安全動態(tài)

Windows與Linux雙平臺無文件攻擊:PowerGhost挖礦病毒最新變種感染多省份

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-12-04    瀏覽次數(shù):
 

信息來源:FreeBuf

背景

PowerGhost是從2018年被發(fā)現(xiàn)使用powershell無文件方式進行攻擊感染的挖礦以及DDOS病毒,本次深信服安全團隊捕獲到其最新樣本,其感染方式利用了永恒之藍,MSSQL爆破,SSH爆破,wmi以及smb爆破遠程命令執(zhí)行等,同時對windows和linux進行攻擊,一旦該病毒進入內(nèi)網(wǎng),會在內(nèi)網(wǎng)迅速傳播。目前其主要感染地區(qū)在廣東、浙江、上海以及江蘇。

 

詳細分析

該病毒母體模塊分為2個版本,x86和x64,x86使用antitrojan.ps1,x64使用antivirus.ps1,本次分析x64版本的antivirus.ps1。

當(dāng)前病毒版本為1.5。

母體payload分布以及執(zhí)行圖,antivirus.ps1中主要分為3個部分,如下圖:

第一段payload,開頭部分如下:

Invoke-WmiExec以及Invoke-SmbExec遠程命令執(zhí)行。

永恒之藍利用,$sc為shellcode,主要從網(wǎng)上下載惡意腳本進行感染。

SSH爆破,加載的SSH模塊Rence.SshNet。

MSSQL爆破。

隨著最近網(wǎng)絡(luò)加密貨幣升值,會有更多的黑產(chǎn)將注意力轉(zhuǎn)到挖礦,其挖礦流量如下,到目前為止該地址已經(jīng)賺取了3個幣。

Middle部分,一段混淆的代碼,主要功能執(zhí)行第一段payload。

第二段payload,也是混淆過的,部分內(nèi)容如下。主要創(chuàng)建兩個定時任務(wù),更改電源計劃,創(chuàng)建netbc的ipsec策略封堵445端口(防止被其他病毒利用),創(chuàng)建一個wmi持久任務(wù)。

 

Linux部分分析

當(dāng)PowerGhost成功爆破ssh之后,就會下載shell進行病毒的更一步植入。

當(dāng)前Linux版本為1.2版本,前面進行信息的初始化,聲明C2地址和默認(rèn)下載目錄、以及文件hash,文件校驗方式等:

1、temp_remote_host: 遠程地址

2、sodd_info_arr: DDoS木馬

3、tiktoor_info_arr: brootkit后門

4、pxe_info_arr: CVE-2016-5195內(nèi)核提權(quán)源碼以及程序及其hash

5、DownloadPath=”/usr/lib/…” 默認(rèn)下載路徑

6、Ver=1.2 當(dāng)前版本

7、Shell_privilege=1 當(dāng)前shell默認(rèn)權(quán)限

8、OsType=1 系統(tǒng)類型默認(rèn)為Centos系列

9、Verify_method=”md5sum” 下載文件校驗方式,默認(rèn)使用md5

整個Linux端PowerGhost執(zhí)行流程如下:

1、進行初始化。

2、檢測執(zhí)行參數(shù)是否為/sbin/init。

3、殺死自身相同進程名的shell進程或者挖礦進程(WorkProc “shell” “$ShellProceName”)。本例$shellProceName=”diskmanagerd”。

4、使用ssh進行橫向傳播。

5、檢測當(dāng)前是否為root權(quán)限,如果是則檢測安全產(chǎn)品,創(chuàng)建啟動項,安裝rootkit(brootkit),否則使用CVE-2016-5195(臟牛漏洞)進行提權(quán)。

Install.sh。

Brootkit.sh會對文件隱藏,進程隱藏,劫持命令(ps, ls, dir, netstat)等。

6、進入循環(huán),檢測更新,下載執(zhí)行billgats木馬,清除挖礦進程,休眠等待下次循環(huán)。

 

防護建議

1、打上永恒之藍補丁;

2、關(guān)閉135,139,445等端口,如果沒有業(yè)務(wù)必要,建議封堵;

3、不要使用域管賬號隨意登錄域內(nèi)機器,域內(nèi)機器密碼應(yīng)互不相同;

4、將密碼更改為強密碼;

5、修補CVE-2016-5195。

 
 

上一篇:這個D-Link不愿修復(fù)的高危漏洞,影響面被嚴(yán)重低估了!

下一篇:2019年12月04日 聚銘安全速遞