近日,卡巴斯基实验室通过监测,发现一个全新的物联网木马正在通过Windows设备传播。最早卡巴斯基实验室的安全研究人员观察到这个推送Mirai下载器的扩展器变体是在2017年1月,但其实这个Windows木马以前就有了,只不过通过Windows进行传播的途径也非常有限。不过,如果Mirai木马强制性的远程实施Telnet命令连接,就会从Windows主机传播到Linux主机,尽管这个传播方法目前还没有经过证实,但有一点可以确认就是通过Windows平台,可以对以前不可传播的僵尸攻击资源进行快平台传播。特别是对于Windows上运行的易受攻击的SQL服务器来说,因为它们既连接互联网,又可以访问连接基于IP的摄像机,DVR,媒体软件和其他内部设备的专用网络。
所以卡巴斯基实验室的安全研究人员正是通过SQL服务器观察到一个以前就非常活跃的Mirai木马家族,现在正通过非常有限的传播途径来将木马嵌入到Linux系统。这个Mirai木马家族使用了多个Web资源和服务器,分阶段传播自己的木马代码并添加新的Mirai木马。不过这些服务器准确记录了Mirai木马的具体传播时间表。
无论如何,Mirai木马在Linux平台和Windows平台之间进行交叉传播的出现,让安全研究人员已经高度紧张起来了。就像Zeus银行木马的源代码被公开之后,很快各种系统都被其各种变异体所攻击,而Mirai源代码在去年10月份被公开之后,其各种变异版本也会像Zeus银行木马那样在未来几年给互联网基础设施带来沉重的灾难,而在Linux平台和Windows平台之间的交叉传播则仅仅是个开始。
不过,值得注意的是,2016年Mirai的肆虐却有着其是独一无二的理由,归纳起来,有两个原因:
1.大规模物联网设备(主要是DVR,闭路电视摄像机和家庭路由器)的广泛使用, 2. 史上最大流量的DDOS攻击出现。
新出现的Windows Spreader 代码的威力有多大?
Windows Spreader ——这个Windows 木马代码比Mirai代码库更丰富,更强大,具有大量的扩展技术,包括通过telnet,SSH,WMI,SQL注入和IPC的暴力入侵。被这个木马代码利用的设备包括:
1.基于IP的摄像机 2.DVR 3.各种媒体设备 4.各种类似于Raspberry and Banana Pi的平台
通过分析,Windows Spreader 代码显然是一个经过精心设计的木马,它包含有多个欺骗性的字符串,而且这个代码已经在Windows中文系统上进行了编译,这些木马的主机服务器在台湾被发现,滥用来自中国公司的被盗代码签名证书以及相关其他功能。
通过增加汉语的代码,可以访问被盗的代码签名证书,能够从多个攻击项目中分离出win32攻击代码,对全世界的MSSQL服务器造成威胁,并且能够将代码移植到一个有效的跨平台攻击中,比如Linux平台。
下面是对其中一个代码签名证书的IP地理位置(fb7b79e9337565965303c159f399f41b)的分析,它经常被易受攻击的MSSQL和MySQL服务器下载。MSSQL和MySQL服务器是由两个网站主机之一提供,两个主机都位于台湾:
http://down.mykings[.]pw:8888/ups.rar http://up.mykings[.]pw:8888/ups.rar
下载时,将其复制到具有多个文件名之一的磁盘执行:
cab.exe, ms.exe, cftmon.exe
显然,对技术解决方案投入大量投资的新兴市场受到这一因素的影响最大。
新的Mirai木马的组成
新的Mirai木马代码和各种攻击组件已经从其他攻击事件和以前的木马来源中获得。在运行时,代码的传播会经过一系列阶段,从扫描和攻击在线资源到下载附加配置文件,获取进一步的指令,以及下载和运行额外的可执行代码。同样,大多数所有这些组件,技术和功能都是几年前所用过的。
Windows Spreader的感染过程,即c:\ windows \ system \ msinfo.exe(5707f1e71da33a1ab9fe2796dbe3fc74)将DNS设置更改为114.114.114.114,8.8.8.8。
下载并执行
from hxxp://up.mykings [。] pw:8888 / update.txt(02b0021e6cd5f82b8340ad37edc742a0) hxxp://up.mykings [。] pw:8888 / ver.txt(bf3b211fa17a0eb4ca5dcdee4e0d1256)
木马下载
hxxp://img1.timeface [。] cn / times / b27590a4b89d31dc0210c3158b82c175.jpg(b27590a4b89d31dc0210c3158b82c175)到c:\ windows \ system \ msinfo.exe(5707f1e71da33a1ab9fe2796dbe3fc74)
使用命令行参数“-create”“-run”
下载并执行hxxp://down.mykings [。] pw:8888 / my1.html(64f0f4b45626e855b92a4764de62411b)
此文件是一个命令shell脚本,它注册各种文件,包括数据库连接库,并清除系统上不需要的自身跟踪。
http://up.mykings [。] pw:8888 / ups.rar(10164584800228de0003a37be3a61c4d)
它将自身复制到任务目录,并将其自身安装为预定执行。
c:\ windows \ system \ my1.bat c:\ windows \ tasks \ my1.job c:\ windows \ system \ upslist.txt c:\ windows \ system32 \ cmd.exe / c sc start xWinWpdSrv&ping 127.0.0.1 -n 6 && del c:\ windows \ system \ msinfo.exe >> NUL c:\ program files \ kugou2010 \ ms.exe(10164584800228de0003a37be3a61c4d)
键盘记录木马分析
接下来对木马的流量进行嗅探,研究人员发现木马会将用户的所有浏览信息——包括用户的键盘记录信息,浏览的图像,浏览器中存储的密码。下面嗅探到的一位用户在2016年10月30号浏览图像的信息,并嵌入木马代码ad0496f544762a95af11f9314e434e94。
解决办法呢????
2017-03-01 下午4:17