248cc永利集团备用网址-永利集团全部网址

联系大家

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

【病毒预警】利用CVE-2019-2725漏洞和证书混淆传播的挖矿病毒预警

事件描述


近日, 亚信安全截获新型挖矿病毒,该病毒利用了 Oracle WebLogic Server 的反序列化漏洞(CVE-2019-2725) 进行传播,该漏洞曾经用于传播 Sodinokibi 勒索病毒。 除了漏洞利用外,该病毒还使用了新型传播手段, 将恶意代码隐藏在证书里,达到躲避杀毒App检测的目的。 亚信安全将该病毒命名为 Coinminer.Win32.MALXMR.TIAOODCJ。


攻击流程



详细分析


病毒感染系统后,首先利用 CVE-2019-2725 漏洞实行如下命令



上述命令主要是利用 PowerShell 实行一系列恶意行为:


●    从远端 C&C 服务器下载证书文件 cert.cer,并将该文件保存在%APPDATA%目录下(亚信安全将其命名为 Coinminer.Win32.MALXMR.TIAOODCJ.component) ;


●    使用管理 Windows 中的证书组件 CertUtil 来解码文件, 并将解码的文件保存为%APPDATA%\update.ps1(亚信安全将其命名为 Trojan.PS1.MALXMR.MPA) ;


●    使用 PowerShell 实行 update.ps1 文件后,其会通过 CMD 命令删除下载的 cert.cer 文件。


当大家下载该证书时,发现其看起来像一个普通的 PEM 格式证书,如下图所示:



然而大家使用 base64 解码该内容时发现, 该证书并不是常用的 X.509 TLS 文件格式, 而是PowerShell 命令,如下图所示:



证书文件中的 PowerShell 命令会下载另外 PowerShell 脚本, 并在内存中实行,该脚本主要功能也是下载并实行文件,其下载文件列表如下:


文件

详细信息

Sysupdate.exe

Monero 挖矿

Config.json

配置文件

Networkservice.exe

WebLogic 漏洞利用文件

Update.ps1

内存中的 PS 脚本

Sysguard.exe

以服务的方式监控挖矿程序

Clean.bat

删除组件


该病毒将包含已解码证书文件的 update.ps1 文件替换为新的 update.ps1。然后创建一个计划任务,每 30 分钟实行一次新的 update.ps1。


解决方案


●    利用系统防火墙高级设置阻止向 445 端口进行连接(该操作会影响使用 445 端口的服务) ;


●    尽量关闭不必要的文件共享;


●    采用高强度的密码,避免使用弱口令密码,并定期更换密码;


●    打开系统自动更新,并检测更新进行安装。


●    升级 WebLogic Server 版本, 打上 CVE-2019-2725 对应的补丁程序, 参考链接:https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html


亚信安全解决方案


●    亚信安全病毒码版本 15.163.60 , 云病毒码版本 15.163.71, 全球码版本 15.165.00 已经可以检测,请用户及时升级病毒码版本。


●    亚信安全 DS DPI 开启以下规则拦截该漏洞:1009707-Oracle Weblogic Server Remote Code Execution Vulnerability (CVE-2019-2725)


●    亚信安全深度发现设备 TDA 检测规则如下:2903 : HTTP_POSSIBLE_ORACLE_WEBLOGIC_EXPLOIT


IOCs


文件名

SHA-1

亚信安全检测名

sysguard.exe-upx

e4bc026aec8a76b887a8fc48726b9c48540fc2aa76eb8e61893da2ee6df6ab3a

TROJ_GEN.R002C0GDM19

sysupdate.exe

4b9842b6be35665174c78c3e4063c645bd6e10eb333f68e4c7840fe823647bdf

Coinminer.Linux.MALXMR.UWEJI

update.ps1

c30f42e6f638f3e8218caf73c2190d2a521304431994fd6efeef523cfbaa5e81

Trojan.PS1.MALXMR.MPA

cert.cer

3a567b7985b2da76db5e5a1d5554f7c13f375d88a27d6e6d108ad79e797adc9a

Coinminer.Win32.MALXMR.TIAOODCJ.component


248cc永利集团备用网址|永利集团全部网址

XML 地图 | Sitemap 地图