當前位置:
首頁 > 最新 > 警惕!PowershellMiner無文件挖礦正在悄然流行

警惕!PowershellMiner無文件挖礦正在悄然流行

最新 03-19

近一段時間,深信服EDR安全團隊持續收到大量企業用戶反饋,其內網很多伺服器存在卡頓和外聯異常IP等現象。經過我們深入挖掘,發現這是利用WMI+Powershell方式實現的無文件攻擊行為,其目的是長駐內存挖礦。由於此攻擊沒有本地落地文件,難以察覺,企業利益默默受到侵害。

此流行病毒,除了具備無文件攻擊等高級攻擊特性,還內置兩種橫向傳染機制,分別為Mimikatz+WMIExec自動化爆破和MS17-010「永恆之藍」漏洞攻擊,堪稱火力全開,極易在區域網內迅猛擴散。

0x01 攻擊場景

此次攻擊,具備無文件攻擊特性,所有模塊功能均載入到內存中執行,沒有本地落地文件。為了迅速在內網傳播,採用了SMB弱口令爆破攻擊和「永恆之藍」漏洞攻擊,二者只要有一種能成功,就可以橫向感染到其它主機。

如上圖,原始病毒體為info*.ps1(64位系統對應info6.ps1,32位系統對應info3.ps1),其為Powershell腳本,被載入後內存存在4個模塊,分別為挖礦模塊、Minikatz模塊、WMIExec模塊、MS17-010攻擊模塊。

攻擊順序如下:

1.首先,挖礦模塊啟動,持續進行挖礦。

2.其次,Minikatz模塊對目的主機進行SMB爆破,獲取NTLMv2數據。

3.然後,WMIExec使用NTLMv2繞過哈希認證,進行遠程執行操作,攻擊成功則執行shellcode使病原體再複製一份到目的主機並使之運行起來,流程結束。

4.最後,如WMIExec攻擊失敗,則嘗試使用MS17-010「永恆之藍」漏洞攻擊,攻擊成功則執行shellcode使病原體再複製一份到目的主機並使之運行起來(每感染一台,重複1、2、3、4)。

此病毒採用的是WMI+Powershell的內存駐留方式,模塊以服務形式存在,每5600秒可自動觸發一次。

0x02下載更新

此PowershellMiner,做了一個操作系統適配和Minikatz數據更新機制。如下圖,感染主機病原體為info*.ps1(可能為info6.ps1,也可能為info3.ps1)。

如果為info6.ps1,則運行起來後會判斷操作系統是否為64位的,若不是,則下載info3.ps1並替換執行。

同理,如果為info3.ps1,則運行起來後會判斷操作系統是否為32位的,若不是,則下載info6.ps1。

此外,為最大程度的完成SMB爆破效果,Minikatz模塊也會主動去下載最新的數據載荷(應是配置和密碼字典之類的數據)。

0x03 橫向感染

感染主機除了自身會挖礦,同時會橫向感染內網其它主機。如下圖(病毒源代碼),使用Minikatz獲取目的主機$NTLM,執行WMIExec攻擊($NTLM作為輸入)。

如果WMIExec執行失敗,則嘗試使用MS17-010「永恆之藍」攻擊(雙保險)。

此次攻擊,WMIExec攻擊體和MS17-010攻擊體均為Powershell腳本,Minikatz為二進位程序。

0x04 無文件挖礦

首先,此Powershell挖礦不是獨立的進程,也沒有對應的文件。直觀上看,一是主機性能卡,二是存在Powershell宿主進程。

如下圖(來源於企業真實環境),主機存在Powershell進程,CPU佔有率持續高達87.33%。

我們從內存截取的數據,證明此病毒會嘗試連入世界各大礦池地址,主要為歐美及亞太地區。另外,這次挖礦幣種為門羅幣,也有黑客錢包地址。

我們分析病原體,其挖礦是通過Powershell腳本調用WMI二進位載荷實現的。

另外,為了利益最大化,此病毒還會嘗試幹掉其它挖礦進程(同行競爭壓力大啊,稍有不慎就被幹掉了!)。

截止發稿,此錢包賬號已入賬3.27968666個幣。

0x05 解決方案

1、隔離感染主機:已中毒計算機儘快隔離,關閉所有網路連接,禁用網卡。

2、切斷傳播途徑:關閉潛在終端的SMB 445等網路共享埠,關閉異常的外聯訪問。

3、查找攻擊源:藉助安全感知類產品定位攻擊源,這裡推薦下深信服安全感知(如下圖,某企業用戶上架了深信服感知設備,馬上即可感知此病毒的三種惡意流量,分別是挖礦通信流量、永恆之藍漏洞攻擊流量、SMB爆破流量,這三種流量與此病毒一一對應,告警十分及時,極大保證了企業安全)。

註:截圖來源於部署深信服安全感知的真實企業環境。

4、查殺病毒:查殺比較簡單,使用Autoruns工具(微軟官網可下),選擇WMI,如下圖,將該WMI啟動項刪除(該項底部詳細欄有「SELECT * FROM __InstanceModificationEvent WITHIN 5600」)。

然後,打開「任務管理器」,將Powershell宿主進程殺掉即可。

5、修補漏洞:打上「永恆之藍」漏洞補丁,請到微軟官網,下載對應的漏洞補丁(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

6、修改密碼:如果主機賬號密碼比較弱,建議重置高強度的密碼。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 千里目安全實驗室 的精彩文章:

TAG:千里目安全實驗室 |