欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

BlackSquid活动感染Web服务器

 

一种新发现的针对Web服务器、网络驱动器和可移动驱动器的加密劫持威胁活动正在进行中。攻击者的最终目标是将受损的设备变成门罗币矿工。为了达到此目的,攻击者使用的BlackSquid恶意软件采取了几项技巧提高了感染成功率,并避免被检测。



威胁行为者“诡计多端”


根据趋势科技的安全研究人员调查发现,威胁行为者表现除了针对不同漏洞的攻击技巧。这些漏洞包括NSA的“永恒之蓝”漏洞;三个针对多个ThinkPHP版本的漏洞;三个通过远程代码执行的漏洞,分别是CVE-2014-6287(影响Rejetto HFS)、CVE-2017-12615(影响Apache Tomcat)、CVE-2017-8464(影响Windows Shell)。


通过使用针对Web服务器的多种攻击方式,可以提高所使用的BlackSquid恶意软件对目标设备的感染成功率。


为了逃避安全研究人员的审查,一旦BlackSquid获得了对服务器的访问权限,它就会检查分析环境,如虚拟机、沙箱或调试器等。感染设备后,加密设备就会延迟进程,直到确定登陆的系统上不存在已知的硬件模拟器、沙箱工具和硬盘驱动器模型,这些设备暗示了系统上分析环境的存在。


“该恶意软件还检查断点寄存器的硬件断点,特别是标志(flags)。在硬编码中,如果标志为0,则跳过例程,而如果标志为1,则疑似继续感染。在报告发布之前,代码被设置为0,这意味着BlackSquid恶意软件在这一方面仍在开发中,”趋势科技解释道。


如果发现目标设备环境足够严密安全,BlackSquid就会停止感染进程,因此在该设备上不会发现恶意或可疑活动。用户如果尝试利用任何分析平台确定其安全性,得出的结果都会是:不存在威胁。


在美国国家安全局(NSA)开发的“永恒之蓝(EternalBlue)”和“双脉冲星(DoublePulsar)”后门的帮助下,威胁行为者在不同系统之间来回切换是可能的。尤其对于加密劫持威胁行为者来说,综合利用这两大后门非常常见。


受损设备数量惊人


尽管自2017年3月以来,相关公司就发布了补丁可供使用,但目前直接受影响的系统数量仍高达数千个,其内部网络仍未受到保护。


Check Point研究员Elad Erez的统计数据显示,今年3月20日,公司网络中存在601,000个易受“永恒之蓝”漏洞攻击的系统。该数据是通过一个专门为组织开发的工具统计得出的,该工具通过测试系统基础架构以检测“永恒之蓝”威胁。



据趋势科技称,BlackSquid恶意软件利用Web应用程序感染Web服务器。借助GetTickCount API,它四处查找活跃的IP地址,并利用其漏洞采取暴力攻击的方式入侵系统。


尽管BlackSquid恶意软件越来越趋向于功能复杂且构建完善,但其开发者还是犯了一个错误,使得针对ThinkPHP的一个漏洞代码无法使用。开发者错误的使用了字母“I”,而不是数字“1”。



恶意有效载荷“自由选择”


两个XMRig加密货币挖矿组件作为受损系统上的最终有效负载部署,它们都适用于64位计算机,并可作为恶意软件文件中的下载资源。


资源中的第一个组件负责确定系统上安装的显卡类项,如果是Nvidia或AMD,则开始下载第二个组件进行挖矿操作。


这一系列操作成功后,威胁行为者就能获得对受感染系统的访问权限,借此窃取机密信息、使软硬件失效、或对系统所在组织发动攻击(甚至跨组织攻击)。


趋势科技表示,由于其复杂性,BlackSquid恶意软件可能仍处于开发阶段。开发人员可能测试不同类型的攻击方式,并确定其感染目标。门罗币矿工是研究人员发现该恶意软件的最终有效载荷,但攻击者也可以根据需求更换为其他载荷,产生新的威胁。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: