具备多病毒功能!MiraiXMiner物联网僵尸网络攻击来袭
近日,某公司安全团队跟踪到一新型的物联网僵尸网络,其融合了多种已知病毒家族的特点,包括Mirai物联网僵尸网络病毒、MyKings僵尸网络病毒、暗云木马、挖矿等,传播方式包括利用永恒之蓝漏洞、闭路电视物联网设备漏洞、MySQL漏洞等,也包括RDP爆破和Telnet爆破等弱口令爆破。
某公司已将其命名为MiraiXMiner,并且制定了完善的防御措施。现发布安全预警,提醒广大用户防范MiraiXMiner攻击。
病毒名称:MiraiXMiner
病毒性质:僵尸网络病毒、暗云木马、挖矿病毒等
影响范围:目前国内已有感染案例
危害等级:高危
传播方式:利用永恒之蓝漏洞、闭路电视物联网设备漏洞、MySQL漏洞等,也包括RDP爆破和Telnet爆破等弱口令爆破。
病毒分析
01
攻击流程
具体流程如下:
1. 病毒母体msinfo.exe通过注册服务&写入恶意代码到数据库的手段,实现持久化攻击。
2. 根据C&C命令从云端下载任意的攻击模块,此次的攻击模块为csrs.exe。
3. 添加恶意特权账户admin$。
4.从黑客服务器下载三个子模块:后门模块、DNS劫持模块、净化&下载挖矿模块。
5. 后门模块up.rar经过分析发现为有名的BootKit暗云木马。
6. u.exe通过篡改DNS配置文件达到劫持DNS的目的。
7. 净化模块upsnew2.exe的功能很多,除了杀死同行病毒,添加自启动项以外,还会停止Windows自动更新服务,以更稳定地控制受害主机。
8. 使用扫描工具和Mirai攻击库对内网设备进行大范围攻击。
9. 最后,母体msinfo.exe会连接云端,自动更新病毒,实时下载最新的攻击模块。
02
传播模块
最开始,通过ARP进行扫描操作确认MAC地址等信息:
扫描445端口,如下所示:
通过内置的masscan程序进行扫描,如下所示:
对扫描到的目标,进行相应的攻击行为,如下所示:
1、执行永恒之蓝攻击行为CrackerMS17-010:
2、攻击CCTV物联网设备漏洞CrackerCCTV:
3、攻击MYSQL漏洞CrackerMYSQL:
然后执行下面的数据库Payload命令过程,如下所示:
将如下恶意代码写入数据库存储过程中,如下所示:
恶意代码分别为:
对RDP进行攻击CrackerRDP:
对Telnet进行攻击CrackerTelnet:
03
创建admin$账号
从服务器上下载相应的配置文件,然后解密,如下所示:
然后解密出相应的XML文件,进行下载执行恶意程序操作:
下载回来的CSRS是一个python脚本编写后生成的EXE,主要是一个Exploit,用于通过MS17-010漏洞,添加帐号:
添加之后的主机,如下图所示:
执行MS17-010漏洞攻击:
其中,攻击的参数如下所示:
04
挖矿与暗云木马
解密出上面的XML脚本:
Upsnew2释放暗云木马item.dat以及c3.bat脚本。
其中c3.bat脚本功能分别为:
1、清除其他病毒。
2、开启MSSQLSERVER。
3、在注册表以及任务计划中添加自启动。
4、关闭自动更新。
5、加载暗云木马。
6、配置防火墙策略,关闭135、137、138、139、445端口,防止再被其它病毒感染。
解决方案
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。某公司下一代防火墙用户,可开启IPS和僵尸网络功能(需升级到20181204版本),进行封堵。
某公司下一代防火墙配置方法:
①确认当前设备版本和规则库版本:
规则库版本,确认“IPS漏洞特征识别库”和“热门威胁”库版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
设备版本,建议升级至AF8.0.5及以上版本,以获取更快速的更新能力及更好的防护效果。
②开启安全功能:针对此次的MiraiXMiner物联网僵尸网络防护,某公司 AF建议可以开启 “漏洞攻击防护”和“僵尸网络”两个功能,配置如下:
新增针对“用户上网终端”的防护策略:【策略】—【安全防护策略】—“新增”—“用户防护策略”,开启“漏洞攻击防护”和“僵尸网络”两个功能,动作全部选择“拒绝”。配置如下:
某公司EDR微隔离封锁配置方法:
①对MiraiXMiner使用到的传播端口运行封堵。TCP(135、137、138、139、445)端口,对共享服务的端口运行封堵。
②对需要访问共享服务的终端及服务器进行放通
配置完成,如下所示
3、查找攻击源:借助某公司安全感知平台检测内网攻击源。
SIP更新IOC库步骤:
①SIP能连接互联网情况:
IOC库需要更新到12月4号,平台将会自动升级,也可以手动触发升级:
更新完成后如下,更新到12月4号的IOC库。
②SIP不能连接互联网情况:
手动导入IOC库到12月4号
导入完成后,如下,更新到12月4号的IOC库。
4、查杀病毒:推荐使用某公司终端安全检测响应平台EDR进行查杀,病毒库需升级到20181204版本。
EDR更新病毒库步骤:
①EDR管理平台能连接互联网情况:
平台会10分钟连接升级服务器检测一次是否有库更新。
②EDR管理平台不能联网情况:
离线更新病毒库到12月4号
病毒库需要解压,得到pkg文档。
导入完成后,点击确认
5、修补漏洞:打上永恒之蓝MS17-010等漏洞相关补丁。