ang010ela 嘶吼专业版
普通网络犯罪和针对性***的区别在于:普通网络犯罪会将即时的经济目标作为主要动机,而针对性***可能还会有其他的目标,比如窃取知识产权。此外,***者的思维模式也是不同的。正常的网络犯罪分子需要考虑如何***更多的个人设备,而针对性***需要计划如何***和获取企业网络的访问权限,并尽可能地隐蔽。
除此之外,针对性***活动常常包括扩展性的计划以及高度专业化的创建和使用。另一方面,正常的***者可能没有能力或资源来规划复杂的***活动,他们使用的工具更加通用,而且一般地下市场都有。
近期,研究人员发现了一起融合了针对性***工具和常规网络犯罪的大规模***活动:***者使用了之前在针对性***中使用的复杂***来传播加密货币挖矿机和勒索软件这样的典型恶意软件。在该案例中,***者使用了Shadow Brokers(影子经纪人)从Equation组织处窃取的工具包来***大量运行过时Microsoft Windows OS的机器。使用高级工具来传播不同类型的恶意软件是最近恶意软件发展的一个趋势。BlackSquid就使用了大量知名的漏洞利用和漏洞来释放加密货币挖矿机。
该***活动是网络犯罪分子为了传播加密货币挖矿机机来进行盈利的。***者活动的特征包括只针对企业,研究人员没有发现任何个人用户被***的情况。其次,所有被***的机器都运行着过时的Windows操作系统,因为这些操作系统仍然受到没有打补丁的安全漏洞的威胁。除此之外,该***活动还使用Equation组织的工具来传播加密货币挖矿机。
感染和传播
研究人员检测到的二进制文件看似是Vools的一个变种,这是一个基于EternalBlue后门的***,用来传播加密货币挖矿机和其他恶意软件。研究人员在受感染的系统中还发现一些工具,主要有密码窃取工具Mimikatz和Equation组织的工具。被***的系统中使用的final payload是一个加密货币挖矿机。
研究人员目前还发现确定感染源,但研究人员发现了一个安装器样本来发送HTTP请求到以下服务器:
log.boreye[.]com/ipc.html?mac={MAC address}&ip={IP address}&host={host}&tick=6min&c=error_33
但是目前以及无法从该URL处提取到任何挖矿机。而且目前该站点已经无法访问了,也可能被***者转移到了其他位置。
研究人员在所有被感染的机器的主Windows文件夹中都发现了一个文件:
C:\Windows\NetworkDistribution\Diagnostics.txt
该.TXT扩展的文件不仅仅是用来绕过检测。该文件事实上是一个含有许多文件的zip文件。另一方面,释放在目标机器上的DLL文件与泄露的GitHub库中的文件夹的内容是一致的。
图1. Zip文件中解压的文件
所有的文件都可以在互联网上找到。虽然他们利用的漏洞已经修复了,但是仍然有一些系统没有应用这些安全更新。
加密货币挖矿机
从2019年3月七,研究人员根据该***活动中使用的哈希值共发现了超过80个不同的文件。所有这些文件都是开源XMRig挖矿机的变种,已经被无数网络犯罪分子所使用。
样本的配置显示有很多的加密货币挖矿服务器,比如:
· coco[.]miniast[.]com:443
· iron[.]tenchier[.]com:443
· cake[.]pilutce[.]com:443
· pool[.]boreye[.]com:53
还有一个没有出现在样本中的log.miniast[.]com。
前3个域名的注册日期为2019年3月17日,这也是***活动开始的日期。这些域名都是匿名注册的,而稍早点的域名boreye[.]com的注册日期为2018年10月17日。连接到邮箱服务器是需要用户凭证的,但是提取新的哈希值只需要密码就够了。
图2是***者使用的挖矿机二进制文件的配置数据。
注:密码被移除了
图2. 加密货币挖矿机二进制文件使用的配置文件
如图2所示,使用的用户名都很类似。而且都使用相同的密码,这也表明是同一***者在处理这些样本。挖矿机也使用名dllhostex.exe。根据挖矿机变种的版本,二进制文件位于受感染Windows机器的system32或SysWOW64文件夹。
***目标
该***活动看似是广泛传播的,但是***的目标位于世界各地。中国和印度是被***数量最多的国家。这表明***者并没有选择特定的受害者。
图3. 受害者国家分布图
该***活动的***目标行业涉及教育、通信、媒体、银行、生产和技术等。***者并没有针对特定行业,而是选择***没有打补丁的软件。大约有83%受感染的主机运行Windows Server 2003 SP2,其次是Windows 7 Ultimate Professional SP1和Windows XP Professional版本。
结论
总的来看,在***活动中使用泄露的复杂***是一种非常简单易行的方法。***活动使用的工具、挖矿机等都在地下市场可以买到。***的目标主要是没有及时打补丁的系统。因此,研究人员建议不管是个人用户还是企业用户,都要尽快更新到最新系统,并及时对系统打补丁。
