安全狗軟體可默認攔截PhotoMiner新型蠕蟲

自2016年首次被發現至今,PhotoMiner木馬參與門羅幣挖礦的累計收入已高達8900萬人民幣,堪稱名副其實的「黃金礦工」。近一段時間,該木馬再度出現活躍跡象,正通過入侵感染FTP和SMB伺服器進行大範圍傳播,國內外技術人員均開展了對該木馬的研究。這裡我們介紹一篇國外關於PhotoMiner的研究文章。

作者為以色列的安全公司GuardiCore,創立於 2013 年,總部位於以色列特拉維夫,同時在美國及加拿大設有辦事處。

在過去的幾個月中,我們一直在關注一款名為photominer的新型蠕蟲。PhotoMiner具有獨特的感染機制,通過感染託管在FTP伺服器的網站感染終端用戶,通過挖掘門羅幣(Monero)來獲益。選擇匯率良好但鮮為人知的貨幣可以讓攻擊者迅速獲益,而其使用的複雜的保障措施能抵禦大多數中斷它的手段,這可能讓受害者長期處於感染狀態。

我們整理了成千上萬的攻擊記錄,發現它們來自最原始的上百個IP。它們使用不同的二進位文件進行同樣的攻擊。在這篇報告裡面,我們將分享在PhotoMiner的時間線,感染方式、C&C伺服器、檢查惡意代碼工具等方面的研究。

攻擊描述

在2016年1月10日,GuardiCore全球感測器網路檢測到向FTP主機上傳可疑文件的自動攻擊。通常情況下,將文件上傳到易受攻擊的FTP伺服器在組織中不會被注意,但是我們的感測器網路確定了一種異常行為——相同的事件在全世界範圍內持續發生著。

從首次釋放蠕蟲開始,蠕蟲版本迭代迅速。直到今天,我們已經看到了PhotoMiner兩種不同的變種和十幾個版本,這表明PhotoMiner演變迅速。第一種類編譯於2015年12月9日,包括了核心的挖礦程序(miner)和基礎的傳播能力;第二個種類發佈於2016年1月3日,很快成為我們能在野外觀察到的主要版本。

擴散和感染

隨著事件推移,PhotoMiner增加了新功能,包括一個獨特的多階段感染機制。首先,世界範圍內的不安全的FTP伺服器被影響,然後託管於FTP上的網站被設計為利用惡意代碼感染它們的訪問者,最後不知情的網站訪問者感染了不僅可以挖掘虛擬貨幣,還可以主動尋找並感染本地網路中FTP伺服器和系統。

PhotoMiner有兩種攻擊方式。

第一種攻擊方式利用了不安全的FTP伺服器和一無所知的用戶。由於網站通常是可以通過FTP訪問的,因此PhotoMiner的運營商能輕易的從此處感染網站的源代碼和無知的用戶,這種方式對網站安全構成了長期的威脅。

一個簡單的二段攻擊:

通過暴力強制隨機IP地址和使用用戶/密碼字典,定位和攻擊弱保護的FTP伺服器。

一旦嘗試登錄成功,惡意代碼將副本上傳到每一個可寫的FTP伺服器。此時,每個呈現給用戶的文件(如HTML,PHP和aspx文件)將被寫入以下代碼進行感染:

一個已感染該惡意代碼的網站服務

在這個階段,渲染頁面會導致一個有漏洞的瀏覽器將其當作為一個下載項。毫無警惕的用戶會點擊打開惡意代碼。最近惡意代碼變種更新增加了通過感染服務端的代碼注入和嘗試安裝一個基於Linux的挖礦程序。

目標伺服器IP、它的憑證、感染文件列表將被發送到惡意代碼的後端伺服器。根據這些信息,攻擊者能夠在之後登錄被感染的FTP伺服器感染更多文件和傳染給其他的受害者。

第二種方式是基於本地區域網中的Windows終端和伺服器,使用以下步驟:

PhotoMiner使用內置的Windows系統工具(如『arp』和『netview』)來讀取ARP緩存並使用BROWSER協議掃描本地網段。

接下來,它試圖暴力破解SMB進行連接。一旦連接成功,PhotoMiner嘗試將自身的副本放入到每個可訪問的遠程啟動目錄。然後使用WMI腳本去執行遠程副本。

PhotoMiner禁用休眠

一些變種偷偷地打開一個硬編碼名為「Free_WIFI_abc12345」的公共WIFI接入點,引誘無辜的用戶接入網路並感染他們。

攻擊者感染通過打開可訪問的無線接入點來引誘網站訪問者

深入惡意代碼PhotoMiner是以模塊化方式組成,它創建了一個專註於門羅幣挖掘的可執行文件和一個保持持久性的機制和進一步傳播感染模塊的包。這個包由兩個主要變種和多個子版本組成:第一個變種img001.scr在使用NSIS腳本語言方面獨一無二。第二個變種photo.scr是一個本地二進位文件,它在本機中實現了img001.scr功能。

使用NSIS可以簡單地編寫與操作系統交互的複雜腳本

這兩個變種都包含從bug修復到更改感染技術的多個子版本。儘管版本眾多,但它們仍遵循同樣的操作。因此,我們將一起描述它們,僅當需要時提及它們之間的區別。在初始化階段,PhotoMiner執行諸如持久化安裝和下載挖礦程序(miner)的配置數據等:安裝持久化機制,PhotoMienr使用以下方法註冊成一個啟動程序

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun??%ALLUSERSPROFILE%MicrosoftWindowsStart MenuProgramsStartup??%HOMEPATH%AppDataRoamingMicrosoftWindowsStartMenuProgramsStartup

儘管基礎,但這個技術仍然起作用,並且現在並會因此將這個程序標記為「惡意程序」。 配置數據是通過腳本的HTTP協議與預置的主機名列表進行通信獲取到的,所有的主機名都是為了下載配置文件。獲取到的配置文件是一個門羅幣礦池列表和惡意代碼隨機挑選的錢包地址。這個配置文件使用了反向字典進行感染。這意味著對於每個干擾字元,都會從硬編碼字典中檢索匹配字元,而無干擾的字元就安全地跳過。

配置文件:干擾字元與無干擾字元對比

在這個階段,關於計算機的基本信息如操作系統版本和IP都將被發送回C&C伺服器。PhotoMiner與C&C伺服器連接通信告知進度,而不是接受「命令」,並且事實上,樣本中並不包括任何遠程訪問功能。攻擊者已經建立了一個彈性後端,分布在多個域名並且使用跨不同託管服務提供商的VPS伺服器。但是由於攻擊者犯了一些錯誤,例如重用伺服器和IP地址,不同的活動通過共享服務連接在一起。

初始化後,惡意軟體將挖礦程序作為一個單獨的進程分離並繼續進行自我複製傳播。這種方式大大地減少了防病毒程序對挖礦程序的本身造成威脅。挖掘模塊本身是「BitMonero」打包的一個版本,「BitMonero」是實現Monero挖掘的核心程序,這是個合法程序,避免吸引不必要的注意。

檢測和預防PhotoMiner攻擊

無論FTP伺服器採用了哪種託管軟體,PhotoMiner都有可能感染它,並且使用受感染的Windows機器的所有計算能力。

對於終端設備,實施推薦的安全策略很容易預防攻擊,諸如應用程序白名單和阻斷內外連接的終端設備防火牆。如果這些選項都不採用,那麼更新瀏覽器預防像此處所使用的驅動下載。

通過鎖定允許的IP地址,FTP伺服器不應允許未授權連接;和使用複雜度較強的用戶/密碼組合。

如果檢測到一個感染的伺服器,請確認代碼文件已經被清理過,並且在伺服器上刪除所有惡意軟體副本。

伺服器安全狗可以默認攔截

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！