山石网科情报中心近期获取了一批挖矿恶意样本。其在受害主机上执行后除了挖矿还会进行漏洞利用、清除其他挖矿进程等活动。分析对比发现这些样本疑似Watchdog挖矿活动脚本。Watchdog攻击团伙最早于2019年被披露,目前仍在活跃中。其常用攻击方式是利用redis漏洞入侵受害主机,随后进行挖矿、漏洞利用等恶意活动。
样本为一个PowerShell脚本。其中定义了多个恶意程序与脚本的下载url和备用下载url。脚本执行后将依次检查这些文件是否存在,不存在则下载这些文件,若下载失败则使用备用url再次下载。
该脚本使用SchTasks.exe创建定时任务定期执行自身。
之后脚本将依次在后台执行下载的恶意可执行程序或脚本。
分析这些程序或脚本发现:
1、“redis-bin.exe”为挖矿程序。由于C2下载url失效,目前未获取该样本。由开源情报分析该程序应为xmrig门罗币挖矿程序。
2、“VGAuthServices.exe”为漏洞扫描利用程序。由go语言编写,使用upx加密。执行后将在受害主机中扫描利用如CVE-2015-1427、CVE-2014-3120等漏洞。以下为部分利用漏洞:
3、“rsyncd.ps1”即为该脚本自身。
4、“rsysdlog.exe”同样由go语言编写,使用upx加密。其主要功能为扫描进程,并使用SchTasks计划任务保证挖矿程序持续运行。
5、“clean.bat”批处理脚本会扫描并清除其他挖矿进程。以下为部分清除进程。
此外还会将受害主机主机名、ip发送至C2服务器。
6、“clean.exe” 由rust语言编写,使用upx加密。执行后将“bak$”用户添加到管理员用户组。脚本下该程序后并未直接执行它。
山石情报中心已收录相关样本,用户可以在山石网科威胁情报中心云瞻中查看相关IOC信息:
用户可以通过使用山石网科的防火墙和NIPS产品,利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含最新安全特征信息。山石网科的防火墙不仅提供了先进的网络安全防护功能,还集成了态势感知云景的智能能力,可以高效地监测和拦截与APT组织相关的威胁情报(IOC)和恶意行为。此外,它还能够快速响应和拦截与当前安全趋势、安全事件和相关样本有关的威胁。
b0c08627430b7762e305880ca2714728
da4a0db31fc346355edef28f8ad23ad8
02c6ab99ec79112bcf04f71454224563
2ec4ae1aaabc5ba4b804706b72f8ce9b
fadd08a8e50e14078387806d70cba3a0
6b1b5830e221865c1b80f08f6bae9a01
45.155.250.64
www.cn2an.top
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
山石云瞻威胁情报中心:
.cn/
山石云影沙箱:
.cn/