freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    区块链火了Sality病毒,感染3万电脑伺机盗取比特币
    2019-10-30 09:29:17

    一、背景

    腾讯安全御见威胁情报中心检测到Sality感染型病毒活跃,该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下,各种数字加密币的交易空前活跃,以比特币为首的各种数字加密币趁势爆涨。Sality病毒利用自己建立的P2P网络,传播以盗取、劫持虚拟币交易为目的的剪切板大盗木马,将会对虚拟币交易安全构成严重威胁。 

    Sality病毒最早于2003年被发现,最初只是一个简单的文件感染程序,具有后门和按键记录功能。Sality后来增加了组建P2P分布式网络的功能,在增强了传播速度的同时也具有了更大的破坏能力。 

    Sality病毒拥有一个内置的URL列表,同时可以从其他受感染的P2P网络中接收新的URL,通过下载,解密和执行列表中的每个URL,Sality可以植入其他木马或者收取推广安装渠道费,Sality病毒构造的P2P网络传播其他病毒木马或以恶意推广软件获利的策略十分灵活。 

    当前版本的Sality感染型病毒具有以下特点:

    1、破坏系统安全设置;

    2、感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件;

    3、利用可移动、远程共享驱动器的自动播放功能进行感染;

    4、将自身注入到其他进程中,以便能够将下载的DLL加载到目标进程;

    5、创建一个对等(P2P)僵尸网络;

    6、从URL列表下载并执行“剪切板大盗”木马,通过剪切板内容中的字符格式判断以太币或比特币钱包地址,并将剪切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产就会被盗。 

    根据腾讯御见威胁情报中心统计数据,此次Sality病毒攻击影响超过3万台电脑。从地区分布来看,Sality在全国各地均有感染,最严重地区分别为广东、江苏、河南、山东。

    1.png


    从感染行业分布来看,Sality影响最严重的依次为科技、制造业和房地产行业。

    2.png

    二、详细分析

    Sality感染型病毒

    Sality使用外壳程序保护,执行后首先解密出核心代码,然后跳转到入口执行。

    3.png


    创建互斥体"uxJLpe1m"以保证木马进程具有唯一实例。

    4.png


    枚举和删除位于以下注册表子项中的所有条目来阻止受感染的计算机进入安全模式。

    HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

    5.png


    将恶意代码指令注入到其他进程(排除属于系统,本地服务或网络服务的进程)中,从而允许代码将从远程服务器下载的外部程序加载到目标进程中,病毒使用基于每次注入进程PID命名的互斥锁来避免重复注入。

    6.png


    感染本地、可移动和远程共享驱动器上不受保护的可执行文件。修改可执行文件的入口点,以病毒代码替换原始文件代码,使得所有被感染程序启动时执行病毒功能。

    7.png


    在本地、可移动和远程共享驱动器根目录下创建autorun.inf,并在其中设置自动执行的文件指向拷贝到其中的病毒程序,使得网络共享盘和可移动盘被打开时病毒自动运行,继续传播感染病毒。

    8.png


    创建驱动程序,文件路径C:\WINDOWS\system32\drivers\<random>.sys,符号链接为“\DosDevices\amsint32”驱动程序用来阻止对各类安全软件供应商网站的访问。

    9.png


    构建基于UDP协议的P2P网络,通过P2P网络共享用于下载、解密和执行文件的URL列表。

    10.png


    获取内置的下载URL列表。

    11.png


    获取计时器转换成字符,并以“?%x=%d”格式拼接在URL的末尾。

    12.png


    目前URL使用的活跃域名如下:

    tudorbuildersfl.com

    energy-guru.com

    acostaphoto.com

    ptcgic.com

    cikmayedekparca.com

    brucegarrod.com

    cbbasimevi.com

    brandaoematos.com.br

    caglarteknik.com

    bharatisangli.in

    cacs.org.br

    butacm.go.ro

    boyabateml.k12.tr

    casbygroup.com

    iqhouse.kiev.ua 

    从下载的文件中解密出PE程序保存到%Temp%\win%s.exe。

    13.png

    剪切板大盗

    感染型病毒Sality最终下载的是针对剪切板中的数字加密货币钱包地址进行替换的木马程序,木马启动后循环打开剪切板并获取剪切板中数据。

    14.png


    通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址,并将切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产便落入黑客的口袋。

    15.png

    16.png


    根据监测数据,Sality下载的盗取数字加密货币木马每一个月更换一次样本,我们从这些样本中提取到28个比特钱包,1个以太币钱包。查询钱包收益,木马已累计盗取比特币3.965个,以太币2.94个,这些数字资产按当前市场价格折合***约27万元。

    17.png

    三、安全建议

    防御重点:使用腾讯电脑管家或腾讯御点防御感染型病毒的传播。 

    个人用户应避免从危险网站下载高风险软件,如游戏外挂、破解工具、盗版软件等。关闭U盘的自动播放功能,防止感染型病毒通过U盘传播。 

    企业用户应加强内网共享文件的管理,可通过配置企业安全策略来降低风险。具体防范措施如下: 

    1、禁用自动播放以防止自动启动网络和可移动驱动器上的可执行文件,并在不需要时断开驱动器的连接。如果不需要写访问权限,在可用选项下启用只读模式; 

    2、如果不需要使用文件共享,则用户应关闭文件共享。如果需要文件共享,则用户应使用ACL和密码保护来限制访问; 

    3、确保计算机的程序和用户使用完成任务所需的最低权限。当提示输入root或UAC密码时,需确保要求管理级访问的程序是合法应用程序; 

    4、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理; 

    5、及时安装系统补丁,尤其是在承载公共服务且可通过防火墙访问的计算机上,例如HTTP,FTP,邮件和DNS服务; 

    6、建议企业用户安装部署腾讯御点终端安全管理系统防御病毒攻击。腾讯御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。企业可登录腾讯安全主页申请免费试用(https://s.tencent.com/product/yd/index.html)。

    18.png

    IOCs

    Sality

    f90e3875bb0bb255b1f4aee5e32609be

    f76632ca9119490381be2c80dd705b29

    f4749b0542f22db4a15ea9116e3d4158

     

    Clipboardstealer

    b013271b23de42de21ad813266b5155b

    bce9b8ce30eb68f2661c21d979c16270

    72392e93001dba2c3bc761eac28fd0c5

    72392e93001dba2c3bc761eac28fd0c5

    e0ff8d9617cdbc1284ccb906d93f774e

    508d177fb70362076a564d0e3486de2a

    abbf96e689413786673a6c18d3602edc

    1964b13bbaa11b68b28cd0e81e6c51d2

    5633e7a29466dad62d682c795e839dad

    c7a52a04577263e9f76d48f4ce2aace0

    d8b867e7802cbd34c672217a51aeca46

     

    Domain

    tudorbuildersfl.com

    energy-guru.com

    acostaphoto.com

    ptcgic.com

    cikmayedekparca.com

    brucegarrod.com

    cbbasimevi.com

    brandaoematos.com.br

    caglarteknik.com

    bharatisangli.in

    cacs.org.br

    butacm.go.ro

    boyabateml.k12.tr

    casbygroup.com

    iqhouse.kiev.ua

     

    URL

    http[:]//tudorbuildersfl.com/wp-content/logo.gif

    http[:]//energy-guru.com/blog/styles.gif

    http[:]//acostaphoto.com/wp-content/styles.gif

    http[:]//ptcgic.com/wp-content/logo.gif

    http[:]//cikmayedekparca.com/images/logos.gif

    http[:]//brucegarrod.com/images/logos.gif

    http[:]//cbbasimevi.com/images/logos.gif

    http[:]//brandaoematos.com.br/images/logoi.gif

    http[:]//caglarteknik.com/logos.gif

    http[:]//bharatisangli.in/logoi.gif

    http[:]//cacs.org.br/novosite/logos.gif

    http[:]//butacm.go.ro/logos.gif

    http[:]//boyabateml.k12.tr/images/logos.gif

    http[:]//casbygroup.com/images/logos.gif

    http[:]//iqhouse.kiev.ua/wp-content/themes/iqhouse/img/style.gif

     

    BTC钱包

    13vCFp3Vy7CurndiRNbpLaY6zM9HQqkVdA

    13dcpcWqwUy8SqTmJLrwqFKUwhRCjX2yft

    13wJMZru75JRy8FdGby3LJsELKCsd5MRRf

    3HhDZVzqQMDYAohDKn6mqLCQCkhcfFYFrJ

    3FnZdSVgaGXVGLPQtDXkjuqCEukXvArPyM

    3FbZWGphdHFQkQ68jkksnsrh78T7YaUKqC

    1BZrwyZBHLGvfHpbaXJuRAzGArm8WhJNkH

    1Ln**GVMaE3eQMo15XYog5MLh9e6PsiHJH

    1Az5j3DqBkrF5tEbdkmh4QRKJHi4xf5Ku4

    1NWExenf5bHSLNFk8mUUTSJrCQa7zzwQtJ

    1Lp4pvz22XPzfJp63RnvphGugo7ovJP4Mm

    1Ps6xwyaN1VomuXnWv8zJLHfCvU6nQ53VS

    1D4TwJ5GifCE2egLZuPJ65yN4L41UvZz71

    14qPT6GX9r3XfAKzjLLNbpnUpT98tUwmUm

    1M15x8b92b9kJybBofB3dDFBC9MaBv2V2A

    18i1RNfixmmvFARtDwXwRWmgVguoS2kD1N

    3HnSjByFQVZQt17eZURbLmWjn6PiSxeQ5S

    19dNcWbQWFrdn1Un2YbJspCLz82P8DYWd5

    32eNWBWZrTFBuHQwGShNQvWj6TGM8LqsQ9

    12tUcJYmrqdcgQYQVMb2RXAaJ4MZEVd7Y2

    1qMNdHVvqs8udpBVEMymm3SBTvvqynqD8

    1H**Nrw6H4mpKvLs5MGSd8T1ZxcriBxSzc

    32VKibW5UkTr7fvfQQuPXw32Brnbigp9ng

    13d29ksg6nGdmy2zySn4mWSosRHuYMd9xr

    13kBn9tJ9bzf5E9nzXN73ahbLWvdFZonTh

    3FZjd1oXQ3utyTT8s9y8iJ6CAyxwPaVgWp

    18ihjyRYde3ToUys9rCebRbeTDcpkAehq6

    3QgsfCXS3tzhcvzbMnrcKdo6xFBJoBR3CJ

     

    ETH钱包

    3D15c7341BBD7cCc193769de903ea711a2e4b43e

     

    参考链接:

    https://www.symantec.com/security-center/writeup/2006-011714-3948-99

    本文作者:, 转载请注明来自FreeBuf.COM

    # 腾讯安全 # 腾讯御见威胁情报 # Sality感染型病毒 # 剪切板大盗木马
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    评论 按热度排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    \
    • 0 文章数
    • 0 评论数
    • 0 关注者
    登录 / 注册后在FreeBuf发布内容哦