破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室

前几天,小菜在协助一起蠕虫事件排查处置的过程中,意外发现了一起人工入侵事件,失陷主机惊现神秘代码“3582-490”……

蛛丝马迹

原本小菜在协助分析的是深信服SIP+EDR通过联动举证定位到蠕虫病毒synapticsd 恶意进程,出于排查的习惯,将平台上的其他威胁都点开查看一下,不看不知道一看吓一跳,EDR上拦截了大量的暴力破解记录:

图片[1]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

管理平台上显示,有多台终端在对内网发起暴力破解攻击,查看爆破账号非常可疑,疑似暴力破解密码字典中的常见账户名(这里分享一点判断暴力破解的小经验,如果是内网共享服务引起的暴力破解告警,通常爆破的账户名都是administrator这种本地账户,且较为统一,而真实爆破会尝试大量不同的常见用户名):

图片[2]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

出于安全人员的直觉,小菜对几台可疑终端进行更深一步的排查,果然在终端发现几个可疑进程,图中ProcessHacker、RDP_Multi_Tool-Cracked、Svchost几个进程对应的可执行文件都来自于一个伪造的“AdministratOr”目录:

图片[3]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

搜索近期创建的EXE文件,在该伪装目录下的desktop文件夹中,存在大量的黑客工具,从名字大致判断多为渗透工具,其中,文件tomcat7.exe所在的文件夹“3582-490”引起了小菜的注意:

图片[4]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

神秘代码“3582-490

大家读到这里可能会觉得很奇怪,“3582-490”不就是一个目录名称嘛,攻击者上传的目录都是随意创建的,经常会使用不明所以的命名;但小菜曾在多次勒索事件溯源中遇到过该目录,而且是不同的勒索病毒家族,不禁萌生了一丝好奇:

图片[5]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

Buran勒索病毒入侵事件排查截图

图片[6]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

GlobeImposter勒索病毒入侵事件排查截图

图片[7]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

Phobos勒索病毒入侵事件排查截图

以上截图均来自于不同的勒索病毒家族攻击事件,从其他的攻击特征来看,几次行为并没有太多的规律性,但都会存在“3582-490”这个目录,细心观察可以发现,“3582-490”下的工具通常在其他目录下会存在一个同名文件,但仔细对比大小却不一样。

于是,小菜获取了当时采集的事件样本进行分析,发现这几个事件中攻击者使用的工具都具有一个相同点:被Neshta感染型感染过。

图片[8]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

通过小菜的行为分析,发现被Neshta感染的可执行文件运行时,会先在%temp%\3582-490\目录下释放感染前的正常文件,同时会在系统目录Windows下释放感染型病毒母体文件svchost.com,并将EXE文件的关联文件修改为母体路径,使得当母体被查杀而没有修复注册表时,主机上的EXE文件都将无法正常执行:

目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

修改值: C:\Windows\svchost.com “%1” %*

图片[9]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

如此看来,很有可能是因为攻击者使用了被Neshta感染的黑客工具,才产生了“3582-490”目录,但具体是下载工具的时候不小心下载到被感染的文件,还是故意使用了被感染的工具,真相不得而知。

有始有终

解开了神秘代码,我们回到入侵分析的正题,对失陷主机上取证到的黑客工具进行一个分析:

对抗工具

名称

应用

DefenderControl

关闭Windows防火墙

ProcessHacker

prunsrv.exe

(被重命名为tomcat7.exe)

用于绕过安全软件检测注册服务

off-task2.reg

用于一键修改注册表关闭任务管理器,使用户无法正常打开任务管理器

扫描工具

名称

应用

KPortScan

端口扫描工具

masScan

端口扫描工具

RDP-Multi-Tool—Cracked-By-PCR–master

RDP暴力破解/扫描工具

其他工具

名称

应用

putty

Telnet、SSH、rlogin、纯TCP以及串行接口连接软件

Remote Desktop Plus

RDP远程连接工具

DnsJumper

可用DNS测速和DNS快速切换,自带各种DNS

sai feng Psiphon

网络代理工具

CryptoTab Browser

浏览器,可用于挖矿

SERVR 6.5.2

(伪装成SQL Server Windows NT – 64 Bit)

挖矿程序,搭配配置文件使用

综上看来,本次入侵中攻击者主要是利用了RDP暴力破解的方式在进行内网渗透,同时在失陷主机上使用各类工具对抗安全策略和安全软件,最终植入挖矿木马利用用户资源进行挖矿。

防范建议

尽管此次入侵事件攻击者只是投放了挖矿木马,没有对内网造成太大的损害,但该事件中使用的手法与常见的勒索病毒攻击如出一辙,如果黑客心血来潮投放一个勒索病毒,带来的后果不敢想象,因此,小菜提醒大家一定要做好日常的防范:

深信服产品解决方案

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z图片[10]-破解神秘代码“3582-490”之谜 – 作者:深信服千里目安全实验室-安全小百科

2、深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁:

3、深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;

4、深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速提高安全能力;针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

日常加固方案
1、及时给系统和应用打补丁,修复常见高危漏洞(建议使用EDR漏洞扫描工具或EDR轻补丁功能);

2、对重要的数据文件定期进行异地多介质备份;

3、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃(建议使用EDR基线检查功能进行主机弱密码巡查);

6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口(建议开启EDR的RDP暴力破解自动封堵功能)。

来源:freebuf.com 2021-04-09 15:50:15 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论