信息來源:FreeBuf
背景
PowerGhost是從2018年被發(fā)現(xiàn)使用powershell無文件方式進行攻擊感染的挖礦以及DDOS病毒��,本次深信服安全團隊捕獲到其最新樣本,其感染方式利用了永恒之藍����,MSSQL爆破��,SSH爆破���,wmi以及smb爆破遠程命令執(zhí)行等���,同時對windows和linux進行攻擊��,一旦該病毒進入內網���,會在內網迅速傳播。目前其主要感染地區(qū)在廣東��、浙江����、上海以及江蘇。
詳細分析
該病毒母體模塊分為2個版本��,x86和x64���,x86使用antitrojan.ps1�,x64使用antivirus.ps1�,本次分析x64版本的antivirus.ps1。
當前病毒版本為1.5��。
母體payload分布以及執(zhí)行圖��,antivirus.ps1中主要分為3個部分,如下圖:
第一段payload��,開頭部分如下:
Invoke-WmiExec以及Invoke-SmbExec遠程命令執(zhí)行��。
永恒之藍利用����,$sc為shellcode,主要從網上下載惡意腳本進行感染���。
SSH爆破���,加載的SSH模塊Rence.SshNet。
MSSQL爆破�����。
隨著最近網絡加密貨幣升值�����,會有更多的黑產將注意力轉到挖礦�����,其挖礦流量如下��,到目前為止該地址已經賺取了3個幣�����。
Middle部分�,一段混淆的代碼,主要功能執(zhí)行第一段payload���。
第二段payload����,也是混淆過的���,部分內容如下�。主要創(chuàng)建兩個定時任務���,更改電源計劃�,創(chuàng)建netbc的ipsec策略封堵445端口(防止被其他病毒利用)����,創(chuàng)建一個wmi持久任務。
Linux部分分析
當PowerGhost成功爆破ssh之后,就會下載shell進行病毒的更一步植入��。
當前Linux版本為1.2版本��,前面進行信息的初始化�����,聲明C2地址和默認下載目錄����、以及文件hash,文件校驗方式等:
1��、temp_remote_host: 遠程地址
2����、sodd_info_arr: DDoS木馬
3、tiktoor_info_arr: brootkit后門
4��、pxe_info_arr: CVE-2016-5195內核提權源碼以及程序及其hash
5����、DownloadPath=”/usr/lib/…” 默認下載路徑
6、Ver=1.2 當前版本
7���、Shell_privilege=1 當前shell默認權限
8����、OsType=1 系統(tǒng)類型默認為Centos系列
9��、Verify_method=”md5sum” 下載文件校驗方式�,默認使用md5
整個Linux端PowerGhost執(zhí)行流程如下:
1、進行初始化����。
2、檢測執(zhí)行參數是否為/sbin/init��。
3���、殺死自身相同進程名的shell進程或者挖礦進程(WorkProc “shell” “$ShellProceName”)�。本例$shellProceName=”diskmanagerd”����。
4、使用ssh進行橫向傳播���。
5��、檢測當前是否為root權限�����,如果是則檢測安全產品�,創(chuàng)建啟動項,安裝rootkit(brootkit)�,否則使用CVE-2016-5195(臟牛漏洞)進行提權。
Install.sh���。
Brootkit.sh會對文件隱藏���,進程隱藏,劫持命令(ps, ls, dir, netstat)等�。
6、進入循環(huán)���,檢測更新��,下載執(zhí)行billgats木馬�����,清除挖礦進程��,休眠等待下次循環(huán)����。
防護建議
1�、打上永恒之藍補丁���;
2�����、關閉135�,139��,445等端口��,如果沒有業(yè)務必要����,建議封堵;
3��、不要使用域管賬號隨意登錄域內機器�,域內機器密碼應互不相同����;
4����、將密碼更改為強密碼;
5����、修補CVE-2016-5195。
