新型信息窃取恶意软件,主攻亚太地区Windows服务器

近期,来自Checkpoint的安全研究人员发现了一个新的信息窃取恶意软件,该恶意软件针对Windows服务器,窃取其敏感数据,包括登录凭据、操作系统版本、IP地址、还将受害者的数据上传到FTP服务器。

新型信息窃取恶意软件,主攻亚太地区Windows服务器

这款名为Mimikatz的恶意软件被用在一个大型的恶意软件活动中,该活动主要针对亚太地区(美国、马来西亚)。通过分析该恶意软件还与XMRig挖矿软件,Mirai僵尸网络有关。

攻击流程

攻击者会通过C2服务器(66.117.6.174)下载可执行文件ups.rar,然后判断目标服务器的环境。目前大部分的反病毒软件还无法检测该恶意软件。

新型信息窃取恶意软件,主攻亚太地区Windows服务器

攻击链

仅当受感染的计算机是Windows服务器时,攻击才会继续。

新型信息窃取恶意软件,主攻亚太地区Windows服务器

检查是否为Windows操作系统

之后,恶意软件调用GetVersionExA提取操作系统版本,它返回OSVERSIONINFOEXA结构。检查操作系统后,恶意软件将无法在以下版本上运行:

Windows 10;

Windows 8;

Windows 7;

Windows Vista;

Windows XP专业版;

Windows XP家庭版;

Windows 2000专业版。

新型信息窃取恶意软件,主攻亚太地区Windows服务器

确定Windows操作系统版本

两个GET请求

在找到目标“Windows Server”时,C2服务器会发送两个GET请求,一个是部署批处理文件(My1.bat)并触发无文件攻击,另一个是发送请求与C2服务器同步以获得更新版本。

该批处理文件中包含Mirai僵尸网络的模块,攻击者加强了该模块功能以便进行新的恶意行为。

新型信息窃取恶意软件,主攻亚太地区Windows服务器

与旧Mirai版本的相似性

此新模块运行连接到外部URL的PowerShell命令:

1.创建WMI事件客户对象(WMI Event customer object),运行PowerShell并利用管理员权限(权限提升);

2.尝试下载并执行恶意软件,如Mirai、Dark cloud和XMRig矿工。

下载恶意软件时,它使用cradle obfuscator方法并调用IP:http://173[.]208.139.170/s.txt中的内容。为了避免检测,它调用另一个命令来下载运行各种命令的ps1文件。

它能够提取处理器的详细信息并从外部URL调用Mimikatz转储所有密码。密码被泄露后保存在文件中,然后将文件上传到攻击者管理的FTP服务器。

新型信息窃取恶意软件,主攻亚太地区Windows服务器

连接到攻击者的FTP服务器

根据Checkpoint的分析,FTP服务器目前仍处于打开状态,数据每秒都会不断上传,密码文件会持续上传并储存在服务器中。

应对措施

及时升级操作系统及常用软件补丁,升级杀毒软件的病毒库到最新版本;

不下载未知来源的应用程序,不访问有潜在风险的网站。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134770.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code