破解神秘程式碼“3582-490”之謎
前幾天,小菜在協助一起蠕蟲事件排查處置的過程中,意外發現了一起人工入侵事件,失陷主機驚現神秘程式碼“3582-490”......
蛛絲馬跡
原本小菜在協助分析的是深信服SIP+EDR透過聯動舉證定位到蠕蟲病毒synapticsd 惡意程式,出於排查的習慣,將平臺上的其他威脅都點開檢視一下,不看不知道一看嚇一跳,EDR上攔截了大量的暴力破解記錄:
管理平臺上顯示,有多臺終端在對內網發起暴力破解攻擊,檢視爆破賬號非常可疑,疑似暴力破解密碼字典中的常見賬戶名(這裡分享一點判斷暴力破解的小經驗,如果是內網共享服務引起的暴力破解告警,通常爆破的賬戶名都是administrator這種本地賬戶,且較為統一,而真實爆破會嘗試大量不同的常見使用者名稱):
出於安全人員的直覺,小菜對幾臺可疑終端進行更深一步的排查,果然在終端發現幾個可疑程式,圖中ProcessHacker、RDP_Multi_Tool-Cracked、Svchost幾個程式對應的可執行檔案都來自於一個偽造的“AdministratOr”目錄:
搜尋近期建立的EXE檔案,在該偽裝目錄下的desktop資料夾中,存在大量的駭客工具,從名字大致判斷多為滲透工具,其中,檔案tomcat7.exe所在的資料夾“3582-490”引起了小菜的注意:
神秘程式碼“3582-490”
大家讀到這裡可能會覺得很奇怪,“3582-490”不就是一個目錄名稱嘛,攻擊者上傳的目錄都是隨意建立的,經常會使用不明所以的命名;但小菜曾在多次勒索事件溯源中遇到過該目錄,而且是不同的勒索病毒家族,不禁萌生了一絲好奇:
Buran勒索病毒入侵事件排查截圖
GlobeImposter勒索病毒入侵事件排查截圖
Phobos勒索病毒入侵事件排查截圖
以上截圖均來自於不同的勒索病毒家族攻擊事件,從其他的攻擊特徵來看,幾次行為並沒有太多的規律性,但都會存在“3582-490”這個目錄,細心觀察可以發現,“3582-490”下的工具通常在其他目錄下會存在一個同名檔案,但仔細對比大小卻不一樣。
於是,小菜獲取了當時採集的事件樣本進行分析,發現這幾個事件中攻擊者使用的工具都具有一個相同點:被Neshta感染型感染過。
透過小菜的行為分析,發現被Neshta感染的可執行檔案執行時,會先在%temp%\3582-490\目錄下釋放感染前的正常檔案,同時會在系統目錄Windows下釋放感染型病毒母體檔案svchost.com,並將EXE檔案的關聯檔案修改為母體路徑,使得當母體被查殺而沒有修復登錄檔時,主機上的EXE檔案都將無法正常執行:
目標: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
修改值: C:\Windows\svchost.com "%1" %*
如此看來,很有可能是因為攻擊者使用了被Neshta感染的駭客工具,才產生了“3582-490”目錄,但具體是下載工具的時候不小心下載到被感染的檔案,還是故意使用了被感染的工具,真相不得而知。
有始有終
解開了神秘程式碼,我們回到入侵分析的正題,對失陷主機上取證到的駭客工具進行一個分析:
對抗工具
名稱 | 應用 |
DefenderControl | 關閉Windows防火牆 |
ProcessHacker | |
prunsrv.exe (被重新命名為tomcat7.exe) | 用於繞過安全軟體檢測註冊服務 |
off-task2.reg | 用於一鍵修改登錄檔關閉工作管理員,使使用者無法正常開啟工作管理員 |
掃描工具
名稱 | 應用 |
KPortScan | 埠掃描工具 |
masScan | 埠掃描工具 |
RDP-Multi-Tool---Cracked-By-PCR--master | RDP暴力破解/掃描工具 |
其他工具
名稱 | 應用 |
putty | Telnet、SSH、rlogin、純TCP以及序列介面連線軟體 |
Remote Desktop Plus | RDP遠端連線工具 |
DnsJumper | 可用DNS測速和DNS快速切換,自帶各種DNS |
賽風Psiphon | 網路代理工具 |
CryptoTab Browser | 瀏覽器,可用於挖礦 |
SERVR 6.5.2 (偽裝成SQL Server Windows NT - 64 Bit) | 挖礦程式,搭配配置檔案使用 |
綜上看來,本次入侵中攻擊者主要是利用了RDP暴力破解的方式在進行內網滲透,同時在失陷主機上使用各類工具對抗安全策略和安全軟體,最終植入挖礦木馬利用使用者資源進行挖礦。
防範建議
儘管此次入侵事件攻擊者只是投放了挖礦木馬,沒有對內網造成太大的損害,但該事件中使用的手法與常見的勒索病毒攻擊如出一轍,如果駭客心血來潮投放一個勒索病毒,帶來的後果不敢想象,因此,小菜提醒大家一定要做好日常的防範:
深信服產品解決方案
1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2. 深信服安全感知平臺、下一代防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅:
3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力;針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
日常加固方案
1、及時給系統和應用打補丁,修復常見高危漏洞(建議使用EDR漏洞掃描工具或EDR輕補丁功能);
2、對重要的資料檔案定期進行異地多介質備份;
3、更改主機賬戶和資料庫密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃(建議使用EDR基線檢查功能進行主機弱密碼巡查);
4、如果業務上無需使用RDP的,建議關閉RDP功能,並儘量不要對外網對映RDP埠和資料庫埠(建議開啟EDR的RDP暴力破解自動封堵功能)。
相關文章
- 破解ERP的使用成本之謎
- 《自然》:破解癌細胞愛“啃”椎骨之謎!
- 《科學》:破解AD神經元死亡之謎!
- 揭開SVCHOST.exe程式之謎 (轉)
- redux-thunk 之謎Redux
- 位元組碼檔案的內部結構之謎
- 資料繫結之謎
- React Native 效能之謎React Native
- Java解惑五:類之謎Java
- 氣泡洗技術再迭代,方太破解洗碗機中國市場遇冷之謎
- 軟體破解初體驗之 MacroClip 2000.2.7 程式碼修改破解 (15千字)Mac
- 逆向破解js程式碼加密,程式碼混淆不是難事JS加密
- Vue render深入窺探之謎Vue
- SpringBootApplication是如何啟動Tomcat的? | 破解SpringBoot Tomcat啟動之謎 !Spring BootAPPTomcat
- 動網論壇密碼暴力破解程式程式碼 (轉)密碼
- 解開Android應用程式元件Activity的"singleTask"之謎(3)Android元件
- 開啟神秘程式設計世界的大門程式設計
- 浪潮資訊M6伺服器極限效能挑戰 破解毫釐之間散熱"湍流"玄謎伺服器
- 控制時間破解謎題,順手還可以擼貓的《Timelie》
- 微軟面試題之數字謎題 (轉)微軟面試題
- 無線Wifi密碼之暴力破解篇(WPA)WiFi密碼
- 圖資料庫實操:用 Nebula Graph 破解成語版 Wordle 謎底資料庫
- RocketMQ 很慢?引出了一個未解之謎MQ
- Linux安全-攻擊篇-密碼破解之Hydra工具Linux密碼
- 記學習滲透測試之破解密碼一解密密碼
- 記學習滲透測試之破解密碼二解密密碼
- 菜鳥破解之軟體自己顯示註冊碼
- 《自然》:破解百年謎題,心臟確實可以直接影響情緒!
- 程式碼壞味道之程式碼臃腫
- 解謎遊戲謎題設計研究(三):推理類謎題設計遊戲
- 解謎遊戲謎題設計研究(一):物品類謎題設計遊戲
- .Net 7 的AOT的程式比託管程式碼更容易破解?
- 2021技術圈未解之謎:“毒瘤”低程式碼?只會營銷雲原生?萬事不決微服務?微服務
- “破解”XP密碼密碼
- 解謎遊戲謎題設計研究(二):機關類謎題設計遊戲
- 破解心得之eXeScope篇
- 回溯設斷法破解中華燈謎V2004 build 02.01UI
- 昨日萬聖節ABAP怪獸級程式碼謎團,公佈答案啦