欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

BlackSquid恶意软件分析:利用8个臭名昭著的漏洞攻击服务器,并投放挖矿恶意软件

来源:本站整理 作者:佚名 时间:2019-06-06 TAG: 我要投稿

如果说,攻击者成功利用未修复的安全漏洞实现攻击的事件,大家已经习以为常。那么,如果有攻击者使用了8个漏洞来获取企业资产数据及客户信息,那么事情就变得不一样了。
近期,我们发现了一个新型恶意软件系列,它使用多种Web服务器攻击和暴力攻击方式,针对Web服务器、网络驱动器和可移动驱动器发起攻击。我们根据该恶意软件所创建的注册表名称和主要组件文件名称,将其命名为BlackSquid。根据多个方面,我们综合评估该恶意软件的危险性非常高。恶意软件采用反虚拟化、反调试和反沙箱的方法来确定是否继续安装过程。此外,该恶意软件还具有类似于蠕虫病毒的横向传播行为。恶意软件使用了一些臭名昭著的漏洞,包括EternalBlue、DoublePulsar、CVE-2014-6287、CVE-2017-12615、CVE-2017-8464以及三个针对多版本ThinkPHP的漏洞利用。
此外,网络犯罪分子可能正在测试在恶意软件程序中使用不同技术的可行性,以便进一步开发。我们对所获得的样本进行分析,发现该样本下载并安装XMRig Monero挖矿工具,将其作为最终Payload。然而,在未来,BlackSquid可能会与其他Payload共同使用。
根据我们的遥测发现,在5月的最后一周,针对泰国和美国发起的BlackSquid攻击次数最多。
逃避、执行和漏洞利用
BlackSquid可以从三个初始入口点感染系统,分别是:(1)通过受感染的已知服务器访问受感染的网页;(2)通过漏洞作为感染Web服务器的主要原始入口点;(3)通过可移动驱动器或网络驱动器。如果满足以下至少一个条件,该恶意软件会立即取消感染例程,从而避免恶意软件被检测到或被阻止。
检查受害者的用户名是否属于常见沙箱的用户名:
· Avira
· COMPUTERNAME
· CWSX
· Kappa
· NMSDBOX
· VBOX
· WILBERT-SC
· XPAMASTC
· XXXX-OS
· cuckoo
· cwsx-
· nmsdbox
· qemu
· sandbox
· virtual
· wilbert-sc
· xpamast-sc
· xxxx-ox
检查磁盘驱动器型号是否属于如下型号:
· Avira
· Kappa
· VBOX
· Qemu
· Sandbox
· test
· virtual
· vitual
· vmware
· vware
检查设备驱动程序、进程和动态链接库是否属于下面的文件之一:
· Anubis.exe
· api_log.dll
· Cuckoo.exe
· dir_watch.dll
· ImmunityDebugger.exe
· OllyDBG.EXE
· OllyICE.exe
· Sandboxie.exe
· sandboxiedcomlaunch.exe
· sandboxierpcss.exe
· sbieDLL.dll
· SbieDrv.sys
· SbieSvc.exe
· SXIn.dll
· vboxdrv.sys
· VBoxGuestAdditions.sys
· vboxnetadp.sys
· VBoxRes.dll
· Vboxusb.sys
· Vboxusbmon.sys
· windbg.exe
· x64_dbg.exe
恶意软件还会检查断点寄存器中的硬件断点,特别是标志。在硬编码中,如果该标志为0,则恶意软件将会跳过例程;如果该标志为1,则恶意软件将继续进行感染。在撰写本文时,该代码被设置为0,也就意味着恶意软件例程的这一方面仍然属于正在开发阶段。
硬编码中硬件断点标记为0:

一旦系统不满足上述三个条件中的任何一个,恶意软件例程就会继续感染。在近期发生的安全事件中,有许多加密货币挖掘的恶意软件例程都利用了EternalBlue-DoublePulsar漏洞(MS17-010 SMB远程代码执行漏洞)并通过网络传播,而BlackSquid也是如此。
EternalBlue-DoublePulsar漏洞利用的命令行:

445端口和139端口上的服务器消息块(SMB)漏洞利用攻击:

该恶意软件使用严重漏洞CVE-2017-8464自我执行,从而在网络和可移动驱动器中删除自身的副本。这一远程代码执行(RCE)缺陷可用于获取与本地系统用户相同的用户权限。
通过CVE-2017-8464执行的恶意软件:

除了网络传播之外,BlackSquid还通过Web应用程序漏洞感染Web服务器。恶意软件使用GetTickCount API作为其种子,随机选择要定位的IP地址,检查该地址是否有效。在确认了地址的实时状态之后,开始通过漏洞利用和暴力破解的方式攻击目标。
随机生成并检查要定位的实时IP地址:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载