,文件的大小从4085248KB增加到目前的7300096KB攻击传播模块组件丰富 文件母体的命名一直都是download.exe未曾发生变化。
2020年2月份配置文件:


2019年8月份配置文件:


2019年3月份的配置文件如下:


03

样本分析


该团伙的主要入口点样本为download.exe在运行后释放文件
C:\Users\G4rb3n\AppData\Local\Temp\cnmbd.exe并创建进程。


这个病毒文件是Gh0st远控,它会自复制到多个路径并为其添加任务计划及服务。


然后从C&C服务器下载传播模块lanmktmrm.exe。


跟之前的变种相似,Corporate下的是mimikatz工具,随机名文件夹neiulgfnd下的是s扫描器和masscan扫描器,UnattendGC则是永恒之蓝攻击包。


除了对内网进行爆破/永恒之蓝攻击以外,传播模块还会对公网的指定B段、C段IP进行攻击。


各个漏洞攻击的payload硬编码在传播模块中。


利用了如下方式进行传播
  • PHPStudy后门

  • 永恒之蓝漏洞

  • 弱密码爆破

  • Apache Struts2远程代码执行漏洞【CVE-2017-5638】

  • ThinkPHP5任意代码执行漏洞【CNVD-2018-24942】

  • Oracle Weblogic Server远程命令执行漏洞【CVE-2018-2628/CVE-2019-2725】

  • Drupal Drupalgeddon2远程命令执行漏洞【CVE-2018-7600】

  • Apache Solr漏洞【CVE-2019-0193】

  • Tomcat漏洞【CVE-2018-12615】


bcbeuy.exe是封装的XMRig挖矿程序,同目录还新增了一个名为WinRing0x64.sys可疑驱动。


WinRing0x64.sys的驱动的核心代码如下:


04

加固建议


深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:


深信服安全团队提醒广大用户,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
4、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
5、深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

05

IOC



URL:

http://ero.bckl.ir/download.exe

http://cb.fuckingmy.life

http://mi.simimasai.fun

http://fk.openyourass.xyz/download.exe

http://194.180.224.106/download.exe

http://ae86.decode0x.site:63145/cfg.ini

http://194.180.224.106:63145/cfg.ini

http://ae86.decode0x.host:63145/cfg.ini

qlo.amqw.ir

fk.openyourass.icu

ae86.decode0x.pw

ae86.decode0x.online

ae86.decode0x.host

ae86.decode0x.site

fk.openyourass.xyz

CC  IP:

194.180.224.106

Md5:

download.exe  AC4C9C3934102BFDC3BFAC36420272A8

lanmktmrm.exe  805AB39690FFD07CF2AB558D2B514306

bnczbtntl.exe  7672877800A4D7ADED0CA75F88432A25

vfshost.exe  1F2E820A81AE38E9E8DC173975AB57A6

fuacnkpp.exe  EA774C81FE7B5D9708CAA278CF3F3C68

dayvtvliy  8BD2C5E849ABC51E721568871E670DFC

spoolsrv.exe  22BB1452CA9BC4B8D346368D3F4DB6C2



关注我们

解锁更多精彩内容

深信服千里目安全实验室



文章推荐:

微软Type 1字体解析远程代码执行漏洞安全风险通告(ADV200006)

Fastjson caucho-quercus远程代码执行漏洞

攻击者利用通达OA漏洞释放勒索病毒,用户数据遭到加密

G-Bot僵尸网络与Apocalypse RAT远控木马分析报告

【漏洞公告】Adobe Codefusion任意文件读取和任意文件包含漏洞

【漏洞公告】Nginx/OpenResty目录穿越漏洞