計算機挖礦病毒是怎么樣通過PowerShell腳本作為載體進行傳播的呢
前言
近日,金山毒霸安全實驗室攔截到一個通過PowerShell腳本作為載體進行傳播的挖礦病毒,其通過下拉多個腳本完成一次攻擊行為,使用“永恒之藍”漏洞、WMIExec滲透工具進行自動化傳播,同時所有載荷均寫入WMI進行無文件駐留。
該樣本目前仍在活躍中,同時存在其他變種,詳細分析見正文。
正文母體腳本
如下為捕獲到的樣本,也是一個唯一落地的BAT腳本,功能上算一個較為常見的PowerShell聯網下拉執行腳本。通過判斷WMI的命名空間下是否存在名為的,如果不存在則聯網下拉腳本。
提供病毒下載的服務器
其中,
info.vbs攜帶挖礦程序的vbs腳本,自身會寫入WMI
info3.ps1攜帶x86平臺挖礦、攻擊腳本
info6.ps1攜帶x64平臺挖礦、攻擊腳本
攻擊演示圖
info6.ps1主腳本
混淆嚴重
info6.ps1是一個混淆程度較高的powershell腳本,整體代碼只有兩行,但足有3.9M大小,真是”短小精悍”。
通過對該腳本進行2次去混淆并進行整理,最終得到一個較為清晰的內容,下文是其執行過程及其相關模塊的分析。
執行過程
1.初始化數據
通過對$fa進行分拆得到各個變量的數據,實際均經過base64編碼。
這些數據會存儲在中,而的管理類是WMI,實際最終存儲在WMI中,也即無文件
在取值的時候,則可以通過如下方式取出
2.判斷x64
大多數機器是x64的,但也有部分x86用戶,需要做兼容,實際功能代碼與info6.ps1一樣。
3.解代碼
由于fun中有WMIExec和MS17010的攻擊包,還有一些是輔助功能函數,所以這里先引入,至于里面具體是什么請向下看。
4.釋放運行時dll
這些dll是挖礦程序需要用到的,所以這里早點釋放出來吧
5.刪除其他WMI
6.寫自己的WMI
其中FilterName與ConsumerName分別為,,間隔5600s執行一次”本腳本”功能,通過powershell傳入base64編碼后的腳本內容。
7.善后、開工!
由于母體bat腳本是由ms17010shellcode寫入temp路徑下的,原始名稱為y1.bat,并且通過寫計劃任務的形式啟動,所以這里需要刪掉這個計劃任務以及清理掉這個bat腳本。之后看看哪些powershell進程訪問了80端口,由于樣本攜帶的挖礦程序均訪問80端口,所以也以此判斷是否啟動了自己的挖礦程序,如果沒訪問那么就需要執行一次,當然為了保證工作環境的干凈,需要干掉疑似挖礦的其他powershell進程,通過判斷典型挖礦程序的的3333,5555端口訪問。
8.攻擊、傳播!
為了保證挖礦效率,需要抓一些”礦工”,由于不會給工資,所以沒人愿意白干。這里需要請WMIExec和MS17010兩位大哥出面協調。
通過枚舉網段IP,進行攻擊,由于給WMIExec命令行參數傳錯,導致這個攻擊徹底廢了,那只好MS17010出馬了,通過調用C#實現的接口,以及函數進行攻擊。
模塊分析
繼上文說到本樣本使用了WMIExec和MS17010攻擊包,那么這些東西是什么,又是怎么引入的?這也是本節要說明的。
WMIExec
代碼來自Invoke-TheHash項目,一個基于.NetTCPClient,通過把NTLMhash傳遞給NTLMv2身份驗證協議來進行身份驗證的工具,執行時不需要本地管理員權限,傳送門
樣本作者封裝了一個test-ip函數,其參數2,4是通過mimikatz抓取的本地用戶hash,參數1,3分別是目標ip和回連web服務器。WMIExec執行的功能是通過寫一個VBSDownload,下拉執行一個VBS腳本,同時下拉執行info6.ps1(32位為info3.ps1)。
MS17010
雖然這個漏洞目前看來有點”過氣”,但畢竟也是RCE啊!
作者分別引入了掃描和exp模塊,掃描模塊,通過的方式引入源代碼,這樣會在powershell運行過程中調起C#編譯器動態編譯,抓取到的命令行如下
exp模塊,已封裝很完整,暫未找到開源代碼。
shellcode,執行如下命令
攻擊時截圖如下,
執行方式
樣本作者在PowerShell中攜帶的挖礦程序,會通過反射加載的方式進行啟動,具體可以用如下代碼模擬啟動
(門羅畢)挖礦程序執行后,界面如下
info.vbs腳本
上文說了info6.ps1和其相關的輔助模塊,同時提到一次WMIExec攻擊成功之后,會下拉一個info.vbs腳本,但是由于傳入參數問題,這個是不會被下拉的,這里簡單分析下。vbs腳本依然存在混淆,通過提取、整理,如下,先將編碼后的另一個挖礦程序寫入到WMI中保存起來,使用的時候通過調用WriteBinary函數導出
之后取出來,釋放執行,開始挖礦
完成寫一個WMI事件過濾器,間隔2h啟動一次,功能當然是取挖礦程序,釋放執行,這里不再贅述。
檢測&清除
通過代碼分析,本樣本實際傳播途徑主要為ms17010,所以提醒各位還是要及時安裝補丁。
檢測&清除PowerShell腳本代碼如下,請嘗試以管理員權限運行(請謹慎使用下列代碼,在自身不確定的情況下也可安裝金山毒霸進行檢測)
3.金山毒霸可進行查殺防御
總結
通過對本樣本的分析,可以知道樣本自身使用了很多開源代碼,實際由病毒作者編寫的代碼量很小,極大降低了制作難度,這也是現有非PE攻擊的一個普遍特性。
目前來看,非PE攻擊已經有白熱化趨勢,隨著js、vbs腳本逐漸被殺軟“圍堵”,以PowerShell為載體的新一輪攻擊已經開始,由于PowerShell的特殊性,現有依靠“白名單策略”構建的防護體系存在“坍塌”的風險,針對PowerShell的防御,將成為一個新的安全研究方向。
截止完稿,樣本已經挖了13個門羅幣了,市值6000多元。
PS:歡迎大家關注、轉發、點贊、轉發、收藏等方式交流。
getshell,webshell,靜態shell。這些都是什么意思,有什么區別
webshell就是一種以web形式來操作的后門。
getshell的意思是可以通過某種漏洞達到留下后門的操作。
至于什么靜態shell沒聽過。
蘋果ios系統被爆有漏洞,你怎么看待這一問題
文|明美無限
在不知不覺當中,我們就已經走到了2019年九月份的月底,隨之而來的是一年一度的國慶長假,不知今天在看明美無限這篇文章的果粉們對自己的假期安排是否依然繼續呢?
相信大家伴隨著明美無限的堅持分享內容走到了如今,對于蘋果、iOS、iPhone最新發生的那些事應該來說了然于胸了。
那么,今天明美無限就繼續給廣大的果粉們帶來精彩的果粉關注的內容。
越獄,這個詞對于現在的iPhone用戶來說已經非常陌生了,因為最近幾年的iOS的安全性越來越高,越獄越來越困難。即使出現漏洞,也很快就會被蘋果修復。
但今天,iOS越獄的沉寂一下子就被打破。
近日,蘋果被曝出其系統存在一個十年一遇的漏洞,可以使從iPhone4S到iPhone8、iPhoneX的所有蘋果手機被永久“越獄”。由于該漏洞存在于硬件之上,無法通過軟件升級修復,因此被稱為“史詩級漏洞”。發現者將這個漏洞命名為“Checkm8”,意為國際象棋術語中的“將死”。
目前,iPhoneXS和iPhone11的A12、A13芯片已確認修復了這個漏洞,但鑒于之前的幾代iPhone銷量巨大,其影響范圍恐涉及數億個iOS設備。
上述報道稱,“checkm8”剛剛發現,現在還沒有實際上利用它的越獄行為出現,這意味著,黑客不能簡單地下載工具、破解設備、下載應用,然后開始對iOS系統進行修改。
至關重要的是,該漏洞目前還只能通過USB觸發。這意味著,每次都必須通過計算機才能啟用它,這對實際操作越獄造成了限制。就是說,假設開發人員能夠將checkm8用作iOS的起點,那么可能性幾乎是無限的:由于蘋果軟件更新,永久越獄的設備將不會還原或撤銷的簽名,可降級的iOS設備,這些設備可以輕松地回到該軟件的先前版本等。
在2018年夏季發布的iOS12Beta中,蘋果修補了iBootUSB代碼中的一個嚴重漏洞。此漏洞只能通過USB觸發,并且需要物理訪問。它不能被遠程利用。盡管蘋果已經給出了補丁,但是黑客們分析發現,此漏洞還是可以加以利用。黑客已經在GitHub上發布了這個最新漏洞和相關工具,并警告利用這個漏洞的時候可能導致設備變磚。
新漏洞并不是越獄領域最近的最新進展。今年夏天,蘋果意外地修補了iOS中的一個漏洞,這是多年來首次為越獄打開現代設備大門。盡管漏洞很快被修補,但它引發了越獄iPhone的熱潮。
現在說checkm8是否會為破解iphone帶來一個新的黃金時代還為時過早,不過reddit上越獄版塊的許多成員都非常樂觀。一名用戶宣稱,由于該漏洞的范圍之大,這是“有史以來越獄圈發生的最大事件”。無論如何,考慮到這種攻擊的性質以及它對設備的影響程度,未來都需要對其進行監控。
對于不法份子來說,其可以利用這一漏洞繞過蘋果的iCloud賬戶鎖,使得被盜或丟失的iOS設備的賬戶鎖定失效,或者安裝帶病毒的iOS版本來竊取用戶信息。
盡管最終越獄的到來還要等上一段時間,但是毫無疑問,這是iOS設備歷史上影響程度最大的漏洞,正如開發者所說,這是“史詩級越獄”。
隨著最近幾年iOS的安全性不斷的提高,越獄變得越來越困難,對于現在許多普通iPhone用戶來說,“越獄”這個詞似乎已經非常陌生了,即使出現系統漏洞,蘋果也會盡快的修復。但是此次所說的“史詩級越獄”漏洞風險是無法通過軟件更新來進行修復的,可以說是“永久性的越獄”。
值得注意的是,蘋果已經擴展了其漏洞賞金計劃,并將于明年開始為開發人員提供越獄前的設備。這將為該計劃中的人員提供一個前所未有的,受到蘋果支持的iOS安全研究平臺,該平臺具有SSH,rootshell和高級調試功能。
遺憾的是,截至目前為止,蘋果方面并未對該消息做出任何回應。該漏洞的危害性到底有多廣,后續蘋果方面會推出哪些應對措施,目前都還不得而知。所以還是提醒廣大用戶,無論你是新用戶還是老用戶,最好還是當心一點。
最后,明美無限還想說的就是:蘋果公司新iPhone還在手機市場上與其他安卓手機廠商廝殺到底,但是對于眾多的果粉用戶來說,iOS就是蘋果iPhone手機的核心靈魂,我們果粉們希望自己使用的手機系統都能是安全的、堅不可摧的。
對此,如果你們對于蘋果公司的iOS被曝出來最新的漏洞還有什么想要說的,歡迎在評論區留言給明美無限參與一起討論吧!
ssh作用
SSH為SecureShell的縮寫,由IETF的網絡小組(NetworkWorkingGroup)所制定;SSH為建立在應用層基礎上的安全協議。SSH是目前較可靠,專為遠程登錄會話和其他網絡服務提供安全性的協議。利用SSH協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序,后來又迅速擴展到其他操作平臺。SSH在正確使用時可彌補網絡中的漏洞。
getshell是什么
getshell是珠寶品牌品牌,創立于2017年,getshell品牌是深圳愛瑞美珠寶科技有限公司旗下一個珠寶品牌。getshell品牌起源于法國,總部位于深圳,getshell珠寶品牌主營時尚鉆石,紅藍寶石,K金,黃金等,旗下有鉆石鑲嵌、時尚K金、硬金系列、輕奢彩寶等產品。
