Souleman 矿工利用永恒之蓝漏洞攻击企业,获利超 27万元
感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/6mTvjKUesPS0MrpoIW5_5Q
一、概述
腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现,攻击时利用永恒之蓝漏洞在内网攻击传播,攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时,会结束其他挖矿木马进程以独占资源。
对SoulemanMiner使用的下载服务器上的样本进行分析,还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。AZORult会从浏览器、邮件和各类客户端软件中获取登录密码并上传至远程服务器,Bitcoin-Grabber或将剪切板中的比特币、以太坊币、莱特币、门罗币等多个类型的数字钱包地址进行替换,企图在用户进行交易时盗取相应的数字货币。
通过公开的钱包地址查询交易历史记录,发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。
二、安全建议与解决方案
腾讯安全专家建议企业用户尽快修复永恒之蓝相关安全漏洞,避免挖矿木马利用漏洞在局域网内扩散;网管可以关闭内网暂时非必要的端口(如135、139、445、3389等),减少 *** 攻击面;使用腾讯T-Sec终端安全管理系统及腾讯电脑管家均已支持对SoulemanMiner的查杀。企业用户还可使用腾讯安全系列产品对 *** 流量进行检测,及时发现内网挖矿行为。
三、样本分析
SoulemanMiner在失陷机器解压new3.exe释放 “双脉冲星”、“永恒之蓝”漏洞攻击工具,以及1×64.dll、1×86.dll、2×64.dll、2×86.dll、3×64.dll、3×86.dll共6个Payload文件。
攻击包安装完成后,启动rundll.exe开始攻击。该文件采用Pyinstaller打包生成,我们利用开源工具pyinstxtractor.py解压文件,然后利用Easy Python Decompiler对解压出的pyc文件进行反编译得到rundll.py。
rundll.py获取本机IP地址。
针对本机IP的同A、B网段(遍历C、D网段)地址进行445端口扫描,保存结果至Result.txt。
使用“双脉冲星”、“永恒之蓝”漏洞攻击工具进行攻击。
漏洞攻击成功后,针对三组不同的IP地址,植入不同的Payload文件。
1.挖矿
Payload在目标系统执行后,分别下载x.rar、y.rar、z.rar,保存至c:\programdata\lsass4.exe
并运行。下载地址如下:
http[:]//178.32.53.209/x.rar
http[:]//178.32.53.209/y.rar
http[:]//178.32.53.209/z.rar
x.rar、y.rar、z.rar是利用NSIS生成的可执行文件,通过解压可以看到
Parameters.ini里面是配置信息:
Processlist.txt是检测运行环境是否存在监控进程:
taskmgr.exe
ProcessHacker.exe
perfmon.exe
procexp.exe
procexp64.exe
procexp32.exe
re *** on.exe
autoruns.exe
procmon.exe
aida64.exe
rpexplorer.exe
anvir.exe
AutoCloseExe.txt是需要杀死的竞品挖矿进程名单,包括WannaMiner等:
C:\Windows\System32\SearchIndexer.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\Fonts\runhost.exe
C:\Windows\debug\winlogond.exe
C:\Windows\System32\dllhost.exe
C:\Windows\System32\msdtc.exe
C:\Windows\System32\ctfmon.exe
C:\Windows\System32\TrustedHostex.exe
C:\Windows\System32\SearchProtocolHost.exe
C:\Windows\System32\wuauclt.exe
C:\Windows\YZebx\Xs.exe
C:\Windows\odeZP\dW.exe
C:\Windows\dwVSF\TW.exe
C:\Windows\AppDiagnostics\wininit.exe
C:\Windows\AppDiagnostics\svchost.exe
C:\Windows\SysWOW64\InstallShield\setup.exe
C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64\csrss.exe
C:\Windows\Fonts\Mysql\svchost.exe
C:\ProgramData\clr_optimization_v4.0.30318_64\svchost.exe
C:\Windows\svchost.exe
C:\Windows\SysWOW64\svchost.exe
C:\Windows\Fonts\Mysql\puls.exe
C:\Windows\System32\WUDFHostex.exe
C:\Program Files\Microsoft Security Client\MpCmdRun.exe
C:\Windows\Fonts\d1lhots.exe
C:\Windows\kkOqZ\wM.exe
C:\Windows\SysWOW64\Application.exe
C:\Windows\XIPNL\EM.exe
C:\Windows\MicrosoftUpdateLink.exe
C:\Windows\System32\dllhostex.exe
从NSIS脚本中可以看到,样本执行后会释放conhost.exe等文件到C:\Windows\System32\drivers\目录下,然后将conhost.exe安装为服务“WinsockSvc”启动。
conhost.exe会检测是否存在Processlist.txt的监控进程,杀死AutoCloseExe.txt中的竞品挖矿进程,然后从Parameters.ini配置的服务器地址下载挖矿木马http[:]//178.32.53.209/xm64.zip。
下载得到由开源挖矿程序XMRig编译而成的挖矿木马。
2.窃密
分析发现,SoulemanMiner使用的服务器185.228.83.153还传播除挖矿外的其他木马http[:]//185.228.83.153/st.exe,st.exe通过自解压释放自身到全局启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\。
st.exe是采用Delphi编写的窃密木马AZORult,运行后会窃取以下信息加密后发送至C2服务器:http[:]//soulemanivsusa.xyz/32/index.php
- 窃取保存在浏览器中的各类密码;
- 窃取数字加密货币钱包;
- 窃取浏览器历史记录;
- 盗取网站cookie;
- 窃取电子邮件登陆账号密码;
- 窃取Telegram、Steam密码;
- Skype密码和聊天记录;
- 获取中招机器屏幕截图;
- 执行自定义命令
3.盗取数字货币
通过服务器下载的另一样本http[:]//185.228.83.153/777.exe,自解压得到svhosts.exe,同样安装到全局启动目录下。svhosts.exe是采样C#编写的数字货币盗取程序(也称剪切板劫持木马)Bitcoin-Grabber。
Bitcoin-Grabber实时监测获取电脑剪切板内容,通过正则匹配发现其中的数字加密货币地址,并将匹配到的不同类型钱包地址替换成木马的钱包地址,以便在用户进行转账时盗取数字货币。
盗取数字货币用的钱包地址如下:
通过公开的矿池、交易历史可查到的信息,该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。
IOCs
IP
116.203.240.6
178.32.53.209
185.228.83.153
Domain
klicoverof.world
handler1.soulemanifight.club
3.soulemanifight.club
2.soulemanifight.club
1.soulemanifight.club
1.blackhohol.online
2.blackhohol.online
km1.maxvarlamoff.club
km2.maxvarlamoff.club
km1.koronavirus *** .xyz
km2.koronavirus *** .xyz
km2.dancingblack.online
1.novichok.xyz
2.novichok.xy
1.soulemanivsusa.xyz
2.soulemanivsusa.xyz
soulemanivsusa.xyz
Md5
2662452d7f77c434b185040575c87932
fdae88d3a3e21ab29f0e4390f960543c
fb59c96176c1453cd2a05eadb8368026
a8f757a0a871b2aaca3535f16f0c8b66
b9ae13778f36534ddfeccf7329f4f62e
04d04cbd71f45ad36a03fd9a3a761055
1ed7e0fdd1e072cb92b8115579aac391
8c50dabe5dd305d1f6d28f5164075ff7
0f38c4b35c4f830ba14d9237bf82af56
6fa76c8b29b4da063766d2e6df001ed6
04ac52778d6871d24a5dc957a41d84fd
4cf0ff9887c3e7de5d4c0ed9674d2903
67a7c1c24de0026b9d367fc5f0048a0e
6fa76c8b29b4da063766d2e6df001ed6
8ab5c496b795f12526e7ae0bf26365fb
URL
http[:]//178.32.53.209/x.rar
http[:]//178.32.53.209/y.rar
http[:]//178.32.53.209/z.rar
http[:]//185.228.83.153/new3.exe
http[:]//3.soulemanifight.club/z.rar
http[:]//185.228.83.153/xm32.zip
http[:]//178.32.53.209/777.exe
http[:]//185.228.83.153/777.exe
C2
http[:]//soulemanivsusa.xyz/32/index.php
“Souleman 矿工利用永恒之蓝漏洞攻击企业,获利超 27万元” 的相关文章
荷兰白帽黑客轻松攻破电网控制系统 捧走其第四座 Pwn2Own 奖杯
在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下...
苹果、Meta 被曝向伪装成执法官员的黑客提供用户数据
据知情人士透露,苹果和Meta在2021年年中回应了伪造的“紧急数据请求”,向黑客提供了用户的基本信息,如客户的地址、电话号码和IP地址。伪造的“紧急数据请求”是由多个国家/地区的执法人员的被黑电子邮件域发送的,并且经过精心设计,带有真实或虚构执法人员的伪造签名,看起来合法。 据彭博社报道,一个名...
乌克兰安全局宣称逮捕了协助俄军开展通讯中继服务的黑客
Vice 报道称,在最近一次行动中,乌克兰安全局(SBU)声称抓获了一名在乌境内为俄军提供通信服务的黑客。在当天上午 10 点发布的推文和电报消息中,SBU 分享了本次行动的诸多细节。尽管尚未得到另一独立消息源的证实,但我们已经看到了面部打码的黑客、以及所谓的通信系统照片。 电报帖子指出,黑客...
乌克兰安全研究人员吐槽 HackerOne 漏洞赏金平台不让提取资金
在俄乌冲突于 2 月下旬爆发后,许多西方国家都颁布了针对俄罗斯的制裁令。然而漏洞赏金平台 HackerOne 的做法,却让不少乌克兰安全研究人员也感到寒心。多位乌克兰黑客与研究人员在 Twitter 上控诉,HackerOne 正在阻止他们提取漏洞赏金,甚至有人被截留了数千美元。 由 Hacker...
可口可乐 161GB 数据被盗 包括金融数据、密码和商业账户等
俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。 Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询...
美政府提醒区块链行业警惕 Lazarus Group 加密货币木马应用程序
在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT...
评论列表
发表评论
