天堂资源在线,五六月丁香午夜,人妻少妇精品久久久久久久久久久久,国产乱妇无码大片在线观看一

數(shù)據(jù)中心安全解決方案NEWS

當(dāng)前位置: 首頁 > 新聞中心  > 解決方案 > 數(shù)據(jù)中心安全解決方案

【病毒預(yù)警】FakeMsdMiner挖礦病毒來襲

來源:    |   發(fā)布時間:2020年10月13日

病毒預(yù)警


據(jù)深圳博安特科技了解,近日,亞信安全截獲新型挖礦病毒FakeMsdMiner,該病毒利用“永恒之藍”、“永恒浪漫”等NSA漏洞進行攻擊傳播。該病毒具有遠控功能,可以獲取系統(tǒng)敏感信息。其通過修改HOST文件方式截獲其他挖礦病毒的成果。由于該病毒的挖礦程序偽裝成微軟系統(tǒng)服務(wù)msdtc.exe進行啟動,所以亞信安全將其命名為FakeMsdMiner。

 

FakeMsdMiner挖礦病毒攻擊流程

  

FakeMsdMiner挖礦病毒詳細分析

     

內(nèi)網(wǎng)滲透模塊分析(windowsd.exe程序分析)

  

此程序會在C:WINDOWSFontsMysql目錄釋放多個文件,其中包括BAT腳本處理文件、端口掃描文件、永恒之藍漏洞攻擊文件、payload以及下載程序wget。

    

mysql.bat腳本文件:該腳本主要功能是刪除感染過該病毒的系統(tǒng)中存在的舊服務(wù),安裝并開啟新的服務(wù)MicrosoftMysql,并添加計劃任務(wù)cmd.bat。

   


cmd.bat腳本文件:該腳本主要功能是端口和IP掃描,通過查詢固定地址尋找出口IP和本機IP,獲取IP地址的前2段,拼接后面2段地址,然后掃描445和450端口,將結(jié)果保存在ips.txt中,啟動load.bat腳本進行攻擊。

   

load.bat腳本:該腳本主要功能是運行永恒之藍、永恒浪漫等NSA漏洞攻擊程序,進行內(nèi)網(wǎng)滲透。


挖礦程序模塊(mm.exe文件分析)

  

該模塊同樣會釋放很多文件,其中包括挖礦程序、注入系統(tǒng)的DLL文件以及遠控木馬程序。通過調(diào)用1.bat腳本,依次啟動和運行這些程序。

  

通過修改LoadAppInit_DLLs注冊表項,將DLL文件注入到相應(yīng)的系統(tǒng)中。

 

將挖礦程序復(fù)制到msdtc.exe文件中,偽裝成微軟系統(tǒng)服務(wù)文件msdtc,并為其安裝服務(wù)啟動門羅幣挖礦,其使用的礦機版本為:XMRig 2.14.1。

   

將防火墻關(guān)閉。

   


刪除與本次病毒相關(guān)的文件temp2.exe(本模塊文件)和temp3.exe(漏洞攻擊模塊母體文件)。

 

在host文件中追加相關(guān)域名指向139.180.214.175,該地址為本次挖礦的礦池IP,挖礦木馬試圖通過將其他礦池映射到自己的礦池對應(yīng)的ip地址,來劫持其他挖礦程序或木馬的收益。

   

遠程控制木馬模塊(work.exe文件分析)

  

首先從資源截取釋放病毒核心程序,然后添加注冊表,開啟服務(wù)。研究人員使用資源工具也同樣可以看到,該資源區(qū)段其實就是一個PE文件。

 

值得注意的是,研究人員在分析時發(fā)現(xiàn)了Gh0st字樣,Gh0st是著名的開源遠程控制程序,推測該遠控模塊很有可能是用Gh0st遠控程序修改而來。


Dump出資源模塊,研究人員分析發(fā)現(xiàn),其主要功能就是接受不同指令執(zhí)行不同的功能。這也是常見的遠控功能。

    

其中包括錄音功能:

  

錄制屏幕功能:

   

在系統(tǒng)中提權(quán),獲取相關(guān)進程等信息:

   

獲取機器窗口信息:

  

獲取機器驅(qū)動器信息:

   

獲取機器屏幕信息:

   

獲取日志文件:

   

將收集的信息發(fā)送至遠端:


解決方案
      

 

  • 利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進行連接(該操作會影響使用445端口的服務(wù))。

  • 盡量關(guān)閉不必要的文件共享;

  • 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;

  • 打開系統(tǒng)自動更新,并檢測更新進行安裝。

  • 系統(tǒng)打上MS17-010對應(yīng)的Microsoft Windows SMB服務(wù)器安全更新(4013389)補丁程序。詳細信息請參考鏈接:http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010

 

亞信安全產(chǎn)品解決方案

  

亞信安全病毒碼版本15.149.60,云病毒碼版本15.149.71,全球碼版本15.149.00已經(jīng)可以檢測,請用戶及時升級病毒碼版本。

 

亞信安全OSCE VP / DS DPI開啟以下規(guī)則攔截該漏洞:

  • 1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE- 2017-0146)

  • 1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)

  • 1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)

  • 1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)

  • 1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

 

亞信安全深度發(fā)現(xiàn)設(shè)備TDA檢測規(guī)則如下:

2383:CVE-2017-0144-Remote Code Executeion-SMB(Request)

 

亞信安全Deep Edge已發(fā)布了針對微軟遠程代碼執(zhí)行漏洞CVE-2017-0144的4條IPS規(guī)則:

規(guī)則名稱:微軟MS17 010 SMB遠程代碼執(zhí)行1-4,規(guī)則號:1133635,1133636,1133637,1133638

 

IOCs