2019-03-07 15:46:327448人阅读
近期,来自Checkpoint的安全研究人员发现了一个新的信息窃取恶意软件,该恶意软件针对Windows服务器,窃取其敏感数据,包括登录凭据、操作系统版本、IP地址、还将受害者的数据上传到FTP服务器。
这款名为Mimikatz的恶意软件被用在一个大型的恶意软件活动中,该活动主要针对亚太地区(美国、马来西亚)。通过分析该恶意软件还与XMRig挖矿软件,Mirai僵尸网络有关。
攻击者会通过C2服务器(66.117.6.174)下载可执行文件ups.rar,然后判断目标服务器的环境。目前大部分的反病毒软件还无法检测该恶意软件。
攻击链
仅当受感染的计算机是Windows服务器时,攻击才会继续。
检查是否为Windows操作系统
之后,恶意软件调用GetVersionExA提取操作系统版本,它返回OSVERSIONINFOEXA结构。检查操作系统后,恶意软件将无法在以下版本上运行:
Windows 10;
Windows 8;
Windows 7;
Windows Vista;
Windows XP专业版;
Windows XP家庭版;
Windows 2000专业版。
确定Windows操作系统版本
在找到目标“Windows Server”时,C2服务器会发送两个GET请求,一个是部署批处理文件(My1.bat)并触发无文件攻击,另一个是发送请求与C2服务器同步以获得更新版本。
该批处理文件中包含Mirai僵尸网络的模块,攻击者加强了该模块功能以便进行新的恶意行为。
与旧Mirai版本的相似性
此新模块运行连接到外部URL的PowerShell命令:
1.创建WMI事件客户对象(WMI Event customer object),运行PowerShell并利用管理员权限(权限提升);
2.尝试下载并执行恶意软件,如Mirai、Dark cloud和XMRig矿工。
下载恶意软件时,它使用cradle obfuscator方法并调用IP:http://173[.]208.139.170/s.txt中的内容。为了避免检测,它调用另一个命令来下载运行各种命令的ps1文件。
它能够提取处理器的详细信息并从外部URL调用Mimikatz转储所有密码。密码被泄露后保存在文件中,然后将文件上传到攻击者管理的FTP服务器。
连接到攻击者的FTP服务器
根据Checkpoint的分析,FTP服务器目前仍处于打开状态,数据每秒都会不断上传,密码文件会持续上传并储存在服务器中。
及时升级操作系统及常用软件补丁,升级杀毒软件的病毒库到最新版本;
不下载未知来源的应用程序,不访问有潜在风险的网站。
作者:Gump 原文地址:http://www.mottoin.com/news/134770.html