本文講的是<b>趨勢科技再次發現無檔案惡意攻擊,攻擊目标集中在亞洲</b>,
最近趨勢科技的研究人員發現一個新的專門挖掘加密貨币的無檔案惡意攻擊軟體(被趨勢科技檢測為TROJ64_COINMINER.QO)。在七月份亞太地區的一些攻擊中,研究人員第一次發現這個惡意攻擊軟體。通過監控資料,研究人員發現顯示受此攻擊影響最大的國家,感染如下:
2017年7月至8月期間TROJ64_COINMINER.QO感染的分布情況
此攻擊使用WMI(Windows Management Instrumentation)作為其無檔案持久性機制,具體來說,它使用WMI标準事件消費者腳本應用程式(scrcons.exe)來執行其腳本。要進入系統,惡意軟體就必須使用EternalBlue漏洞 – MS17-010。無檔案WMI腳本和EternalBlue的組合使得這種攻擊非常隐蔽和持久。
攻擊過程還原
這個挖掘加密貨币的惡意軟體的感染流程分幾個階段。攻擊過程以MS17-010開始,該漏洞用于删除并運作系統上的後門(BKDR_FORSHARE.A),然後安裝各種WMI腳本。這些腳本然後連接配接到其C&C伺服器以擷取說明,并将其與其元件一起下載下傳加密貨币礦工的惡意軟體。
使用WMI進行持久化攻擊
當滿足某些條件時,以下root/subscription類就會被用于觸發惡意WMI腳本:
可以在root/subscription命名空間下的ActiveScriptEventConsumer類的執行個體中找到惡意WMI腳本。 ActiveScriptEventConsumer是持久性有效載荷,包含滿足條件時要執行的指令。對于此示例,它包含将在滿足條件時執行的惡意JScript。
ActiveScriptEventConsumer-class的惡意JScript
從ActiveScriptEventConsumer類中提取JScript會顯示以下腳本:
ActiveScriptEventConsumer類中發現的惡意JScript
通過分析JScript,惡意軟體的開發者使用多層C&C伺服器,允許他們更新适當的伺服器群組件。這将對下載下傳的惡意檔案及時進行更新,并避免被檢測到。
第一階段的C&C伺服器位于hxxp://wmi[.]mykings[.]top:8888/test[.]html,包含有關如何下載下傳加密貨币挖掘及其元件的說明。除此之外,還包含二級和三級C&C伺服器的位址。目前,研究人員對上述URL的監控顯示操作仍然有效。如下圖所示,TROJ_COINMINER.AUSWQ下載下傳實際的貨币挖掘有效載荷。這是第一次托管在hxxp://67[.]21[.]90[.]226:8888/32.zip,從URL的内容可以看出:
第一階段C&C伺服器的初始内容
最近,該URL已更新,以更改目标URL,盡管下載下傳的檔案保持不變。
C&C伺服器更新之後的内容
這表明此操作仍然活躍,因為目前,背景開發者仍在監控和更新其C&C伺服器。
__EventFilter類儲存觸發事件的條件。檢視__EventFilter類,它包含WQL查詢Select * from __timerevent where timerid =“fuckyoumm2_itimer”,可以用此查詢查找名為“fuckyoumm2_itimer”的計時器ID。
__EventFilter條件
__IntervalTimerInstruction類公開了兩個屬性:TimerID和IntervalBetweenEvents。 TimerID包含__EventFilter條件所指向的執行個體“fuckyoumm2_itimer”的唯一名稱,而IntervalBetweenEvents提供惡意WMI腳本的觸發時間。 IntervalBetweenEvents屬性以毫秒為機關。就拿這個例子來說,它顯示間隔為10800000毫秒,或180分鐘(3小時)。這意味着惡意WMI腳本将每3小時觸發一次。
__IntervalTimerInstruction觸發的時間間隔
附加資訊也可以在__AbsoluteTimerInstruction下找到,這個類會導緻在特定時間的特定日期生成事件。
__AbsoluteTimerInstruction資訊
最後,為了使所有的類和執行個體互相連接配接,需要到__FilterToConsumerBinding注冊。以下資訊就是在__FilterToConsumerBinding類下找到的。
. Full __FilterToConsumerBinding注冊
__FilterToConsumerBinding類将__EventFilter執行個體與__ActiveScriptEventConsumer執行個體關聯。它通過将類執行個體互相關聯來完成循環。它檢查__EventFilter中的Windows事件将與__ActiveScriptEventConsumer中的腳本一起執行。
緩解政策
首先,根據需要限制和禁用WMI。它需要在系統上使用管理者權限,僅授予對需要使用WMI的特定管理者帳戶組的通路将有助于降低WMI攻擊的風險。
其次,并非所有裝置都需要WMI服務。如果裝置不需要通路WMI,請禁用它以消除風險。
這次攻擊的切入點是EternalBlue,自從2017年3月以來,相關的更新檔就已經出現了。但是,還有很多裝置暴露在這個漏洞之下。是以要確定作業系統,軟體和其他應用程式都進行及時地更新。
總結
無檔案攻擊正變得越來越普遍,惡意軟體的開發者正在越來越多地直接利用在記憶體工作的合法運作。就像本文所發現的示例那樣,專門挖掘加密貨币的組織開始利用 WMI訂閱進行惡意目的并将其在無檔案的狀态下持久化,由于硬碟上沒有惡意軟體檔案,是以更難檢測。
在如今越來越複雜的攻擊環境中,隻搜尋硬碟驅動器的惡意檔案已經遠遠達不到安全保護的目的了。尋找記憶體中的證據也很困難,特别是如果攻擊在運作前還有一定的條件。通常情況下,你最終将捕獲系統記憶體,而不會觸發惡意活動。然而,有大量的Windows元件庫可能會提供調查的線索,例如shimcache,muicache或prefetch。配置Windows事件日志以監控系統活動還可以提供其他有用的資訊。
原文釋出時間為:2017年8月24日
本文作者:xiaohui
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/7367.html" target="_blank">原文連結</a>