黑客利用 ProxyLogon 漏洞部署 Monero 加密器

Andrew 2021-04-19
专栏 - 资讯 发布于 2021-04-19 10:07:27 阅读 218 评论 0

Sophos研究人员报告说,威胁参与者通过利用 ProxyLogon 漏洞在不寻常的攻击中部署了恶意的Monero加密器,从而将Microsoft Exchange作为攻击目标。

未知攻击者正试图提供负载在受感染的Exchange服务器上的有效负载。

攻击始于PowerShell命令,该命令从另一台受感染服务器的Outlook Web Access登录路径(/ owa / auth)检索名为win_r.zip的文件。” 阅读Sophos发布的分析。* *“ .zip文件不是压缩档案,而是一个批处理脚本,然后该脚本调用Windows内置的certutil.exe程序来下载另外两个文件,即win_s.zip和win_d.zip。”

该攻击使用PowerShell命令从另一台受感染服务器的Outlook Web Access登录路径(/ owa / auth)检索名为win_r.zip的文件。专家注意到,该.zip文件不是压缩的存档,而是一个批处理脚本,然后该脚本调用了Windows内置的certutil.exe程序来下载win_s.zip和win_d.zip文件。

win_s.zip将以QuickCPU.b64的形式写到文件系统中,QuickCPU.b64是已编码的base64中的可执行有效负载,并且可以由certutil应用程序解码。然后,批处理脚本运行另一个命令,该命令将解码后的可执行文件输出到同一中。解码批处理脚本后,它将运行可执行文件,该可执行文件将从QuickCPU.dat文件中提取加密矿工和配置数据,然后将其注入系统进程并删除其存在的任何证据。

攻击中使用的可执行文件包含Github上公开可用的PEx64-Injector工具的修改版本。

QuickCPU.dat存档中包含的文件中,是用于矿工的配置程序,它看起来像是xmr-stak。默认情况下,有效负载会设置矿工,以便只有能够安全返回到Monero钱包(用于存储其值)的TLS连接时,矿工才能进行通信。如果该矿工检测到证书不匹配(或其他指示TLS MITM的迹象),它会退出并尝试每30秒重新连接一次。” analsys继续说道。

该矿工的pools.txt文件被临时写入磁盘,其分析使研究人员能够确定钱包地址和其密码,以及为矿工池分配的名称DRUGS

钱包从3月9日开始接受资金,但是在Microsoft解决了ProxyLogon问题之后,由于许多服务器都受到保护,因此加密采矿活动有所减少。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!