惡意挖礦軟體PCASTLE Zeroes迴歸,使用多層無檔案到達技術
濫用PowerShell來傳播惡意軟體是一種常見的技術,事實上這也是許多無檔案威脅使用的技術。Trend Micro研究人員近期就發現和攔截了此類威脅。Trend Micro安全產品檢測到此次攻擊活動主要是針對中國的系統。攻擊首次出現是在5月17日,到5月22日達到峰值,然後進入穩定期。
進一步分析顯示這是與之前使用混淆的PowerShell指令碼來傳播門羅幣挖礦惡意軟體的活動類似。之前的攻擊活動覆蓋的區域包括日本、澳大利亞、臺灣、越南、香港和印度,此次攻擊活動主要是針對中國。
此次攻擊活動中還加入了一些新的技巧。比如,使用多種傳播方法,使用執行不同任務的元件來傳播加密貨幣挖礦機。還使用多層無檔案方法使惡意PowerShell指令碼可以在記憶體中下載和執行payload。最終的PowerShell指令碼也是在記憶體中執行的,並且打包了所有惡意路徑:使用SMB漏洞濫用、暴力破解系統、使用pass-the-hash攻擊方法,並下載payload。
最新的門羅幣挖礦惡意軟體攻擊活動
攻擊鏈分析
下面是攻擊鏈的分析過程:
1、如果成功應用繁殖方法,就會執行計劃任務或RunOnce登錄檔來下載第一層PowerShell指令碼;奇熱看片
2、第一層PowerShell指令碼會嘗試訪問指令碼內的URL列表,下載PowerShell命令、執行並儲存為另一個計劃任務(每小時);
3、計劃任務會執行PowerShell指令碼來下載和執行第二層PowerShell指令碼。在下載和執行第三層PowerShell指令碼前會報告系統資訊給C2伺服器:
·傳送給C2伺服器的系統資訊包括計算機名、GUID、MAC地址、作業系統、架構和時間戳;
·傳送資訊的格式為{url}?ID={ComputerName}&GUID={guid}&MAC={MacAddr}&OS={OS}&BIT={Architecture}&_T={Timestamp};
·C2通訊會為連線使用唯一的使用者代理:Lemon-Duck-{random}-{random}。
4、第三層PowerShell指令碼會根據報告的系統資訊下載加密貨幣挖礦模組,然後使用另一個公開的codem——Invoke-ReflectivePE,注入到PowerShell程序中。還會下載負責其他路徑的PCASTLE指令碼元件。該攻擊活動使用的傳播方法與之前攻擊活動中的相似,但是打包到了一個單獨的PowerShell指令碼(PCASTLE)中。還使用EternalBlue漏洞利用、暴力破解、pass-the-hash等技術。
感染會繼續一直到發現要感染的系統。手動下載時的PowerShell指令碼的格式如下:
Invoke-Expression$(New-ObjectIO.StreamReader($(New-ObjectIO.Compression.DelfateStream(&(New-ObjectIO.MemoryStream(,$([Convert]::FromBase64String(‘<Base64encodedcode>’)))),[IO.Copression.CompressionMode]::Decompress)),[Text.Encoding]::ASCII)).ReadToEnd();
攻擊活動分析
攻擊活動主要目標是中國,佔總檢測量的92%。從受害者分佈來看,攻擊的目標並不針對某個特定行業,可能主要是因為攻擊的方法。使用SMB漏洞利用和暴力破解弱口令並不是針對特定行業的安全問題。攻擊活動的運營者也並不關心受感染的使用者是誰。
攻擊活動使用XMRig作為payload的挖礦機模組。與其他挖礦機演算法相比,門羅幣挖礦演算法使用的資源並不多,也不需要大量的處理能力。也就是說可以在不讓使用者察覺的情況下進行加密貨幣挖礦活動。
該攻擊活動使用了2個域名,不同的URI和子域名對應不同的功能。
·t[.]zer2[.]com/{uri} –用於下載多層PowerShell指令碼和報告系統資訊
·down[.]ackng[.]com – 用於下載挖礦機payload的URL
·lpp[.]zer2[.]com:443 –payload的挖礦池
·lpp[.]ackng[.]com:443 – 第二個挖礦池
最佳實踐
攻擊者將目標轉回中國系統的意圖尚不明確。研究人員預測無檔案技術是當前網路攻擊圖譜中的最主流的威脅。目前該工具是開源的,也就是說其他黑客也可以使用。攻擊者可以利用這個合法系統管理工具來繞過傳統的安全防禦措施。因此,研究人員給出以下安全最佳實踐:
·深度防禦策略。使用行為監控等安全機制來檢測和預防異常路徑和未授權的程式和指令碼的執行,防火牆和入侵防禦系統可以攔截惡意軟體相關的流量。
·對系統進行更新和打補丁。攻擊者在本次攻擊活動中使用了一個擁有補丁的漏洞利用。研究人員還推薦使用虛擬補丁或嵌入式系統。
·限制對系統管理工具的訪問。使用合法工具來繞過檢測會增加威脅。
·對系統進行安全加固。認證和加密機制可以防止對目標系統的非授權的修改,加強賬號憑證應對暴力破解和詞典攻擊的能力。