攻击描述
山石网科情报中心近期获取了一批挖矿恶意样本。其在受害主机上执行后除了挖矿还会进行漏洞利用、清除其他挖矿进程等活动。分析对比发现这些样本疑似Watchdog挖矿活动脚本。Watchdog攻击团伙最早于2019年被披露,目前仍在活跃中。其常用攻击方式是利用redis漏洞入侵受害主机,随后进行挖矿、漏洞利用等恶意活动。
简要分析
样本为一个PowerShell脚本。其中定义了多个恶意程序与脚本的下载url和备用下载url。脚本执行后将依次检查这些文件是否存在,不存在则下载这些文件,若下载失败则使用备用url再次下载。
该脚本使用SchTasks.exe创建定时任务定期执行自身。
之后脚本将依次在后台执行下载的恶意可执行程序或脚本。
分析这些程序或脚本发现:
1、“redis-bin.exe”为挖矿程序。由于C2下载url失效,目前未获取该样本。由开源情报分析该程序应为xmrig门罗币挖矿程序。
2、“VGAuthServices.exe”为漏洞扫描利用程序。由go语言编写,使用upx加密。执行后将在受害主机中扫描利用如CVE-2015-1427、CVE-2014-3120等漏洞。以下为部分利用漏洞:
3、“rsyncd.ps1”即为该脚本自身。
4、“rsysdlog.exe”同样由go语言编写,使用upx加密。其主要功能为扫描进程,并使用SchTasks计划任务保证挖矿程序持续运行。
5、“clean.bat”批处理脚本会扫描并清除其他挖矿进程。以下为部分清除进程。
此外还会将受害主机主机名、ip发送至C2服务器。
6、“clean.exe” 由rust语言编写,使用upx加密。执行后将“bak$”用户添加到管理员用户组。脚本下该程序后并未直接执行它。
失陷指标
b0c08627430b7762e305880ca2714728
da4a0db31fc346355edef28f8ad23ad8
02c6ab99ec79112bcf04f71454224563
2ec4ae1aaabc5ba4b804706b72f8ce9b
fadd08a8e50e14078387806d70cba3a0
6b1b5830e221865c1b80f08f6bae9a01
45.155.250.64
www.cn2an.top转载来源:https://mp.weixin.qq.com/s/9I4W-N3neYo-p4Spi_iS0A
图片来源网络目标可联系删除
