万达娱乐黑客通过Rootkit恶意软件攻击超5万台MS-SQL和PHPMyAdmin服务器_HUC惠仲娱乐

万达娱乐

前言

Guardicore Labs 的安全研究人员发布了一份报告,在该报告中,Guardicore Labs团队称发现大量MS-SQL和PHPMyAdmin服务器遭到黑客的攻击并将这些服务器用于挖掘乌龟币(TurtleCoin)。此次黑客代号为“Nansh0u”,根据目前的证据,黑客可能来自中国。

注:TurtleCoin(乌龟币TRTL)是2017年12月新出的一个区块链项目,指在提供快速安全稳定的数字货币,目前关注的人不多。

报告称,5万多台受到攻击的服务器都属于医疗保健、电信、媒体和 IT 公司等在内的 ,一旦受到攻击,目标服务器就会被恶意载荷攻击。另外,黑客还安装了一个复杂的内核模式 rootkit 来防止恶意软件被终止。

这并非典型的加密攻击,因为它使用的是APT攻击中经常出现的技术,例如伪造证书和特权升级漏洞。

该攻击活动于 4 月初被首次发现,但其实它早在 2 月 26 号就开始运行了。据Guardicore Labs团队的描述,每天新增的受害者超过700人,并且在调查过程中,共发现了20个版本的有效恶意载荷,并且每周还会至少创建一个新的有效载荷,受攻击的计算机数量在一个月内就已翻倍。

深入分析攻击中所用的工具、漏洞和攻击威力

被攻击的电脑包括5万多台服务器,属于医疗、电信、媒体和IT行业。一旦受到攻击,目标服务器就会受到恶意有效载荷的攻击。不过攻击者会将受攻击服务器上的密码管理器删除,并安装了一个复杂的内核模式rootkit,以防止恶意软件被终止。

Guardicore Labs在调查期间,总共发现了20个不同版本的有效载荷版本的发布和部署。研究人员联系了攻击服务器的托管服务提供商以及rootkit证书的颁发者。结果他们发现,攻击服务器被关闭,证书也被撤销了。

Nansh0u攻击并不是典型的加密货币挖掘攻击,本次攻击使用了APT中常见的技术,比如伪造证书和特权升级漏洞。

在本文中,研究人员将详细描述这些攻击,并为该攻击活动提供一个完整的IoC存储库,包括一个用于检测受攻击设备的脚本。

本次攻击的发现始于一次异常事件

4月初,在Guardicore Global Sensor Network (GGSN)中检测到的三次攻击引起了Guardicore Labs团队的注意。这三家公司的源IP地址都源自南非,由VolumeDrive ISP托管。这些事件的攻击过程、使用的攻击工具和攻击步骤都一模一样。

根据这个线索,研究人员找到了具有很多相似攻击模式的样本,最早的样本是2月26号的。截止发稿日期,每天新增的受害者超过700人。调查中,研究人员总共发现了20个版本的恶意有效载荷,并且每周还会至少创建一个新的有效载荷,并在创建之后立即投入使用。

1.png

有效载荷创建的时间轴

在这个时间轴上,包含5台攻击服务器和6台连接回(connect-back server)服务器,这表明,攻击者已经建立一个长期的攻击流程和框架。

通过访问攻击者的基础设施,研究人员发现了相关的文件服务器,并对攻击活动的攻击范围进行深入了解。下图显示了攻击的计算机的数量如何在一个月内翻倍的:

2.png

攻击者文件服务器的总下载次数,在一个月内翻了一番

MS-SQL命令执行

每次攻击都是从对MS-SQL服务器的一系列身份验证尝试开始,直至最后使用管理特权成功进行登录。

3.png

成功登录Guardicore的Guardicore Global Sensor Network (GGSN)

然后,执行一系列MS-SQL命令,完成如下操作(括号内的数字表示相关代码行):

1.配置服务器设置,以允许攻击流程[1]顺利进行;

2.在c:\ProgramData\2.vbs [2]中创建一个Visual-Basic脚本文件;

3.执行此脚本并通过HTTP [3]将两个文件下载到c:\ProgramData;

4.在一个命令行[4]中运行这两个文件。

4.jpg

对基础设施发起攻击

攻击者的服务器都运行HFS,HFS是一种HTTP文件服务器,提供不同类型的文件。由于其中一个文本文件包含字符串Nansh0u,因此研究人员才将本次的攻击活动命名为“Nansh0u”。

攻击者的基础结构包含对MS-SQL服务器进行成功的端到端攻击所需的3个模块:

1.端口扫描程序;

2.MS-SQL暴力破解工具;

3.远程代码执行程序。

5.png

Nansh0u的攻击流程

端口扫描程序负责查询MS-SQL服务器

攻击者通过扫描IP地址并检查典型的MS-SQL端口是否打开来查询MS-SQL服务器。找到对应服务器后,端口扫描程序就自动向该服务器发送暴力破解工具。

6.png

端口列表和端口扫描程序的日志文件,攻击者的日志显示,扫描结果可以追溯到3月初

暴力破解工具负责具体攻击

该工具尝试使用成千上万个通用凭据登录到每个MS-SQL服务器。一旦身份验证成功,则服务器的地址、用户名和密码将被保存到某个文件中,供将来使用。

7.png

Guardicore Centra和攻击者词典中的匹配凭据

另外,攻击者使用的通用凭据字典可以在IoC存储库中找到。

代码执行模块负责攻击时间

通过运行端口扫描程序和暴力破解工具,攻击者获得了被攻击服务器的详细信息列表,其中包括IP地址、端口、用户名和密码等信息。接下来一步,便是登录到受害者的设备并对其发起攻击。

在HFS上,在一个名为chuan的文件夹中,研究人员发现了两个有趣的组件。第一个脚本名为Mssql.log,脚本的命令正是触发攻击的命令。

8.jpg

第二个文件是一个名为Usp10.exe的可执行文件,此程序负责接收服务器的地址和凭据以及Mssql.log的内容。它的功能很简单,就是登录到被攻击的服务器并执行Mssql.log脚本,在受害者的设备上继续发起攻击。

9.jpg

Usp10.exe是攻击模块,负责在MS-SQL受害者设备上编写和执行下载程序脚本(2.vbs)。一旦MS-SQL脚本在受害者设备上运行完毕,就会开始执行恶意载荷。

利用和有效载荷:在受害计算机上执行的文件

在研究人员所看到的所有攻击中,攻击者都执行了一个命令行,其中包含两个可执行文件:

10.jpg

此命令负责执行特权升级攻击,该攻击使用系统特权运行恶意载荷。在攻击者的武器库中有两个版本的PE漏洞:apexp.exe和apexp2012.exe,以及许多有效载荷版本。

权限升级漏洞

apexp.exe和apexp2012.exe是两个已知权限升级漏洞(CVE-2014-4113)的变异漏洞,将任何程序传递给这些可执行程序都将使用系统权限运行它。

apexp.exe被称为Apolmy漏洞,它会影响Windows的桌面和服务器版本。这是一个带有生产级(production-level)代码的武器化漏洞。另一方面,apexp2012.exe类似于概念验证,而不是操作漏洞,并且可以在Windows 8.1上运行。研究人员发现apexp2012.exe可以在一个中文黑客论坛上下载。

虽然两个版本使用相同的漏洞,但是它们执行内核模式代码的目的不同。Apolmy版本将系统进程访问令牌复制到它自己的进程。有了这个令牌,攻击流程就可以运行有效载荷,并完全控制受害设备。

第二个版本使用了Cesar Cerrudo推广的方法。在这个方法中,该漏洞将SeDebugPrivilege添加到令牌中。使用此Windows特权,漏洞会将代码注入到winlogon进程。注入的代码创建一个新进程,该进程继承了winlogon的系统权限,提供与以前版本相同的权限。

有效载荷:rootkit和挖矿的Dropper

研究人员从攻击者的服务器和Guardicore Global Sensor Network (GGSN)收集了20个有效载荷样本。每个有效载荷实际上是一个包装器,具有以下几个功能:

1.对加密货币进行挖掘;

2.通过编写注册表运行键创建持久性攻击;

3.使用rootkit保护挖矿进程避免被终止;

4.使用看门狗机制确保挖矿工作持续执行。

有效载荷会生成dllhot.exe或canlang.exe,这取决于生成的有效载荷,dllhot.exe或canlang.exe为在四个不同的挖掘池挖掘名为TurtleCoin的加密货币。

11.jpg

为什么签名驱动程序是异常的?

内核模式驱动程序是在操作系统内核中运行的可执行文件,因此,它们具有访问敏感数据结构和资源的权限。

自Windows 10和Windows Server 2016起,Microsoft仅允许Microsoft签名的驱动程序以内核模式运行。要获得此类签名,开发人员必须向Microsoft提供其驱动程序的版本并通过大量测试。所以,恶意驱动程序被签名的几率非常低。

内核模式驱动程序

许多有效载荷会删除内核模式驱动程序,被删除的驱动程序会被随机命名,并放置在AppData/Local/Temp中。它的编译时间表明它是在2016年创建的,然而,大多数杀毒软件并没有检测到该驱动程序文件是恶意的。

研究人员发现该驱动程序具有由顶级证书颁发机构Verisign颁发的数字签名,不过该证书已过期,其名称为一家中国的空壳公司——杭州虎天网络科技有限公司。Guardicore Labs已经与Verisign联系,并提供了相关细节,以及时将该证书撤销。

12.png

Verisign发布的驱动程序数字签名

与许多其他恶意驱动程序不同,这个驱动程序受到VMProtect的保护。VMProtect 是新一代的软件保护系统,将保护后的代码放到虚拟机中运行,这将使分析反编译后的代码和破解变得极为困难。

驱动程序的设计目的指在保护进程并防止用户终止其恶意进程,它会创建一个名为SA6482的设备,允许进程与其通信。该设备接收进程ID(PID),这些ID意味着挖矿进行是受到保护的。

驱动程序通过在进程和线程对象类型上注册回调来保护进程,每次访问受保护进程或其任何线程时都会触发这些回调,并允许驱动程序修改每次访问尝试中给出的访问权限。

13.jpg

驱动程序本身包含额外的rootkit功能,比如与物理硬件设备通信以及修改这个特定恶意软件未使用的内部Windows进程对象。可以看出此次攻击的攻击技术相当先进,例如,apexp.exe利用内核模式漏洞来执行具有系统权限的代码。

另一个例子是被不同有效载荷不断删除的驱动程序,获取打包驱动程序的签名证书并非易事,需要认真规划和执行。此外,该驱动程序实际上支持从Windows 7到Windows 10的所有版本,包括beta版。

这些高级攻击手段与攻击者所采取的几个SecOps决策很不相符。首先,攻击者通常不会将整个基础设施保存在没有激活身份验证控制的文件服务器上。日志、受害者列表、用户名、二进制文件,研究人员只需单击鼠标即可完成所有操作。此外,所有二进制文件都有其原始时间戳,一个经验丰富的恶意软件开发者会篡改这些代码,从而使分析过程复杂化。

从IP扫描阶段到对受害设备的攻击和挖掘,整个攻击活动都经过了精心的设计。然而,各种错别字和错误意味着这不是一个经过充分测试的操作。例如,研究人员发现lcn.exe载荷的两个版本并不匹配。这两个载荷运行的都是相同的挖矿工具,但是使用的是交换的命令行参数,这表明第一个挖矿工具提供的钱包地址是错误的。

14.jpg

另外,服务器上的许多程序都是用EPL编程语言编写的。EPL是一种专用的、基于中文的编程语言,用于快速应用程序开发。

根据以上的这些证据,这次攻击很大程度上也是由中国的攻击者发动的:

1.攻击者选择使用基于中文的编程语言EPL编写工具;

2.为这次攻击活动部署的一些文件服务器是中文的HFS;

3.服务器上的许多日志文件和二进制文件都包含中文字符串;

缓解措施

在Windows MS-SQL服务器上发起这种攻击的原因是因为,服务器使用了较弱的用户名和密码。尽管听起来很不可思议,但千里之提毁于蚁穴,这足以说明设置一个好的密码是多么的重要。在此我们强烈建议,用户、企业以及组织机构使用强密码来保护其网络资产。 

另外,研究人员还发布了一个开源的PowerShell脚本,为用户提供了一种检测受攻击设备的简单方法。

IP

15.jpg

哈希值

685f1cbd4af30a1d0c25f252d399a666 xfa3BEB.tmp

c5c99988728c550282ae76270b649ea1 DesktopLayer.exe

70857e02d60c66e27a173f8f292774f1 apexp.exe

68862438fae4c937107999ff9d8ff709 apexp2012.exe

3ccb047b631ed6cab34ef11ccf43e47f sisr8Aj.sys

1f9007fbf6a37781f7880c10fc57a277 dllhot.exe

5899fde33dc7cf35477b998c714454eb dllhot.exe

1ad8d0594f9baffe332ccfefb25475df apexd.exe

1873944ee02b9e68af2d4997da5e5426 avast.exe

e6b9054759e4d2d10fcf42d47d9e9221 avast.exe

1770c9bf4a41c5115425d76df052b6a2 killtrtl.exe

2d740789efd7f16bff42651ae69b0893 kvast.exe

876e504b8ddb231d8eeaefa2b9e38093 kvast.exe

e27490ae6debe3be25794b4dcbaa8e24 gold.exe

1f0606c722693c9307ebf524c53f3375 kvast.exe

19594b72fc16539a5122217e6e3bb116 avast.exe

6dd0276e1f66f672e8c426c53b3125a5 rock.exe

82e55177fa37a34dca1375d542c06ac0 rock.exe

7c4b1ebba507bc2d0085278d28a899b2 rocks.exe

c06c3a79f70bfd5474bab8a13acdb87e rocks.exe

8ca92722641c73758e5a762033e09b11 lt.exe

9887d95973ac89c802571c2bbd346cbf canlang.exe

252d1721335108cdc643d36c40d4eaf6 lolcn.exe

b9161d07b4954d071ae0f26c81e56807 lolcn.exe

3425fc4d60a7401c934c73a12a30742b lcn.exe

93610bed2e15e2167a67c0e18fee7e08 lcn.exe

b79f7a7947cb7e9ea1f0d7648e765cee tl.exe

df4bacb064a4668e444fd67585ea1d82 tls.exe

文件路径

攻击脚本

C:\ProgramData\2.vbs attack script

文件的漏洞利用

C:\ProgramData\apexp.exe

C:\ProgramData\apexp2012.exe

被有效负载删除的文件

cfg.bat

canlang.exe

dllhot.exe

本文翻译自:https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/如若转载,请注明原文地址: http://www.hackdig.com/06/hack-55191.htm