华域联盟
登陆 / 注册 搜索

USERCENTER

SEARCHSITE

搜索

又发现了一个应用永世之蓝漏洞扩散的挖矿病毒

2017-9-2 00:34| 发布者: sterben| 查看: 246| 评论: 0

摘要:   这个病毒的感染过程  安全公司趋向科技的研讨人员发现了一款新的无文件挖矿歹意程序CoinMiner,这又是一款运用永世之蓝和WMI工具中止传播的软件。  CoinMiner是一款无文件的歹意软件,它会应用WMI(Windows M ...

  这个病毒的感染过程
  安全公司趋向科技的研讨人员发现了一款新的无文件挖矿歹意程序CoinMiner,这又是一款运用永世之蓝和WMI工具中止传播的软件。



  CoinMiner是一款无文件的歹意软件,它会应用WMI(Windows Management Instrumentation)在感染的系统上运转命令,专家称,这款软件很难检测,并且会运用永世之蓝中止传播。
  "这款软件会应用WMI做到在无文件的条件下驻足系统。细致来说,它会用WMI规范事情脚本程序(scrcons.exe)来执行脚本。为了进入目的系统,它会运用永世之蓝漏洞(MS17-010)。这二者的分离使得这款病毒不只荫蔽,而且会耐久驻足。"
  传播特性
  病毒先运用永世之蓝入侵系统,然后在系统中放置后门,接着会运转几个WMI脚本,这些脚本会衔接到CC效劳器,然后获取指令,下载挖矿机的主体程序和组件。



  感染状况散布
  这曾经不是我们第一次看到病毒运用永世之蓝中止传播了,红极一时的WannaCry和NotPetya都是用了永世之蓝。今年5月来自ProofPoint的安全专家致使还称,有些电脑之所以没有感染WannaCry病毒,是由于它们之前曾经感染了Adylkuzz挖矿病毒,这个病毒同样也经过永世之蓝传播。
  荫蔽特性
  WMI原本是Windows系统的中心组件,普通被用来中止日常的管理任务,比如部署自动化脚本,或者在某个时间运转指定的进程/程序,还能够获取装置的软件或者硬件信息、监控文件夹变化、监控磁盘空间等。正是基于它强大的特性,WMI也遭到了黑客们的喜欢。
  CoinMiner的"无文件特性"正是体往常它运用了WMI脚原本执行命令,而非二进制文件,这使得杀毒软件更难检测。
  除此之外,为了抵达荫蔽的目的,研讨人员还发现,软件所运用的JScript标明,攻击者运用了多层CC效劳器,抵达快速更新效劳器和组件,同时又避免被检测到的目的。



  CC网址
  比如,第一阶段的CC效劳器在hxxp://wmi[.]mykings[.]top:8888/test[.]html,这里有关于挖矿机及其组件的下载地址,还有第二第三阶段的CC效劳器地址。趋向科技检测到这些网址往常仍在生动。在感染流程图中提到,真正的挖矿payload是经过TROJ_COINMINER.AUSWQ下载的,这个文件一开端放在hxxp://67[.]21[.]90[.]226:8888/32.zip。
  防御办法
  要防御CoinMiner,我们的办法之一就是打补丁或者禁用SMBv1协议。这样就能够避免病毒感染。另一种思绪就是禁用WMI。
  读者能够参考微软给出的指导:
  关闭SMBv1
  关闭WMI
  另外,关于这类病毒的检测可能并不像趋向科技描画的这么艰难,感兴味的读者也能够尝试运用Yara规则在下面的途径中匹配脚本文件:
  C:\Windows\System32\wbem\*.MOF
  IoC
  6315657FD523118F51E294E35158F6BD89D032B26FE7749A4DE985EDC81E5F86 (TROJ_CONMINER.CFG)
  674F2DF2CDADAB5BE61271550605163A731A2DF8F4C79732481CAD532F00525D (TROJ_COINMINER.AUSWQ)
  8c5bb89596cd732af59693b8da021a872fee9b3696927b61d4387b427834c461 (TROJ_CONMINER.CFG)
  A095F60FF79470C99752B73F8286B78926BC46EB2168B3ECD4783505A204A3B0 (BKDR_FORSHARE.A)
  E6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b (BKDR_FORSHARE.B)
  F37A0D5F11078EF296A7C032B787F8FA485D73B0115CBD24D62CDF2C1A810625 (TROJ64_COINMINER.QO)
  URL
  ftp[.]oo000oo[.]me
  wmi[.]mykings[.]top:8888

鲜花

握手

雷人

路过

鸡蛋

最新评论

  • SambaBleed:Samba信息泄露
  • Apache Struts2 Freemarker
  • U盘拷贝修正MBR敲诈木马剖
  • 又发现了一个应用永世之蓝
  • 警惕!国外攻击者发出了7亿
  • Discuz X3.3补丁安全剖析

图文热点

全国首例“以网治网” 精准打击风险型网络经济立功
全国首例“以网治网
近年来,随着信息技术的进步,人们的社会生活曾经与计
黑客团队OurMine入侵维基解密网站,官网被其挂了黑页
黑客团队OurMine入
Oops!维基解密被臭名远扬的黑客组织OurMine挂了黑页
螳螂捕蝉黄雀在后!公开黑客论坛免费远控木马被曝“后门” ...
螳螂捕蝉黄雀在后!
9月2日讯 黑客可在公开黑客论坛免费下载的远程访问木
俄罗斯互联网提供商巨头Rostelecom遭遇DDoS攻击企图
俄罗斯互联网提供商
9月2日讯 8月底,俄罗斯最大互联网提供商Rostelecom遭
渣滓邮件歹意程序“Onliner”瞄准7.11亿电子邮件账户
渣滓邮件歹意程序“
9月1日讯 巴黎安全研讨人员Benkow率先发现身份不明的

GMT+8, 2017-9-25 06:51 , Processed in 0.187500 second(s), 44 queries .

© 2020 华域联盟 | 蒙公网安备 15062202000105号 版权删帖举报人口

备案号: 蒙ICP备17000689号-2