安全動(dòng)態(tài)

Windows與Linux雙平臺(tái)無文件攻擊:PowerGhost挖礦病毒最新變種感染多省份
來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-04    瀏覽次數(shù):
 

信息來源:FreeBuf

背景

PowerGhost是從2018年被發(fā)現(xiàn)使用powershell無文件方式進(jìn)行攻擊感染的挖礦以及DDOS病毒,本次深信服安全團(tuán)隊(duì)捕獲到其最新樣本,其感染方式利用了永恒之藍(lán),MSSQL爆破,SSH爆破,wmi以及smb爆破遠(yuǎn)程命令執(zhí)行等,同時(shí)對(duì)windows和linux進(jìn)行攻擊,一旦該病毒進(jìn)入內(nèi)網(wǎng),會(huì)在內(nèi)網(wǎng)迅速傳播。目前其主要感染地區(qū)在廣東、浙江、上海以及江蘇。

 

詳細(xì)分析

該病毒母體模塊分為2個(gè)版本,x86和x64,x86使用antitrojan.ps1,x64使用antivirus.ps1,本次分析x64版本的antivirus.ps1。

當(dāng)前病毒版本為1.5。

母體payload分布以及執(zhí)行圖,antivirus.ps1中主要分為3個(gè)部分,如下圖:

第一段payload,開頭部分如下:

Invoke-WmiExec以及Invoke-SmbExec遠(yuǎn)程命令執(zhí)行。

永恒之藍(lán)利用,$sc為shellcode,主要從網(wǎng)上下載惡意腳本進(jìn)行感染。

SSH爆破,加載的SSH模塊Rence.SshNet。

MSSQL爆破。

隨著最近網(wǎng)絡(luò)加密貨幣升值,會(huì)有更多的黑產(chǎn)將注意力轉(zhuǎn)到挖礦,其挖礦流量如下,到目前為止該地址已經(jīng)賺取了3個(gè)幣。

Middle部分,一段混淆的代碼,主要功能執(zhí)行第一段payload。

第二段payload,也是混淆過的,部分內(nèi)容如下。主要?jiǎng)?chuàng)建兩個(gè)定時(shí)任務(wù),更改電源計(jì)劃,創(chuàng)建netbc的ipsec策略封堵445端口(防止被其他病毒利用),創(chuàng)建一個(gè)wmi持久任務(wù)。

 

Linux部分分析

當(dāng)PowerGhost成功爆破ssh之后,就會(huì)下載shell進(jìn)行病毒的更一步植入。

當(dāng)前Linux版本為1.2版本,前面進(jìn)行信息的初始化,聲明C2地址和默認(rèn)下載目錄、以及文件hash,文件校驗(yàn)方式等:

1、temp_remote_host: 遠(yuǎn)程地址

2、sodd_info_arr: DDoS木馬

3、tiktoor_info_arr: brootkit后門

4、pxe_info_arr: CVE-2016-5195內(nèi)核提權(quán)源碼以及程序及其hash

5、DownloadPath=”/usr/lib/…” 默認(rèn)下載路徑

6、Ver=1.2 當(dāng)前版本

7、Shell_privilege=1 當(dāng)前shell默認(rèn)權(quán)限

8、OsType=1 系統(tǒng)類型默認(rèn)為Centos系列

9、Verify_method=”md5sum” 下載文件校驗(yàn)方式,默認(rèn)使用md5

整個(gè)Linux端PowerGhost執(zhí)行流程如下:

1、進(jìn)行初始化。

2、檢測(cè)執(zhí)行參數(shù)是否為/sbin/init。

3、殺死自身相同進(jìn)程名的shell進(jìn)程或者挖礦進(jìn)程(WorkProc “shell” “$ShellProceName”)。本例$shellProceName=”diskmanagerd”。

4、使用ssh進(jìn)行橫向傳播。

5、檢測(cè)當(dāng)前是否為root權(quán)限,如果是則檢測(cè)安全產(chǎn)品,創(chuàng)建啟動(dòng)項(xiàng),安裝rootkit(brootkit),否則使用CVE-2016-5195(臟牛漏洞)進(jìn)行提權(quán)。

Install.sh。

Brootkit.sh會(huì)對(duì)文件隱藏,進(jìn)程隱藏,劫持命令(ps, ls, dir, netstat)等。

6、進(jìn)入循環(huán),檢測(cè)更新,下載執(zhí)行billgats木馬,清除挖礦進(jìn)程,休眠等待下次循環(huán)。

 

防護(hù)建議

1、打上永恒之藍(lán)補(bǔ)??;

2、關(guān)閉135,139,445等端口,如果沒有業(yè)務(wù)必要,建議封堵;

3、不要使用域管賬號(hào)隨意登錄域內(nèi)機(jī)器,域內(nèi)機(jī)器密碼應(yīng)互不相同;

4、將密碼更改為強(qiáng)密碼;

5、修補(bǔ)CVE-2016-5195。

 
 

上一篇:這個(gè)D-Link不愿修復(fù)的高危漏洞,影響面被嚴(yán)重低估了!

下一篇:2019年12月04日 聚銘安全速遞