123   3  /  3  页   跳转

[产品资讯] 2019年中国网络安全报告

回复: 2019年中国网络安全报告

六、趋势展望

(一)国产操作系统发展迎来春天,病毒威胁不可回避

2019年随着中兴、华为事件的爆发,以及中美贸易战的愈演愈烈,自主可控的概念已经深入人心。操作系统领域,中国软件的两个核心子公司中标软件与天津麒麟进行了合并;中国电子集团、deepin、New Start、诚迈科技四家单位于2019年5月发起的UOS(unity operating system)操作系统的创建都预示着国产操作系统将迎来一个发展的春天。而未来随着国产操作系统的占有率的提升,国产操作系统面临的病毒威胁将不可回避。

(二)Linux病毒迎来爆炸增长期,预计将保持高速增长势头


Linux病毒在2019年迎来了一个爆炸性增长。瑞星2019年1月至10月共截获Linux病毒样本152万个,比2018年翻了一倍。虽然Linux病毒因其系统的生态和应用场景而呈现出和Windows不同的特点,病毒数量和Windows平台上差距巨大,但是Linux病毒增长速度远超Windows。随着5G、物联网设备和国产操作系统的发展,可以预见Linux病毒将在未来很长一段时间内快速增长。

(三)勒索软件目标全面转向企事业用户,攻击手法专业化,攻击对象定向化


勒索病毒的攻击活动在2019年依旧没有下降的趋势。瑞星对2019年全年接到用户求助的案例统计分析后发现,个人用户受到的攻击数量相对降低,企业用户被攻击数量显著增加,企业边界服务器被攻陷,连带内网大量主机被勒索的案例明显增加,甚至出现内网几十、上百台终端同一时间被勒索的现象。勒索软件和网络渗透攻击结合越来越紧密,攻击手法愈显专业化,攻击对象也越来越定向化,勒索软件攻击有向APT攻击蔓延的趋势。
最后编辑麦青儿 最后编辑于 2020-01-15 18:32:46
gototop
 

回复: 2019年中国网络安全报告

专题:挖矿病毒DTLMiner分析

DTLMiner作为2019年最为活跃的无文件挖矿木马,在2019年一整年里,病毒作者为其进行了大大小小近50次更新(尤其是在2019年第4季度,作者的更新频率比其他3个季度有明显提升),在此期间除了让病毒从“有文件”转变为“无文件”,还加入了多种横向传播手段,最终达到在用户机器上植入挖矿木马挖取数字货币的目的。由于DTLMiner使用的横向传播手段众多,再加上大量机器安全防护措施薄弱,以及初始传播时“供应链攻击”提供的“福利”,因此DTLMiner在短时间内就感染了大量机器。


一、感染量统计

由图可知,四川省和广东省是感染的重灾区,并且感染较为严重的地区集中在长江以南及沿海地区。


最后编辑麦青儿 最后编辑于 2020-01-15 18:55:11
gototop
 

回复: 2019年中国网络安全报告

二、更新时间线

注:为方便阅读,此处的时间线仅按月展示关键更新内容,完整的时间线详见该部分倒数第二节的表格。

最后编辑麦青儿 最后编辑于 2020-01-15 18:39:38
gototop
 

回复: 2019年中国网络安全报告

三、病毒使用到的横向传播手段

1. 永恒之蓝漏洞利用

图:内网环境传播时使用的ShellCode


图:永恒之蓝漏洞利用相关函数


2. SMB弱口令爆破

图:使用到的弱密码字典(弱密码爆破共用的字典)


图:爆破成功后执行的命令


图:爆破成功后向沦陷主机拷贝文件


3. SQL Server弱口令爆破

图:爆破成功后执行的命令


图:SQL Server爆破相关函数


需要注意的是,在早期版本(使用pyinstaller打包后的可执行程序作为横向传播模块)里,DTLMiner在SQL Server弱口令爆破成功后会在系统里创建一个名为“k8h3d”的后门账户,同时修改数据库sa账户的密码。

图:早期版本进行的额外操作

4. RDP弱口令爆破

图:爆破成功后执行的命令


图:RDP爆破相关函数


值得留意的是,DTLMiner还在10月9日加入了BlueKeep(CVE-2019-0708)的漏洞探测功能,但是并未利用漏洞发起实质性的攻击。

5. U盘传播(配合CVE-2017-8464漏洞)


图:构造利用漏洞的快捷方式


图:遍历磁盘,对U盘和网络磁盘进行感染

最后编辑麦青儿 最后编辑于 2020-01-15 18:58:33
gototop
 

回复: 2019年中国网络安全报告

四、病毒使用到的“自我保护”手段

1. 代码混淆

从DTLMiner使用pyinstaller打包后的可执行程序作为横向传播模块开始,其Python代码就带有混淆。

图:被混淆的Python代码


到了4月份全面转为无文件后,其PowerShell代码更是加大了混淆强度,每个脚本至少进行了2次混淆。

图:下载下来的第三阶段脚本,第一层是inflate压缩+base64编码


2. “排除异己”模块

DTLMiner于10月23日加入了“排除异己”模块,尝试通过服务、计划任务、进程名等方式检测并移除受害者机器内已有的其他挖矿木马和后门,达到独占资源,最大化DTLMiner病毒作者自身利益的目标。

图:“排除异己”模块部分代码,用于清除特定名称的计划任务


3. 关闭Windows Defender

DTLMiner于12月8日开始尝试在Windows 10系统下禁用Windows Defender的实时防护。

图:尝试调用PowerShell Cmdlet禁用Windows Defender实时防护


从12月23日开始在所有系统均尝试禁用Windows Defender的实时防护,横向传播模块所有入侵成功后执行的命令均带上了通过PowerShell及注册表的方式禁用Windows Defender的操作。

图:入侵成功后执行的命令内包含禁用Windows Defender的相关操作

最后编辑麦青儿 最后编辑于 2020-01-15 18:47:22
gototop
 

回复: 2019年中国网络安全报告

五、挖矿

病毒作者的最终目的是在用户机器上植入挖矿木马挖取数字货币,作者为了最大化自己的利益,进行了多种尝试,甚至在部分机器上启动多个挖矿模块。最近的版本里只要用户机器上的显卡品牌是Nvidia和AMD中的任意一个,并且机器安装的是64位系统,就会下载一个额外的挖矿模块并执行。

图:显卡类型判断代码


图:只要命中任意一个就下载额外的挖矿模块,与普通的挖矿模块并存

最后编辑麦青儿 最后编辑于 2020-01-15 18:46:39
gototop
 

回复: 2019年中国网络安全报告

六、完整时间线(含2018年数据)

第三阶段脚本同时启用Nvidia和AMD显卡判断,当任意一个存在且为64位系统时会下载专用的挖矿模块,当Nvidia显卡存在时还会下载相关的辅助模块

时间主要更新内容备注
2019.12.30第三阶段脚本加入修改网卡默认DNS地址的功能(8.8.8.8/9.9.9.9),确保病毒连接的域名可以被正常解析 
2019.12.28共计两次更新。第一阶段脚本内置域名更换,之前存在异常的域名被替换成正常的域名,并且与我们之前的猜测一致;第三阶段脚本内加入将用错误域名注册的计划任务修复回正确的域名的功能 
2019.12.26横向传播模块bug修复 
2019.12.25第三阶段脚本和横向传播模块更新。第三阶段脚本增加Nvidia显卡挖矿模块校验机制;更新挖矿模块;横向传播模块RDP爆破模块优化;wfreerdp和mimikatz模块下载新增校验机制;移除RDP相关注册表项修改;弱密码字典扩充 
2019.12.23第三阶段脚本和横向传播模块更新。第三阶段脚本现在将在所有系统均尝试禁用Windows Defender的实时防护;新增通过防火墙规则禁用135和445端口,达到独占机器的目的;横向传播模块所有入侵成功后执行的命令均带上了通过powershell及注册表的方式禁用Windows Defender的操作;使用新的方案判断公网IP;RDP爆破模块回退到几个月之前使用wfreerdp同时用于爆破和登陆执行命令的操作 
2019.12.17  
2019.12.15第三阶段脚本下载挖矿及横向传播模块使用的域名更换回旧域名 
2019.12.13共计两次更新,均针对第三阶段脚本。停止下载OpenCL模块以及Nvidia显卡专用挖矿模块,并尝试将已经下载的模块改名 
2019.12.11共计两次更新。第三阶段脚本更换下载挖矿及横向传播模块时使用的域名;新增下载OpenCL模块;新增检测到使用Nvidia显卡的64位系统时下载Nvidia显卡专用挖矿模块 
2019.12.03共计三次更新,均针对第三阶段脚本。切换下载挖矿及横向传播模块的域名为原来的域名;更换获取系统显卡信息的方式;停止下载为AMD Radeon显卡的64位系统准备的单独的挖矿模块;在Win10系统下尝试禁用Windows Defender的实时防护 
2019.12.04横向传播模块更新,重新启用RDP弱口令爆破模块,似乎是修复了其中的bug 
2019.12.03共计两次更新,均为更新64位挖矿模块 
2019.12.02第三阶段脚本更换下载挖矿及横向传播模块时使用的域名 
2019.12.01共计四次更新。第三阶段脚本新增挖矿模块版本获取与上报,更改了上报的系统版本内容,优化了代码;更新32位及64位挖矿模块,更换了内置矿池域名64位挖矿模块的Hash值对不上的问题随着模块更新被修复
2019.11.28共计三次更新。第一阶段脚本更换内置域名(原来使用的t.zer2.com被替换成了一个异常的域名),使用新的方案降低了脚本制作成本;第三阶段脚本使用新的方法加载32位下的挖矿模块;32位挖矿模块更新作者3轮更新共计写了3个bug,被作者发现并修复了2个,64位挖矿模块的Hash值仍然对不上
2019.11.27第三阶段脚本和横向传播模块更新,统一更换使用的域名(横向传播模块内执行的shellcode/各种感染情况下运行的命令都进行了更换);新增一个弱口令;作者将版本号定义为0.2作者在2019.11.27早上6点左右将主域名切换到了t.awcna.com,但是直到下午4点才将新版文件放上去
2019.11.16横向传播模块更新,再次屏蔽了RDP弱口令爆破模块(但是后面的调用部分并未屏蔽),对部分代码进行了优化 
2019.11.13共计两次更新,均针对第三阶段脚本。第一次更新移除了早期版本横向传播模块的下载;第二次更新优化了代码并新增了内存大小信息的上报,不再删除早期版本创建的计划任务 
2019.11.12第三阶段脚本更新,下载的横向传播模块增加了早期使用PyInstaller打包的可执行文件,执行完横向传播模块后将会删掉早期版本创建的计划任务;修改了早期版本计划任务访问的链接里的脚本内容来使早期版本的感染用户迁移到新版当前版本使用的PyInstaller版横向传播模块与早期版本内的最后一个使用PyInstaller打包的版本一致(即2019.04.01版本)
2019.10.30横向传播模块更新,“排除异己”模块运行间隔缩短,移除部分检测的端口;再次优化RDP爆破功能,提升攻击成功率 
2019.10.25横向传播模块更新,单次最长运行时间延长,重新启用早期的RDP爆破功能并对其进行了优化,提升攻击成功率 
2019.10.23横向传播模块更新,新增“排除异己”模块,每60秒运行一次,试图清除系统内存在的其他的后门和挖矿程序,最大化作者自身的利益 
2019.10.09第三阶段脚本重新回到2019.09.07的版本;横向传播模块单次最长运行时间缩短,屏蔽早期RDP爆破功能,新增CVE-2019-0708(BlueKeep)漏洞检测模块(仅检测并上报,不利用) 
2019.09.07对配备AMD Radeon显卡的64位系统使用单独的脚本来处理挖矿问题,为其下载OpenCL模块及配套的挖矿模块在2019.09.10回退到2019.08.27的版本
2019.08.27为使用AMD Radeon显卡的64位系统准备了单独的挖矿模块 
2019.08.26启用挖矿模块内置API,每次脚本执行时访问API获取挖矿算力信息并上报 
2019.08.22脚本新增获取U盘及网络磁盘的信息并上报,同时对下载来的横向传播及挖矿模块进行MD5校验 
2019.08.21横向传播模块更新:Mimikatz模块增加无文件模式加载;为RDP爆破增加限制条件,仅在机器未被感染时才尝试;作者将版本号定义为0.1 
2019.08.15横向传播模块体积大幅缩小,新增利用RDP弱口令爆破传播 
2019.08.09横向传播模块区分内外网,可能是为将来的内外网差异化攻击做准备 
2019.07.18横向传播模块新增U盘传播(利用CVE-2017-8464漏洞) 
2019.06.19作者试图通过命令行输出流重定向至文件,然后读取文件来获取挖矿算力信息并上报版本的脚本仅存活不到1个小时即被作者从服务器上替换回原来的版本,并且脚本头部没有签名,疑似测试用途
2019.06.05更换域名,攻击流程变更,第三阶段的脚本头部增加了签名信息,由第二阶段的脚本在验签通过后执行 
2019.04.17横向传播模块执行方式彻底转为无文件模式 
2019.04.03挖矿模块由落地文件执行改为利用PowerShell进行内存加载 
2019.04.01横向传播模块执行方式新增基于PowerShell的无文件模式,与落地文件执行方式并存 
2019.03.28更新横向传播模块,该模块在当前版本使用以下攻击方式:永恒之蓝漏洞攻击、SMB弱口令攻击、MSSQL弱口令攻击 
2019.03.27更新挖矿模块,该模块下载显卡驱动来提升挖矿效率 
2019.02.25横向传播模块新增MSSQL弱口令攻击,同时扩充弱密码字典 
2019.01将横向传播模块安装为计划任务,横向传播模块新增使用Mimikatz抓取密码以及SMB弱口令攻击;新增挖矿模块 
2018.12.19新增PowerShell后门 
2018.12.14初始版本,供应链攻击,利用“驱动人生”升级模块投放,使用永恒之蓝漏洞传播
最后编辑麦青儿 最后编辑于 2020-01-15 18:48:44
gototop
 
 
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT