机房360首页
当前位置:首页 » 系统安全 » Windows与Linux双平台无文件攻击:PowerGhost挖矿病毒最新变种感染多省份

Windows与Linux双平台无文件攻击:PowerGhost挖矿病毒最新变种感染多省份

来源:安全脉搏 作者: 更新时间:2019/11/27 9:19:19

摘要:PowerGhost是从2018年被发现使用powershell无文件方式进行攻击感染的挖矿以及DDOS病毒,本次深信服安全团队捕获到其最新样本,其感染方式利用了永恒之蓝,MSSQL爆破,SSH爆破,wmi以及smb爆破远程命令执行等,同时对windows和linux进行攻击,一旦该病毒进入内网,会在内网迅速传播。

  PowerGhost是从2018年被发现使用powershell无文件方式进行攻击感染的挖矿以及DDOS病毒,本次深信服安全团队捕获到其最新样本,其感染方式利用了永恒之蓝,MSSQL爆破,SSH爆破,wmi以及smb爆破远程命令执行等,同时对windows和linux进行攻击,一旦该病毒进入内网,会在内网迅速传播。目前其主要感染地区在广东、浙江、上海以及江苏。

1573522807596072.png

  详细分析

  该病毒母体模块分为2个版本,x86和x64,x86使用antitrojan.ps1,x64使用antivirus.ps1,本次分析x64版本的antivirus.ps1。

1573522843349445.png

  当前病毒版本为1.5。

1573522866743097.png

  母体payload分布以及执行图,antivirus.ps1中主要分为3个部分,如下图:

1573522890620559.png

  第一段payload,开头部分如下:

1573525184926851.png

  Invoke-WmiExec以及Invoke-SmbExec远程命令执行。

1573526132397515.png

  永恒之蓝利用,$sc为shellcode,主要从网上下载恶意脚本进行感染。

1573526190886986.png
1573526374721536.png

  SSH爆破,加载的SSH模块Rence.SshNet。

1573526431401052.png
1573526432328404.png

  MSSQL爆破。

1573526557422353.png
1573526557802398.png

  随着最近网络加密货币升值,会有更多的黑产将注意力转到挖矿,其挖矿流量如下,到目前为止该地址已经赚取了3个币。

1573526650492484.png
1573526651538497.png

  Middle部分,一段混淆的代码,主要功能执行第一段payload。

1573526721940435.png
1573526721516514.png

  第二段payload,也是混淆过的,部分内容如下。主要创建两个定时任务,更改电源计划,创建netbc的ipsec策略封堵445端口(防止被其他病毒利用),创建一个wmi持久任务。

1573530376460237.png
1573530376913567.png
1573530376764666.png

  Linux部分分析

  当PowerGhost成功爆破ssh之后,就会下载shell进行病毒的更一步植入。

1573530476166158.png

  当前Linux版本为1.2版本,前面进行信息的初始化,声明C2地址和默认下载目录、以及文件hash,文件校验方式等:

  temp_remote_host: 远程地址

  sodd_info_arr: DDoS木马

  tiktoor_info_arr: brootkit后门

  pxe_info_arr: CVE-2016-5195内核提权源码以及程序及其hash

  DownloadPath=”/usr/lib/...” 默认下载路径

  Ver=1.2 当前版本

  Shell_privilege=1 当前shell默认权限

  OsType=1 系统类型默认为Centos系列

  Verify_method=”md5sum” 下载文件校验方式,默认使用md5

1573530459576844.png
1573530497676407.png

  整个Linux端PowerGhost执行流程如下:

  1、进行初始化。

1573530516898246.png

  2、检测执行参数是否为/sbin/init。

1573530774424244.png

  3、杀死自身相同进程名的shell进程或者挖矿进程(WorkProc "shell" "$ShellProceName")。 本例$shellProceName="diskmanagerd"。

1573530798882140.png

  4、使用ssh进行横向传播。

1573530817324745.png

  5、检测当前是否为root权限,如果是则检测安全产品,创建启动项,安装rootkit(brootkit),否则使用CVE-2016-5195(脏牛漏洞)进行提权。

1573530838923559.png

  Install.sh。

1573530917865170.png

  Brootkit.sh会对文件隐藏,进程隐藏,劫持命令(ps, ls, dir, netstat)等。

1573530936525447.png

  6、进入循环,检测更新,下载执行billgats木马,清除挖矿进程,休眠等待下次循环。

1573531018766041.png

  防护建议

  1、打上永恒之蓝补丁;2、关闭135,139,445等端口,如果没有业务必要,建议封堵;3、不要使用域管账号随意登录域内机器,域内机器密码应互不相同;4、将密码更改为强密码;5、修补CVE-2016-5195。

  责任编辑:张华

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/20191127/n8223124838.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片