<<返回上一层

新型信息窃取恶意软件,主攻亚太地区Windows服务器

发布时间:2019-03-11     浏览次数:306

近期,来自Checkpoint的安全研究人员发现了一个新的信息窃取恶意软件,该恶意软件针对Windows服务器,窃取其敏感数据,包括登录凭据、操作系统版本、IP地址、还将受害者的数据上传到FTP服务器。

新型信息窃取恶意软件,主攻亚太地区Windows服务器


这款名为Mimikatz的恶意软件被用在一个大型的恶意软件活动中,该活动主要针对亚太地区(美国、马来西亚)。通过分析该恶意软件还与XMRig挖矿软件,Mirai僵尸网络有关。

攻击流程

攻击者会通过C2服务器(66.117.6.174)下载可执行文件ups.rar,然后判断目标服务器的环境。目前大部分的反病毒软件还无法检测该恶意软件。

新型信息窃取恶意软件,主攻亚太地区Windows服务器


攻击链

仅当受感染的计算机是Windows服务器时,攻击才会继续。

新型信息窃取恶意软件,主攻亚太地区Windows服务器


检查是否为Windows操作系统

之后,恶意软件调用GetVersionExA提取操作系统版本,它返回OSVERSIONINFOEXA结构。检查操作系统后,恶意软件将无法在以下版本上运行:

Windows 10;

Windows 8;

Windows 7;

Windows Vista;

Windows XP专业版;

Windows XP家庭版;

Windows 2000专业版。

新型信息窃取恶意软件,主攻亚太地区Windows服务器


确定Windows操作系统版本

两个GET请求

在找到目标“Windows Server”时,C2服务器会发送两个GET请求,一个是部署批处理文件(My1.bat)并触发无文件攻击,另一个是发送请求与C2服务器同步以获得更新版本。

该批处理文件中包含Mirai僵尸网络的模块,攻击者加强了该模块功能以便进行新的恶意行为。

新型信息窃取恶意软件,主攻亚太地区Windows服务器


与旧Mirai版本的相似性

此新模块运行连接到外部URL的PowerShell命令:

1.创建WMI事件客户对象(WMI Event customer object),运行PowerShell并利用管理员权限(权限提升);

2.尝试下载并执行恶意软件,如Mirai、Dark cloud和XMRig矿工。

下载恶意软件时,它使用cradle obfuscator方法并调用IP:http://173[.]208.139.170/s.txt中的内容。为了避免检测,它调用另一个命令来下载运行各种命令的ps1文件。

它能够提取处理器的详细信息并从外部URL调用Mimikatz转储所有密码。密码被泄露后保存在文件中,然后将文件上传到攻击者管理的FTP服务器。

新型信息窃取恶意软件,主攻亚太地区Windows服务器


连接到攻击者的FTP服务器

根据Checkpoint的分析,FTP服务器目前仍处于打开状态,数据每秒都会不断上传,密码文件会持续上传并储存在服务器中。

应对措施

及时升级操作系统及常用软件补丁,升级杀毒软件的病毒库到最新版本;

不下载未知来源的应用程序,不访问有潜在风险的网站。



客服中心 customer service center

售前在线咨询 (以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管)

售后服务 (或与官方提供的专属QQ一对一直接服务)

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制。

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项