跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

ThanatosMiner 来了,捕获利用BlueKeep高危漏洞攻击传播的挖矿木马


HACK1949

推荐的帖子

感谢腾讯御见威胁情报中心来稿!

原文链接:https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ

 

一、背景

腾讯安全威胁情报中心检测到ThanatosMiner(死神矿工)挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe,大范围扫描随机生成的IP地址进行探测和攻击。

漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt,将该挖矿木马命名为ThanatosMiner(死神矿工)。

2019年5月15日,微软发布了针对远程桌面服务(Remote Desktop Services )的关键远程执行代码漏洞CVE-2019-0708的安全更新,该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作——意味着,存在漏洞的电脑只需要连网,勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞(CVE-2019-0708)是所有安全厂商高度重视的高危漏洞。

该漏洞影响旧版本的Windows系统,包括:
Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。

腾讯安全系列产品已全面支持对ThanatosMiner(死神矿工)挖矿木马的查杀拦截,腾讯安全专家强烈建议用户及时修补BlueKeep漏洞,避免电脑被挖矿木马自动扫描攻击后完全控制。

二、样本分析

攻击模块scan.exe通过pyinstaller打包Python代码生成exe,使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳,而打包的系统库文件中这两项内容会被保留,所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头,然后将其命名为scan.pyc,并通过uncompyle6进行反编译,可以还原的Python代码scan.py。

http://hackernews.cc/wp-content/uploads/2020/06/2-12.png

分析发现,Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00,Python2版本通常为63 00 00 00 00 00 00 00。

http://hackernews.cc/wp-content/uploads/2020/06/3-13.png

scan.py获取本机同网段IP地址,以及随机生成的外网IP地址扫描3389端口。

http://hackernews.cc/wp-content/uploads/2020/06/4-11.pnghttp://hackernews.cc/wp-content/uploads/2020/06/5-11.png利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。

http://hackernews.cc/wp-content/uploads/2020/06/6-9.png

漏洞攻击成功执行shellcode命令,在%Temp%目录下创建DO.vbs,下载执行http[:]//download.loginserv.net/svchost.exe。

http://hackernews.cc/wp-content/uploads/2020/06/7-11.png

Payload木马svchost.exe采样C#编写,代码经过Dotfuscator混淆处理,可使用开源工具De4dot去除部分混淆,程序的Assembly Name为ThanatosCrypt。

http://hackernews.cc/wp-content/uploads/2020/06/8-9.png

运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。
SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S
SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev
SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers
SOFTWARE\VMWare, Inc.\VMWare Tools
SOFTWARE\Oracle\VirtualBox Guest Additions
C:\windows\Sysnative\Drivers\Vmmouse.sys
C:\windows\Sysnative\Drivers\vmci.sys
C:\windows\Sysnative\Drivers\vmusbmouse.sys
C:\windows\Sysnative\VBoxControl.exe

http://hackernews.cc/wp-content/uploads/2020/06/9-9.png

通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。

http://hackernews.cc/wp-content/uploads/2020/06/10-5.png
若无虚拟机环境、未处于被调试状态则继续执行。

http://hackernews.cc/wp-content/uploads/2020/06/11-5.png

然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击,以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。

IOCs

Domain

download.loginserv.net

MD5

http://hackernews.cc/wp-content/uploads/2020/06/8378f91b3ee6433f47042753bbf6d5b.pngURL
http[:]//download.loginserv.net/svchost.exe
http[:]//download.loginserv.net/xmrig.exe
http[:]//download.loginserv.net/scan.exe
http[:]//download.loginserv.net/mine.exe

 

参考链接

1.Windows远程桌面服务漏洞预警(CVE-2019-0708)
https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA

2.漏洞预警更新:Windows RDS漏洞(CVE-2019-0708)
https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ

3.Windows远程桌面漏洞风险逼近,腾讯安全提供全面扫描修复方案
https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA

4.Windows远程桌面服务漏洞(CVE-2019-0708)攻击代码现身
https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg

5.RDP漏洞(BlueKeep)野外利用预警,腾讯御知免费检测
https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA

6.永恒之蓝下载器木马再升级,集成BlueKeep漏洞攻击能力
https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...