Bluehero挖矿蠕虫变种空降!

背景概述

近日,深信服安全团队捕获到Bluehero挖矿蠕虫最新变种,该挖矿蠕虫集多种功能为一体,释放后门程序窃取主机信息,释放Mimikatz模块、嗅探模块、“永恒之蓝”攻击模块、LNK漏洞利用模块(CVE-2017-8464)进行传播和反复感染,最终释放挖矿模块进行挖矿。

通过威胁情报查询,Bluehero挖矿蠕虫最新变种两个关键文件的创建时间均为6月3号,可以确认近期刚开始进行活动,并且有扩大感染面的趋势。深信服安全团队在第一时间捕获到该变种进行分析:PHP大马

图片1.png

图片2.png

 

Bluehero挖矿蠕虫变种运行流程如下:

图片3.png

 

详细分析

Download.exe

创建C:\WebKitsSDK\2.7.92目录:

图片4.png

释放并运行后门程序,该后门程序的文件名为随机字符:

图片5.png

通过链接http://fid.hognoob.se/SunloglicySrv.exe下载SunloglicySrv.exe到C:\WebKitsSDK\2.7.92并运行:

图片6.png

 

从C2服务器下载相应的配置文件cfg.ini,如下所示:

图片7.png

相应的C2服务器URL地址:

http://uio.hognoob.se:63145/cfg.ini

http://uio.heroherohero.info:63145/cfg.ini

 

下载回来的配置文件中包含挖矿流量的矿池地址:

pxi.hognoob.se:35791

pxx.hognoob.se:35789

下载模块的URL地址:

http://fid.hognoob.se/download.exe

图片8.png

 

后门程序

自复制到C:\Windows\system32\目录下,名字为随机字符:

图片9.png

将复制体注册为服务,服务名为Abfdef:

图片10.png

 

通过服务启动,连接C&C端q1a.hognoob.se的1889端口,发送主机信息:

图片11.png

 

SunloglicySrv.exe

自复制到windows目录,以随机字符命名:

图片12.png

 

通过命令行重新启动:

图片13.png

 

释放Mimikatz模块,用于抓取域用户密码:

图片14.png

 

释放嗅探模块,扫描指定IP段:

图片15.png

图片16.png

 

设置ipsec规则,过滤掉相关的协议流量:

图片17.png

 

关闭主机防火墙、网络共享、杀毒软件等,如下所示:

图片18.png

 

创建相应的计划任务,如下所示奇热影视

图片19.png

 

释放“永恒之蓝”攻击模块,进行内网横向传播:

图片20.png

 

释放LNK漏洞利用模块:

图片21.png

利用LNK漏洞(CVE-2017-8464)下载最开始的download.exe模块,加速传播:

图片22.png

 

C:\Windows\Temp目录下释放挖矿模块,并运行挖矿程序:

图片23.png

图片24.png

 

挖矿流量如下:

图片25.png

IOC

DNS:

q1a.hognoob.se

 

URL:

http://fid.hognoob.se/download.exe

http://uio.hognoob.se:63145/cfg.ini

http://uio.heroherohero.info:63145/cfg.ini

http://fid.hognoob.se/SunloglicySrv.exe

 

MD5:

0FE77BC5E76660AD45379204AA4D013C(download.exe)

7B6308828105E080D7F238BB14D28874(SunloglicySrv.exe)

 

解决方案

1、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

图片26.png

 

2、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3、更新MS17-010补丁以及CVE-2017-8464漏洞补丁。

4、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值