色噜噜在线,性色AV一区二区三区夜夜嗨,亚洲色小说,日韩激情自拍偷拍

病毒預(yù)警

據(jù)深圳博安特科技了解，近日，亞信安全截獲新型挖礦病毒FakeMsdMiner，該病毒利用“永恒之藍(lán)”、“永恒浪漫”等NSA漏洞進(jìn)行攻擊傳播。該病毒具有遠(yuǎn)控功能，可以獲取系統(tǒng)敏感信息。其通過修改HOST文件方式截獲其他挖礦病毒的成果。由于該病毒的挖礦程序偽裝成微軟系統(tǒng)服務(wù)msdtc.exe進(jìn)行啟動，所以亞信安全將其命名為FakeMsdMiner。

 

FakeMsdMiner挖礦病毒攻擊流程

  

FakeMsdMiner挖礦病毒詳細(xì)分析

     

內(nèi)網(wǎng)滲透模塊分析(windowsd.exe程序分析)

  

此程序會在C:WINDOWSFontsMysql目錄釋放多個(gè)文件，其中包括BAT腳本處理文件、端口掃描文件、永恒之藍(lán)漏洞攻擊文件、payload以及下載程序wget。

    

mysql.bat腳本文件：該腳本主要功能是刪除感染過該病毒的系統(tǒng)中存在的舊服務(wù)，安裝并開啟新的服務(wù)MicrosoftMysql，并添加計(jì)劃任務(wù)cmd.bat。

   

cmd.bat腳本文件：該腳本主要功能是端口和IP掃描，通過查詢固定地址尋找出口IP和本機(jī)IP，獲取IP地址的前2段，拼接后面2段地址，然后掃描445和450端口，將結(jié)果保存在ips.txt中，啟動load.bat腳本進(jìn)行攻擊。

   

load.bat腳本：該腳本主要功能是運(yùn)行永恒之藍(lán)、永恒浪漫等NSA漏洞攻擊程序，進(jìn)行內(nèi)網(wǎng)滲透。

挖礦程序模塊(mm.exe文件分析)

  

該模塊同樣會釋放很多文件，其中包括挖礦程序、注入系統(tǒng)的DLL文件以及遠(yuǎn)控木馬程序。通過調(diào)用1.bat腳本，依次啟動和運(yùn)行這些程序。

  

通過修改LoadAppInit_DLLs注冊表項(xiàng)，將DLL文件注入到相應(yīng)的系統(tǒng)中。

 

將挖礦程序復(fù)制到msdtc.exe文件中，偽裝成微軟系統(tǒng)服務(wù)文件msdtc，并為其安裝服務(wù)啟動門羅幣挖礦，其使用的礦機(jī)版本為：XMRig 2.14.1。

   

將防火墻關(guān)閉。

   

刪除與本次病毒相關(guān)的文件temp2.exe(本模塊文件)和temp3.exe(漏洞攻擊模塊母體文件)。

 

在host文件中追加相關(guān)域名指向139.180.214.175，該地址為本次挖礦的礦池IP,挖礦木馬試圖通過將其他礦池映射到自己的礦池對應(yīng)的ip地址，來劫持其他挖礦程序或木馬的收益。

   

遠(yuǎn)程控制木馬模塊(work.exe文件分析)

  

首先從資源截取釋放病毒核心程序，然后添加注冊表，開啟服務(wù)。研究人員使用資源工具也同樣可以看到，該資源區(qū)段其實(shí)就是一個(gè)PE文件。

 

值得注意的是，研究人員在分析時(shí)發(fā)現(xiàn)了Gh0st字樣，Gh0st是著名的開源遠(yuǎn)程控制程序，推測該遠(yuǎn)控模塊很有可能是用Gh0st遠(yuǎn)控程序修改而來。

Dump出資源模塊，研究人員分析發(fā)現(xiàn)，其主要功能就是接受不同指令執(zhí)行不同的功能。這也是常見的遠(yuǎn)控功能。

    

其中包括錄音功能:

  

錄制屏幕功能:

   

在系統(tǒng)中提權(quán)，獲取相關(guān)進(jìn)程等信息:

   

獲取機(jī)器窗口信息:

  

獲取機(jī)器驅(qū)動器信息:

   

獲取機(jī)器屏幕信息:

   

獲取日志文件:

   

將收集的信息發(fā)送至遠(yuǎn)端：

解決方案
      

 

• 利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進(jìn)行連接(該操作會影響使用445端口的服務(wù))。

• 盡量關(guān)閉不必要的文件共享;

• 采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼;

• 打開系統(tǒng)自動更新，并檢測更新進(jìn)行安裝。

• 系統(tǒng)打上MS17-010對應(yīng)的Microsoft Windows SMB服務(wù)器安全更新(4013389)補(bǔ)丁程序。詳細(xì)信息請參考鏈接:http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010

 

亞信安全產(chǎn)品解決方案

  

亞信安全病毒碼版本15.149.60，云病毒碼版本15.149.71，全球碼版本15.149.00已經(jīng)可以檢測，請用戶及時(shí)升級病毒碼版本。

 

亞信安全OSCE VP / DS DPI開啟以下規(guī)則攔截該漏洞:

• 1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE- 2017-0146)

• 1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)

• 1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)

• 1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)

• 1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

 

亞信安全深度發(fā)現(xiàn)設(shè)備TDA檢測規(guī)則如下:

2383:CVE-2017-0144-Remote Code Executeion-SMB(Request)

 

亞信安全Deep Edge已發(fā)布了針對微軟遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0144的4條IPS規(guī)則:

規(guī)則名稱:微軟MS17 010 SMB遠(yuǎn)程代碼執(zhí)行1-4，規(guī)則號:1133635,1133636,1133637,1133638

 

IOCs

 

相關(guān)文章

相關(guān)產(chǎn)品