黑客业务

       

盗版Ghost系统传播pipoc锁定主页木马 受害电脑数万台

监测发现匿影挖掘木马近期升级，木马团伙更新多个域名，简化攻击流程，启用最新挖掘账户挖掘PASC硬币。匿影挖掘木马通过多个功能网盘和图床隐藏自己，使用NSA武器库的多个攻击工具（如，永恒之蓝）在局域网内自动横向流传。            

   一、概述    

   

   最近，数字加密硬币市场有所回升，其中比特币飙升20%，最高到达5283美元。    

   

   
   

   

       

   

       

   

   货币圈的升级就像一剂强心针，让挖掘木马疯狂：许多已经变得沉默的古代挖掘木马再次活跃起来。NSISMiner挖掘木马，最近大幅反弹。本周，腾讯平安御见威胁情报中心还讲述了挖掘团伙控制的故事3700台SQL服务器挖门罗币。    

   

       

   

   最新监测有新发现：”匿影”挖掘木马也在不久的将来升级。木马团伙更新了多个域名，简化了攻击过程，并启用了最新的挖掘账户PASC硬币。匿影挖掘木马通过多个功能网盘和图床隐藏自己，使用NSA多个攻击工具(如永恒之蓝)在局域网内自动横向流传。    

   

       

   

   ”匿影”挖矿木马PASC币（pascal coin），与其他数字加密硬币不同的是，其他货币会把硬币存放在钱包上，PASC引入账入账户的观点称为PASA，账户是通过挖掘发生的，每个区块都会发生5一个账户，硬币存储在第一个账户上，账户序号来自0最先的，PASC币总计刊行21144600枚。当前PASC价钱只有0.3与最高价相比，美元5.63美元已经下跌95%，如果货币圈没有再次升温，可能已经化身为零币。    

       
   

   二、详细分析    

   

       

   

   匿影在永恒之蓝的帮助下流传，黑客在黑客的帮助下流传NSA目的机械攻击武器库。    

       
   

   
   

   

       

   

   攻陷目的后面payload x86.dll/x64.dll中下载222.txt    

       
   

   
   

   

       

   

   222.txt是一段powershell命令行被加密的代码    

       
   

   
   

   

       

   

   代码功能是设置windows定时器，每隔60分钟下载VIP.txt    

       
   

   
   

   

       

       
   

   
   

   

       

   

   VIP.txt同样是powershell作用是行使代码Invoke-ReflectivePEInjection.txt把2.dll.txt加载起来，ReflectivePEInjection行使反射机制实现加载url上的PE文件    

       
   

   
   

   

       

   

   2.dll.txt内置x86及x64矿机、入口处检测本机安装的杀软过程，如有杀软过程，将矿机名称伪装成杀软过程    

       
   

   
   

   

   释放矿机到达C:\Users\Public\xx.exe    

   

   矿池：pasc-us-east1.nanopool.org:15556    

   

   账号：823218.0.cs    

   

       

   

   然后实验接收网盘地址：hxxps://anonfiles.com/efmbU4a4n2/yhzx_jpg，如果失败，您将访问另一个网盘地址：hxxps://www.upload.ee/files/9808352/yhzx.jpg.html。以上两种方式下载的文件下载到：C:\Users\Public\abc.exe后执行。    

       
   

   
   

   

       

   

   abc.exe是WINRAR自解压包含一套完整的方程式攻击工具(行使MS17-010缺陷横向扩散，wingogon.exe，wingogon.exe释放是作用MS_17_010_Scan.exe进而对内网445端口举行破绽攻击。若是攻击乐成，则执行payload: x86.dll/x64.dll。    

   

   三、关联分析    

   

   从木马的采矿记录来看，该账户在4.11启用，只挖了一天26个PASC币，（约8美元，看起来好少，病毒团伙可能希望货币圈再涨几天)。    

       
   

   
   

   

       

   

   加上之前匿影挖匿影挖掘473个PASC币，该团伙累计挖矿已挣到近500个PSAC币（约150美元）。    

   

       

       
   

   
   

   

       

   

   木马使用的域名也是新启用的域名，从腾讯安图的趋势评估来看，4.10第一个接触量突然增加，说明很多用户还没有安装永恒蓝缺陷补丁，导致黑客入侵。    

WinRAR（CVE-2018-20250）再升级 减少对重启系统的依赖

       
   

   4.安全建议    

   

   1、安装永恒蓝缺陷补丁，请手动下载以下页面：    

   

   https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx    

   

   其中WinXP，Windows Server 2003请联系用户：    

   

   https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598    

   

   2、关闭不必要的端口，如：445、135，139等，对3389，5900等待端口可以设置白名单，只允许白名单IP毗邻上岸。    

   

   3、没有互联网需求的服务器/工作站内部接收设置响应控制，防止可连接外网服务器作为跳板进一步攻击其他服务器。    

   

   4、定期非内陆备份重要文件和数据(数据库等数据)。    

   

   5、在终端/服务器部署专业的安全防护软件，Web服务器可以考虑部署在腾讯云等具有专业安全防护能力的云服务中。    

       
   

   
   

   

       

   

   对于已被招用的用户，除了使用杀毒软件清算匿影”除病毒外，还可根据以下提醒手动删除：    

   

       

   

   删除目录及相关文件    

   

   C:\Users\Public\ZhuDongFangYu.exe    

   

   C:\Users\Public\QQPCRTP.exe    

   

   C:\Users\Public\kxescore.exe    

   

   C:\Users\Public\igfxTry.exe    

   

   C:\Users\Public\flrefox.exe    

   

   C:\Users\Public\chromme.exe    

   

   C:\Users\Public\abc.exe    

   

       

   

   删除window计划任务    

   

   DnsCore    

   

   IOCS    

   

   挖矿账号    

   

   823218.0.cs    

   

       

   

   Domain    

   

   urlxxx.at.ua    

   

       

   

   URL    

   

   hxxps://urlxxx.at.ua/222.txt    

   

   hxxps://urlxxx.at.ua/vip.txt    

   

   hxxps://urlxxx.at.ua/2.dll.txt    

   

   hxxps://www.upload.ee/files/9808352/yhzx.jpg.html    

   

   hxxps://anonfiles.com/efmbU4a4n2/yhzx_jpg    

   

       

   

   MD5    

   

   4dacc2d1e2d7207c9a706efb5366200c    

   

   8c34223ba0388a2cd113b8785d8f1c77    

   

   77fb6426de9fee0c2944ebcfb8d98347    

   

   47e5a980ebbae3f72ccc96f74e0b5415    

   

   c8a565625a1529d5988ffbb3489fa053    

   

   7d88b3b2dc76e27abf8034f31e9cc614    

   

   b8e72b4a1c95455bd86ee7cef71b9ff4    

   

       

刺客信条压缩包文件要小心！腾讯电脑管家提醒或为蠕虫病毒