破解神秘程式碼“3582-490”之謎

深信服千里目發表於2021-04-09

前幾天,小菜在協助一起蠕蟲事件排查處置的過程中,意外發現了一起人工入侵事件,失陷主機驚現神秘程式碼“3582-490”......

蛛絲馬跡

原本小菜在協助分析的是深信服SIP+EDR透過聯動舉證定位到蠕蟲病毒synapticsd 惡意程式,出於排查的習慣,將平臺上的其他威脅都點開檢視一下,不看不知道一看嚇一跳,EDR上攔截了大量的暴力破解記錄:

破解神秘程式碼“3582-490”之謎

 

管理平臺上顯示,有多臺終端在對內網發起暴力破解攻擊,檢視爆破賬號非常可疑,疑似暴力破解密碼字典中的常見賬戶名(這裡分享一點判斷暴力破解的小經驗,如果是內網共享服務引起的暴力破解告警,通常爆破的賬戶名都是administrator這種本地賬戶,且較為統一,而真實爆破會嘗試大量不同的常見使用者名稱):

破解神秘程式碼“3582-490”之謎

 

出於安全人員的直覺,小菜對幾臺可疑終端進行更深一步的排查,果然在終端發現幾個可疑程式,圖中ProcessHacker、RDP_Multi_Tool-Cracked、Svchost幾個程式對應的可執行檔案都來自於一個偽造的“AdministratOr”目錄:

破解神秘程式碼“3582-490”之謎

 

搜尋近期建立的EXE檔案,在該偽裝目錄下的desktop資料夾中,存在大量的駭客工具,從名字大致判斷多為滲透工具,其中,檔案tomcat7.exe所在的資料夾“3582-490”引起了小菜的注意:

破解神秘程式碼“3582-490”之謎

神秘程式碼“3582-490”

大家讀到這裡可能會覺得很奇怪,“3582-490”不就是一個目錄名稱嘛,攻擊者上傳的目錄都是隨意建立的,經常會使用不明所以的命名;但小菜曾在多次勒索事件溯源中遇到過該目錄,而且是不同的勒索病毒家族,不禁萌生了一絲好奇:

破解神秘程式碼“3582-490”之謎

Buran勒索病毒入侵事件排查截圖

 

破解神秘程式碼“3582-490”之謎

GlobeImposter勒索病毒入侵事件排查截圖

 

破解神秘程式碼“3582-490”之謎

Phobos勒索病毒入侵事件排查截圖

 

以上截圖均來自於不同的勒索病毒家族攻擊事件,從其他的攻擊特徵來看,幾次行為並沒有太多的規律性,但都會存在“3582-490”這個目錄,細心觀察可以發現,“3582-490”下的工具通常在其他目錄下會存在一個同名檔案,但仔細對比大小卻不一樣。

 

於是,小菜獲取了當時採集的事件樣本進行分析,發現這幾個事件中攻擊者使用的工具都具有一個相同點:被Neshta感染型感染過。

破解神秘程式碼“3582-490”之謎

 

透過小菜的行為分析,發現被Neshta感染的可執行檔案執行時,會先在%temp%\3582-490\目錄下釋放感染前的正常檔案,同時會在系統目錄Windows下釋放感染型病毒母體檔案svchost.com,並將EXE檔案的關聯檔案修改為母體路徑,使得當母體被查殺而沒有修復登錄檔時,主機上的EXE檔案都將無法正常執行:

目標: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

修改值: C:\Windows\svchost.com "%1" %*

破解神秘程式碼“3582-490”之謎

 

如此看來,很有可能是因為攻擊者使用了被Neshta感染的駭客工具,才產生了“3582-490”目錄,但具體是下載工具的時候不小心下載到被感染的檔案,還是故意使用了被感染的工具,真相不得而知。

有始有終

解開了神秘程式碼,我們回到入侵分析的正題,對失陷主機上取證到的駭客工具進行一個分析:

對抗工具

名稱

應用

DefenderControl

關閉Windows防火牆

ProcessHacker


prunsrv.exe

(被重新命名為tomcat7.exe)

用於繞過安全軟體檢測註冊服務

off-task2.reg

用於一鍵修改登錄檔關閉工作管理員,使使用者無法正常開啟工作管理員

 

掃描工具

名稱

應用

KPortScan

埠掃描工具

masScan

埠掃描工具

RDP-Multi-Tool---Cracked-By-PCR--master

RDP暴力破解/掃描工具

 

其他工具

名稱

應用

putty

Telnet、SSH、rlogin、純TCP以及序列介面連線軟體

Remote Desktop Plus

RDP遠端連線工具

DnsJumper

可用DNS測速和DNS快速切換,自帶各種DNS

賽風Psiphon

網路代理工具

CryptoTab Browser

瀏覽器,可用於挖礦

SERVR 6.5.2

(偽裝成SQL Server Windows NT - 64 Bit)

挖礦程式,搭配配置檔案使用

 

綜上看來,本次入侵中攻擊者主要是利用了RDP暴力破解的方式在進行內網滲透,同時在失陷主機上使用各類工具對抗安全策略和安全軟體,最終植入挖礦木馬利用使用者資源進行挖礦。

防範建議

儘管此次入侵事件攻擊者只是投放了挖礦木馬,沒有對內網造成太大的損害,但該事件中使用的手法與常見的勒索病毒攻擊如出一轍,如果駭客心血來潮投放一個勒索病毒,帶來的後果不敢想象,因此,小菜提醒大家一定要做好日常的防範:

深信服產品解決方案

1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

破解神秘程式碼“3582-490”之謎

 

2. 深信服安全感知平臺、下一代防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅:

3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;

4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力;針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

 

日常加固方案
1、及時給系統和應用打補丁,修復常見高危漏洞(建議使用EDR漏洞掃描工具或EDR輕補丁功能);

2、對重要的資料檔案定期進行異地多介質備份;

3、更改主機賬戶和資料庫密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃(建議使用EDR基線檢查功能進行主機弱密碼巡查);

4、如果業務上無需使用RDP的,建議關閉RDP功能,並儘量不要對外網對映RDP埠和資料庫埠(建議開啟EDR的RDP暴力破解自動封堵功能)。

相關文章