g u t x .com.tr İpek yolu - Çin'i anlamaya götürürüm

Madencilik Truva Atı "DTLMiner" zehirlendikten sonra ekran kartının yanması kokuyor

Son zamanlarda, Rising güvenlik uzmanları, madencilik Truva atı virüsü "DTLMiner" in en son varyantının izlenmesinde başı çekti. Virüsün yeni sürümü, IP ve alan adının yerini aldı ve bir madencilik modülü ekledi. Madencilik modülünün yeni sürümü, grafik kartı sürücüsünü indirecek ve madencilik için grafik kartını kullanacak. Madencilik hızını büyük ölçüde artırırken, sistem donacak ve grafik kartı ısınacaktır. Şu anda, Rising Cloud Security System, binlerce kullanıcıya madencilik virüsünün bulaştığını gösteriyor.

MD5 işlevi indirildikten sonra dosya adı

% appdata% \ Microsoft \ cred.ps1 E05827E44D487D1782A32386123193EF Powershell saldırı modülü% temp% \ mn.exe 66EA09330BEE7239FCB11A911F8E8EA3

Madencilik modülü% temp% \ 4-8 karakter rastgele ad CDF6384E4CD8C20E7B22C2E8E221F8C8 Python tarafından yazılmış saldırı modülü

% temp% \ ddd.exe 8A2042827A7FCD901510E9A21C9565A8 yeni madencilik modülü

Tablo: Virüs tarafından indirilen modüller

Madencilik Truva Atı virüsü "DTLMiner" ın yeni sürümü, yalnızca zehirlenen makinenin aşırı CPU doluluğuna ve makinenin donmasına neden olmayacak, aynı zamanda grafik kartının yüksek doluluk oranına, sıcak grafiklere vb. Neden olacak ve bu da kullanıcıların normal çalışmasını ciddi şekilde etkileyecektir. Şu anda, Rising ESM, virüsün en son sürümünü başarıyla kontrol etti ve öldürdü.

Şekil: Yükselen ESM Killing'in Ekran Görüntüsü

"DTLMiner" madencilik Truva Atı'nın karanlık tarihi:

Aralık 2018'de, suçlular tarafından kısa bir süre içinde on binlerce bilgisayara bulaşan madencilik Truva Atı virüsü "DTLMiner" ı yaymak için "Drive Life" yükseltme modülü kullanıldı.

Şubat ve Mart 2019'da ayrı ayrı güncellendi, dijital imza ve zayıf parola saldırıları ekleyerek saldırı yüzeyini daha da artırırken, tespit ve öldürme işlemlerinden kaçınıyorlar.

Bu sefer Rising'in yakaladığı "DTLMiner" beşinci değişkendir.

Yükselen güvenlik uzmanları, bu Truva atı virüsünün kurumsal ağ güvenliğine getirdiği potansiyel tehditlerle ilgili olarak şunları önermektedir:

1. Virüslerin güvenlik açığı yoluyla implante edilmesini önlemek için Eternal Blue güvenlik açığı yamasını yükleyin;

2. Sistem ve veri tabanında zayıf parolalı hesap parolaları kullanmayın;

3. Birden fazla makine için aynı şifreyi kullanmayın, virüs makinenin şifresini alır ve LAN'daki diğer makinelere saldırır;

4. Virüsten koruma yazılımını yükleyin ve korumayı açık tutun.

teknik Analiz

Madencilik Truva Atı virüsü "DTLMiner" ın yeni sürümü, güvenlik açıkları ve zayıf parola saldırıları yoluyla implante edilerek, önyüklemeden sonra otomatik olarak başlamak için bir kısayol oluşturur.

Şekil: Virüs tarafından oluşturulan kısayol

Kısayol çalıştıktan sonra, flashplayer.tmp dosyasını çalıştırın. Bu dosya, indirilecek PowerShell betiğini çağırmak için JS kullanan bir betiktir.

Resim: flashplayer.tmp içeriği

İndirilen dosya, saldırı modülünü ve madencilik modülünü indirecek olan indirme modülüdür. İndirme modülü, birden fazla gizleme düzeyi kullanır.

Şekil: Çok katmanlı gizlenmiş indirme modülü

Son olarak indirme betiğinin şifresi çözülür.Betik çalıştırıldıktan sonra ilk olarak yerel ağ kartının mac adresi alınır ve yerel makineye yüklenen anti-virüs yazılımının bilgileri alınır.

Şekil: Yerel ağ kartı ve yazılım önleme bilgilerini alın

Bir süre rastgele bir gecikmeden sonra.

Şekil: Belirli bir süre için gecikme

Yapılandırma dosyasının var olup olmadığını belirleyin ve yoksa ilgili örneği indirin.

Şekil: İlgili örneği yapılandırma dosyasına göre indirin

1) Yapılandırma dosyası k1.log yoksa, devam etmek için zamanlanmış bir görev oluşturun.

Farklı kullanıcı haklarına göre, oluşturulan zamanlanmış görevler farklıdır. Mevcut kullanıcı yönetici haklarına sahipse, şu adresi ziyaret edin: + geçerli tarih, mevcut kullanıcı yönetici hakları değilse, şu adresi ziyaret edin: http: //v.y6h.net/g?l + geçerli tarih.

Şekil: Güncelleme komut dosyasını indirin

Zamanlanmış görevin işlevi, bu web sitesini ziyaret etmek ve elde edilen içeriği yürütmek için PowerShell'i kullanmaktır. Şu anda, bu URL erişilemez durumda ve bir saldırgan onu istediği zaman açıp herhangi bir komut dosyasını yayınlayabilir.

2) kkkk2.log yapılandırma dosyası yoksa, new.dat dosyasını indirin ve cred.ps1 olarak kaydedin, içerik kafası karışmış bir PowerShell betiğidir.

Resim: cred.ps1 dosyasını indirin

Dosya boyutunun doğru olup olmadığını belirleyin ve doğruysa, zamanlanmış bir görev oluşturun ve düzenli olarak cred.ps1'i çalıştırın.

Şekil: cred.ps1'i yürütün

Cred.ps1 betiği birden çok katmanda gizlenmiştir.

Şekil: Çok katmanlı, gizlenmiş cred.ps1 betiği

Şifre çözüldükten sonra, bu sürümün V5 olduğunu görebilirsiniz.

Şekil: Virüs sürümü

Bu modül esas olarak saldırı içindir.

Şekil: cred.ps1 betiğinin ana işlevleri

Ebedi mavi güvenlik açığı saldırısı deyin.

Şekil: Ebedi Mavi güvenlik açığı saldırısı

Eb7 işlevi win7 ve win2008 içindir.

Şekil: eb7 işlevi

Eb8 işlevi win8 ve win2012 içindir.

Şekil: eb8 işlevi

SMB zayıf parola saldırısı.

Şekil: SMB zayıf parolası

Tam şifre listesi aşağıdaki gibidir: Aşağıdaki şifreyi kullanırsanız, en kısa zamanda değiştirmeniz tavsiye edilir.

Şekil: cred.ps1 saldırı modülünde yerleşik olarak bulunan zayıf parolaların listesi

Saldırı başarılı olduktan sonra, FlashPlayer.lnk ve flashplayer.tmp'yi saldırıya uğrayan makineye yerleştirmek için CopyRun işlevini çağırın Saldırıya uğrayan makine, diğer makinelere saldırmak için virüsler indirerek yeni bir döngü başlatır.

Resim: implante edilmiş virüs

3) 333.log yapılandırma dosyası yoksa, mn.dat dosyasını indirin ve mn.exe olarak adlandırın.Bu modül, önceki madencilik modülüdür.

Şekil: mn.exe dosyasını indirin

4) kk4.log yapılandırma dosyası yoksa, ii.da'yı indirin ve hjqgbs.exe gibi rastgele 4-8 harfle adlandırın.Bu modül, Python'da geliştirilmiş ve pyinstaller ile paketlenmiş önceki saldırı modülüdür.

Resim: ii.dat dosyasını indirin ve rastgele adlandırın

İndirilen dosyanın boyutunun doğru olup olmadığını belirleyin.Doğru ise, zamanlanmış bir görev oluşturun ve bu exe'yi çalıştırın.Farklı izinlere göre çalıştırmak için farklı yöntemler kullanın. Yönetici ise, zamanlanmış bir görev oluşturun ve bu exe'yi doğrudan çalıştırın.

Şekil: İndirilen exe dosyasını çalıştırın

Yönetici değilseniz, run.vbs komut dosyasını serbest bırakın, run.vbs komut dosyasını zamanlanmış bir görev olarak ayarlayın ve bu exe dosyasını komut dosyası aracılığıyla çalıştırın.

Şekil: İndirilen exe dosyasını çalıştırmak için vbs komut dosyasını çağırın

Yayınlanan run.vbs betiği.

Şekil: vbs komut dosyası içeriği

Bu exe hala çalınan dijital imzayı kullanıyor.

Şekil: Çalınan dijital imza

Paketi açtıktan sonra Python betiğini görebilirsiniz.

Şekil: Python betiği

Komut dosyası, base64 kodlamasını kullanır.

Şekil: Base64 kodlu komut dosyası

Virüsün Python kodu, kod çözüldükten sonra elde edilir ve koddaki anahtar dizeleri de gizlenir.

Şekil: Gizlenmiş kod

Gizlemeyi kaldırdıktan sonra, son virüs kodunu görebilirsiniz.Virüs başlangıçta bellek haritalama yoluyla mevcut sürümü tespit edecektir. İçeriği okumak için önce hafıza haritasını açın.Maplanan hafıza elde edilmezse, bir hafıza haritası oluşturun ve yeni oluşturulan hafıza haritasına kendi yolunu + "**" + mevcut sürüm numarası + "$$" yazın.

Şekil: Bellek Haritası

Hafıza haritası elde edilirse, haritadaki sürüm numarası ve hafıza haritasındaki dosya yolu ayrıştırılır ve MD5 hesaplanır. Mevcut programın MD5'i, bellek haritasındaki yola karşılık gelen dosyanın MD5'iyle aynıysa, hiçbir işlem gerçekleştirilmez.

Şekil: MD5 hesaplanıyor

Aksi takdirde, mevcut sürümün bellek haritasındaki sürümden daha büyük olup olmadığını belirleyin.İşlemin önceki sürümünden daha büyükse, mevcut program kopyalanır.

Şekil: Sürümü değerlendirme

Bundan sonra saldırı yayılımının bir parçası olan virüs yerleşik saldırı IP segmenti, zayıf şifre hesap şifre listesi.

Şekil: Zayıf parolaların listesi

Zayıf parola parolası genişletildi Parolanın tamamı aşağıdaki gibidir: Mevcut bilgisayar veya veritabanı yazılımı bu listedeki parolayı kullanıyorsa, parolanın en kısa sürede değiştirilmesi önerilir.

Şekil: Python saldırı modülünün yerleşik parola listesi

Virüs yine de parolayı alacaktır, bu nedenle LAN'daki birden fazla makine aynı parolayı kullanırsa, bir makine zehirlenirse, diğer makineler de saldırıya uğrayacaktır.

Şekil: Parolayı yakala

Ebedi Mavi güvenlik açığı saldırısı.

Şekil: Ebedi Mavi Boşluk Deliği

Paylaşımı açın ve virüsü gönderin.

Şekil: Bir virüs gönderme

SMB zayıf parola saldırısı.

Şekil: SMB zayıf parola saldırısı

MS SQL veritabanına zayıf parola saldırısı.

Şekil: MS SQL zayıf parola saldırısı

5) Yapılandırma dosyası kk5.log yoksa, ddd.dat dosyasını indirin ve ddd.exe olarak adlandırın.Bu modül, madencilik modülünün yeni bir sürümüdür ve grafik kartı madenciliği ile ilgili sürücüleri indirir.

Resim: ddd.exe madencilik modülünü indirin

Madencilik modülünden sonraki arayüz çalışıyor.

Şekil: Madencilik modülü arayüzü

Madencilik için CPU kullanmaya ek olarak, madencilik modülü ayrıca grafik kartı madenciliği ile ilgili sürücüleri indirir ve madencilik için grafik kartını kullanır.

Şekil: İndirilen grafik sürücüsü

6) Son olarak, virüs bulaşma durumu ile ilgili istatistikleri kolaylaştırmak için kontrol sunucusunu ziyaret edin ve makinenin durum bilgilerini kontrol sunucusuna yükleyin.

İstatistiksel bilgiler, yerel ağ kartının mac adresini, yüklü antivirüs yazılımını, sistem sürümünü, bulaşma işaretini, mevcut kullanıcı grubunu, mevcut kullanıcı adını vb. İçerir.