NSA泄露工具被用来传播加密货币挖矿机

普通网络犯罪和针对性攻击的区别在于:普通网络犯罪会将即时的经济目标作为主要动机,而针对性攻击可能还会有其他的目标,比如窃取知识产权。此外,攻击者的思维模式也是不同的。正常的网络犯罪分子需要考虑如何入侵更多的个人设备,而针对性攻击需要计划如何入侵和获取企业网络的访问权限,并尽可能地隐蔽。

除此之外,针对性攻击活动常常包括扩展性的计划以及高度专业化的创建和使用。另一方面,正常的攻击者可能没有能力或资源来规划复杂的攻击活动,他们使用的工具更加通用,而且一般地下市场都有。

近期,研究人员发现了一起融合了针对性攻击工具和常规网络犯罪的大规模攻击活动:攻击者使用了之前在针对性攻击中使用的复杂攻击来传播加密货币挖矿机和勒索软件这样的典型恶意软件。在该案例中,攻击者使用了Shadow Brokers(影子经纪人)从Equation组织处窃取的工具包来入侵大量运行过时Microsoft Windows OS的机器。使用高级工具来传播不同类型的恶意软件是最近恶意软件发展的一个趋势。BlackSquid就使用了大量知名的漏洞利用和漏洞来释放加密货币挖矿机。

该攻击活动是网络犯罪分子为了传播加密货币挖矿机机来进行盈利的。攻击者活动的特征包括只针对企业,研究人员没有发现任何个人用户被攻击的情况。其次,所有被攻击的机器都运行着过时的Windows操作系统,因为这些操作系统仍然受到没有打补丁的安全漏洞的威胁。除此之外,该攻击活动还使用Equation组织的工具来传播加密货币挖矿机。

感染和传播

研究人员检测到的二进制文件看似是Vools的一个变种,这是一个基于EternalBlue后门的木马,用来传播加密货币挖矿机和其他恶意软件。研究人员在受感染的系统中还发现一些工具,主要有密码窃取工具Mimikatz和Equation组织的工具。被入侵的系统中使用的final payload是一个加密货币挖矿机。

研究人员目前还发现确定感染源,但研究人员发现了一个安装器样本来发送HTTP请求到以下服务器:

log.boreye[.]com/ipc.html?mac={MAC address}&ip={IP address}&host={host}&tick=6min&c=error_33

但是目前以及无法从该URL处提取到任何挖矿机。而且目前该站点已经无法访问了,也可能被攻击者转移到了其他位置。

研究人员在所有被感染的机器的主Windows文件夹中都发现了一个文件:

C:\Windows\NetworkDistribution\Diagnostics.txt

该.TXT扩展的文件不仅仅是用来绕过检测。该文件事实上是一个含有许多文件的zip文件。另一方面,释放在目标机器上的DLL文件与泄露的GitHub库中的文件夹的内容是一致的。

图1. Zip文件中解压的文件

所有的文件都可以在互联网上找到。虽然他们利用的漏洞已经修复了,但是仍然有一些系统没有应用这些安全更新。

加密货币挖矿机

从2019年3月七,研究人员根据该攻击活动中使用的哈希值共发现了超过80个不同的文件。所有这些文件都是开源XMRig挖矿机的变种,已经被无数网络犯罪分子所使用。

样本的配置显示有很多的加密货币挖矿服务器,比如:

· coco[.]miniast[.]com:443

· iron[.]tenchier[.]com:443

· cake[.]pilutce[.]com:443

· pool[.]boreye[.]com:53

还有一个没有出现在样本中的log.miniast[.]com。

前3个域名的注册日期为2019年3月17日,这也是攻击活动开始的日期。这些域名都是匿名注册的,而稍早点的域名boreye[.]com的注册日期为2018年10月17日。连接到邮箱服务器是需要用户凭证的,但是提取新的哈希值只需要密码就够了。

图2是攻击者使用的挖矿机二进制文件的配置数据。

注:密码被移除了

图2. 加密货币挖矿机二进制文件使用的配置文件

如图2所示,使用的用户名都很类似。而且都使用相同的密码,这也表明是同一攻击者在处理这些样本。挖矿机也使用名dllhostex.exe。根据挖矿机变种的版本,二进制文件位于受感染Windows机器的system32或SysWOW64文件夹。

攻击目标

该攻击活动看似是广泛传播的,但是攻击的目标位于世界各地。中国和印度是被攻击数量最多的国家。这表明攻击者并没有选择特定的受害者。

图3. 受害者国家分布图

该攻击活动的攻击目标行业涉及教育、通信、媒体、银行、生产和技术等。攻击者并没有针对特定行业,而是选择攻击没有打补丁的软件。大约有83%受感染的主机运行Windows Server 2003 SP2,其次是Windows 7 Ultimate Professional SP1和Windows XP Professional版本。

结论

总的来看,在攻击活动中使用泄露的复杂攻击是一种非常简单易行的方法。攻击活动使用的工具、挖矿机等都在地下市场可以买到。攻击的目标主要是没有及时打补丁的系统。因此,研究人员建议不管是个人用户还是企业用户,都要尽快更新到最新系统,并及时对系统打补丁。