腾讯安全捕获利用BlueKeep高危漏洞攻击传播的挖矿木马

2020-06-28 20:09:40
腾讯安全威胁情报中心检测到挖矿木马ThanatosMiner(死神矿工)利用BlueKeep漏洞CVE-2019-0708攻击传播,BlueKeep漏洞(CVE-2019-0708)是所有安全厂商都异常重视的高危漏洞。

一、背景

腾讯安全威胁情报中心检测到挖矿木马ThanatosMiner(死神矿工)利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe,大范围扫描随机生成的IP地址进行探测和攻击。漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly NameThanatosCrypt,将该挖矿木马命名为ThanatosMiner(死神矿工)

2019515日,微软发布了针对远程桌面服务(Remote Desktop Services )的关键远程执行代码漏洞CVE-2019-0708的安全更新,该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作——意味着,存在漏洞的电脑只需要连网,勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞(CVE-2019-0708)是所有安全厂商都异常重视的高危漏洞。

该漏洞影响旧版本的Windows系统,包括:

Windows 7Windows Server 2008 R2Windows Server 2008Windows 2003Windows XP

Windows 8Windows 10及之后版本不受此漏洞影响。

腾讯安全系列产品已全面支持对ThanatosMiner(死神矿工)挖矿木马的查杀拦截,腾讯安全专家强烈建议用户及时修补BlueKeep漏洞,避免电脑被挖矿木马自动扫描攻击后完全控制。

腾讯安全针对ThanatosMiner(死神矿工)木马详细响应清单如下:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1ThanatosMiner挖矿木马黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1ThanatosMiner挖矿木马黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1)利用BlueKeep RDP远程代码执行漏洞CVE-2019-0708相关联的IOCs已支持识别检测;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)云镜已支持BlueKeep RDP远程代码执行漏洞CVE-2019-0708的检测;

2)云镜已支持查杀利用BlueKeep RDP远程代码执行漏洞CVE-2019-0708入侵的挖矿木马、后门程序。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 网络资产风险监测系统

(腾讯御知)

1)腾讯御知已支持监测全网资产是否受BlueKeep RDP远程代码执行漏洞CVE-2019-0708影响。

2)已集成无损检测POC,企业可以对自身资产进行远程检测。

关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)利用BlueKeep RDP远程代码执行漏洞CVE-2019-0708相关联的IOCs已支持识别检测;

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点)

1)可查杀ThanatosMiner挖矿木马团伙入侵释放的后门木马、挖矿木马程序;

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/

二、样本分析

攻击模块scan.exe通过pyinstaller打包Python代码生成exe,使用pyinstxtractor.py可解压出Python编译后的无后缀文件scanpyinstaller在打包pyc的时候会去掉pycmagic和时间戳,而打包的系统库文件中这两项内容会被保留,所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头,然后将其命名为scan.pyc,并通过uncompyle6进行反编译,可以还原的Python代码scan.py

分析发现,Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00Python2版本通常为63 00 00 00 00 00 00 00

scan.py获取本机同网段IP地址,以及随机生成的外网IP地址扫描3389端口。

利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。

漏洞攻击成功执行shellcode命令,在%Temp%目录下创建DO.vbs,下载执行http[:]//download.loginserv.net/svchost.exe

Payload木马svchost.exe采样C#编写,代码经过Dotfuscator混淆处理,可使用开源工具De4dot去除部分混淆,程序的Assembly NameThanatosCrypt

运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。

SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S
SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev
SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers
SOFTWARE\VMWare, Inc.\VMWare Tools
SOFTWARE\Oracle\VirtualBox Guest Additions
C:\windows\Sysnative\Drivers\Vmmouse.sys
C:\windows\Sysnative\Drivers\vmci.sys
C:\windows\Sysnative\Drivers\vmusbmouse.sys
C:\windows\Sysnative\VBoxControl.exe

通过IsDebuggerPresent() IsDebuggerAttached()CheckRemoteDebuggerPresent()判断进程是否被调试。

若无虚拟机环境、未处于被调试状态则继续执行。

然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击,以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。

IOCs

Domain

download.loginserv.net

MD5

scan.exe

608915ba7d1a3adbfb632cd466d6a1ca

svchost.exe

2db2c1de5797eac67d497fe91cb7448f

shell32.exe

a66144032e62a6f6fa9b713c32cb6627

shell32.exe

857b1f5e9744006241fe2d0915dba201

windowsservice.exe

6d28a08caf2d90f5d02a2bf8794c7de9

thanatoscrypt.exe

7afb5dd9aba9d1e5dcbefb35d10cc52a

mine.exe

ec0267e5ef73db13e880cf21aeb1102a

URL

http[:]//download.loginserv.net/svchost.exe

http[:]//download.loginserv.net/xmrig.exe

http[:]//download.loginserv.net/scan.exe

http[:]//download.loginserv.net/mine.exe

参考链接:

Windows远程桌面服务漏洞预警(CVE-2019-0708

https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA


漏洞预警更新:Windows RDS漏洞(CVE-2019-0708

https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ


Windows远程桌面漏洞风险逼近,腾讯安全提供全面扫描修复方案

https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA


Windows远程桌面服务漏洞(CVE-2019-0708)攻击代码现身

https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg


RDP漏洞(BlueKeep)野外利用预警,腾讯御知免费检测

https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA


永恒之蓝下载器木马再升级,集成BlueKeep漏洞攻击能力

https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

最新资讯