首例利用CVE-2017-8464漏洞挖矿事件:打开U盘即中招

近日,腾讯御见威胁情报中心监测到一起利用lnk远程代码执行漏洞(CVE-2017-8464)传播门罗币挖矿木马的攻击事件。本次攻击中,不法分子利用带毒的U盘感染目标用户机器,一旦用户运行U盘,无需任何操作,电脑就会被不法分子远程控制。

0×1 概述

近日,腾讯御见威胁情报中心监测到一起利用lnk远程代码执行漏洞(CVE-2017-8464)传播门罗币挖矿木马的攻击事件。本次攻击中,不法分子利用带毒的U盘感染目标用户机器,一旦用户运行U盘,无需任何操作,电脑就会被不法分子远程控制。此外,病毒样本还会释放CVE-2017-8464漏洞文件,继续感染其它插入的可移动磁盘。

CVE-2017-8464漏洞和此前震网病毒所使用的零日漏洞类似,可被用来攻击基础设施、存放关键资料的核心隔离系统等,对政企单位的内网安全有较大威胁。微软在去年6月安全更新中推出相关补丁,腾讯电脑管家也在第一时间发布漏洞预警并推送补丁,但至今仍有部分用户电脑未及时修复漏洞。 

0×2 具体分析

样本MD5:0432654D466A2101CE5FD4A6FF600F97

1.png

该样本是一个自解压的EXE程序,样本运行后会在当前目录释放如下4个文件,然后执行11.vbs脚本。

2.png

11.vbs脚本内容如下图所示,该脚本会执行当前目录下的11.bat批处理文件。

3.png

而11.bat文件内容如下图,该批处理会执行当前目录下的mail.exe和brut.exe

4.png

mail.exe文件同样是一个自解压的程序,运行后会在当前目录释放如下7个文件。

5.png

接着执行usbstart.vbs脚本,和前面一样,这里样本涉及到的vbs脚本都是执行同名的bat文件。

6.png

Usbstart.bat脚本负责执行miner.exe,同时将当前目录的mail.exe拷贝到指定目录:

“%SYSTEMDRIVE%\ProgramData\WinSys\”

“%appdata%\Identities\swop\”

然后在当前目录下创建一个目录:%~dp0Password,并将当前目录下所有lnk文件拷贝到该目录下。然后通过ping命令延时一段时间后删除刚刚释放的7个文件。

7.png

此外,miner.exe文件同样是一个自解压程序,不同的是为了绕开沙箱等自动化分析工具,作者单独对该文件添加了解压密码。这里usbstart.bat脚本通过传递参数方式指定解压密码,参数为“-printer”,“-p”用于指定密码,“rinter”就是解压使用的密码。通过分析工具,可以知道,该样本运行后会释放81个文件到%appdata%\Identities\swop\目录下。下图是释放文件的基本信息:

8.png

9.png

对这些文件逐一进行分析后,可以知道这些文件主要实现如下功能:

1. 尝试添加系统管理员账号:WINSYS64 QwE14789632并通过修改注册表项允许远程连接。

2. 向http://64ip.com/l2/248792/user/服务器发送感染成功通知。

3. 添加注册表项实现开机自启:%SYSTEMDRIVE%\ProgramData\WinSys\kontrol32/64.vbs

4. 根据电脑处理器个数以不同参数启动挖矿程序sysntp32/64.exe

5. 利用USB自动播放和CVE-2017-8464漏洞感染可移动磁盘。

每个文件对应的主要功能:

10.png

启动挖矿木马的脚本:

11.png

添加系统账户的代码:

12.png

发送感染通知的代码:

13.png

感染可移动磁盘的代码:

14.png

通过注册表项添加开机自启的代码:

15.png

Lnk漏洞样本,加载指定目录下的DLL:

16.png

Lnk漏洞加载DLL后,DLL负责执行指定磁盘根目录下的mail.exe

17.png

18.png

0×3 总结

基于本次攻击主要影响群体为频繁使用U盘进行文件传送的局域网用户,校园和政企单位等用户应注意提高警惕,使用腾讯电脑管家等安全软件查杀病毒。此外,推荐政企机构使用腾讯御点终端安全管理系统(https://s.tencent.com/product/yd/index.html),有效防御企业内网终端的病毒木马攻击。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

IOC

A3F834F5A8FCCA187AEAC1FBD089CFD0

http://64ip.com/l2/248792/user/

195.154.180.82:80

取消
Loading...

相关推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php