换汤不换药!BlueHero挖矿团伙又双叒发新版本

2020-03-27 7,815

0x0 背景

近日深信服安全团队通过威胁情报的知识图谱系统跟踪到大量BlueHero挖矿团伙的活动记录,该团伙利用的“肉鸡”数量逐渐增多且频繁更换具有英语短语的URL,主要使用主流的Web RCE漏洞进行互联网传播。近一个月以来累计监测到数百个IP地址发起的恶意攻击数据包流量,该样本在内网同时采用“永恒之蓝”漏洞、弱密码爆破进行传播,过程中的病毒样本对比之前样本呈现差异性新增了驱动程序等特点。

图片1.png

 

0x1 流量特征

该团伙主要采用Apache Struts 远程代码执行漏洞、WebLogic Server wls9-async 远程代码执行漏洞、ThinkPHP5 任意代码执行漏洞、Drupal Drupalgeddon2 远程命令执行漏洞等进行传播,主要针对常见的web端口(82  80  7001  443  8000  81  8080)并将一串恶意连接命令写入对应的payload字段当中如果被攻击目标存在脆弱性将会从互联网上下载并执行对应程序从而被感染。

图片2.png

 

在windows场景下主要使用powershell.exe  certutil.exe从互联网上下载样本母体download.exe后直接执行,保存在本地的常见路径为为C: windows/temp 或%systemroot%/temp.

图片3.png

 

利用S2传播的payload数据包字段如下:

图片4.png

 

从数据流量与过程中的ini配置文件来看,该团伙在互联网上十分活跃且更新较为频繁,文件的大小从4085248KB增加到目前的7300096KB攻击传播模块组件丰富 文件母体的命名一直都是download.exe未曾发生变化。

 

2020年2月份配置文件:

图片5.png


2019年8月份配置文件:

图片6.png


2019年3月份的配置文件如下:

图片7.png

 

 

0x2 样本分析

该团伙的主要入口点样本为download.exe在运行后释放文件C:\Users\G4rb3n\AppData\Local\Temp\cnmbd.exe并创建进程。

图片8.png

 

这个病毒文件是Gh0st远控,它会自复制到多个路径并为其添加任务计划及服务。

图片9.png

 

然后从C&C服务器下载传播模块lanmktmrm.exe。

图片10.png

 

跟之前的变种相似,Corporate下的是mimikatz工具,随机名文件夹neiulgfnd下的是s扫描器和masscan扫描器,UnattendGC则是永恒之蓝攻击包。

图片11.png

 

除了对内网进行爆破/永恒之蓝攻击以外,传播模块还会对公网的指定B段、C段IP进行攻击。

图片12.png

 

各个漏洞攻击的payload硬编码在传播模块中。

图片13.png

 

利用了如下方式进行传播

PHPStudy后门

永恒之蓝漏洞

弱密码爆破

Apache Struts2远程代码执行漏洞【CVE-2017-5638】

ThinkPHP5任意代码执行漏洞【CNVD-2018-24942】

Oracle Weblogic Server远程命令执行漏洞【CVE-2018-2628/CVE-2019-2725】

Drupal Drupalgeddon2远程命令执行漏洞【CVE-2018-7600】

Apache Solr漏洞【CVE-2019-0193】

Tomcat漏洞【CVE-2018-12615】


bcbeuy.exe是封装的XMRig挖矿程序,同目录还新增了一个名为WinRing0x64.sys可疑驱动。

 图片14.png

 

WinRing0x64.sys的驱动的核心代码如下:

图片15.png

 

0x3 加固建议

深信服安全团队提醒广大用户,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

IOC:

 

URL:

http://ero.bckl.ir/download.exe

http://cb.fuckingmy.life

http://mi.simimasai.fun

http://fk.openyourass.xyz/download.exe

http://194.180.224.106/download.exe

http://ae86.decode0x.site:63145/cfg.ini

http://194.180.224.106:63145/cfg.ini

http://ae86.decode0x.host:63145/cfg.ini

qlo.amqw.ir

fk.openyourass.icu

ae86.decode0x.pw

ae86.decode0x.online

ae86.decode0x.host

ae86.decode0x.site

fk.openyourass.xyz

 

CC  IP:

194.180.224.106

 

Md5:

download.exe  A**C9C3934102BFDC3BFAC36420272A8

lanmktmrm.exe  805AB39690FFD07CF2AB558D2B514306

bnczbtntl.exe  7672877800A4D7ADED0CA75F88432A25

vfshost.exe  1F2E820A81AE38E9E8DC173975AB57A6

fuacnkpp.exe  EA774C81FE7B5D9708CAA278CF3F3C68

dayvtvliy  8BD2C5E849ABC51E721568871E670DFC

spoolsrv.exe  22BB1452CA9B**B8D346368D3F4DB6C2

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/126564.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号