信息安全

当前位置:首页  网络安全  信息安全

利用CVE-2019-2725漏洞和证书混淆传播的挖矿病毒预警

发布时间:2019-06-12浏览次数:2091设置

 近日,亚信安全截获新型挖矿病毒,该病毒利用了Oracle WebLogic Server的反序列化漏洞(CVE-2019-2725)进行传播,该漏洞曾经用于传播Sodinokibi勒索病毒。除了漏洞利用外,该病毒还使用了新型传播手段,将恶意代码隐藏在证书里,达到躲避杀毒软件检测的目的。亚信安全将该病毒命名为Coinminer.Win32.MALXMR.TIAOODCJ。
攻击流程
详细分析
病毒感染系统后,首先利用CVE-2019-2725漏洞执行如下命令
上述命令主要是利用PowerShell执行一系列恶意行为:
1、从远端C&C服务器下载证书文件cert.cer,并将该文件保存在%APPDATA%目录下(亚信安全将其命名为Coinminer.Win32.MALXMR.TIAOODCJ.component);
2、使用管理Windows中的证书组件CertUtil来解码文件,并将解码的文件保存为%APPDATA%\ update.ps1(亚信安全将其命名为Trojan.PS1.MALXMR.MPA);
3、使用PowerShell执行update.ps1文件后,其会通过CMD命令删除下载的cert.cer文件。
当我们下载该证书时,发现其看起来像一个普通的PEM格式证书,如下图所示:
然而我们使用base64解码该内容时发现,该证书并不是常用的X.509 TLS文件格式,而是PowerShell命令,如下图所示:
证书文件中的PowerShell命令会下载另外PowerShell脚本,并在内存中执行,该脚本主要功能也是下载并执行文件,其下载文件列表如下:
文件详细信息
Sysupdate.exeMonero挖矿
Config.json配置文件
Networkservice.exeWebLogic漏洞利用文件
Update.ps1内存中的PS脚本
Sysguard.exe以服务的方式监控挖矿程序
Clean.bat删除组件
该病毒将包含已解码证书文件的update.ps1文件替换为新的update.ps1。然后创建一个计划任务,每30分钟执行一次新的update.ps1。
解决方案
  • 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务);

  • 尽量关闭不必要的文件共享;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 及时更新系统,更新应用程序;打全系统及应用程序补丁程序;

  • 升级WebLogic Server版本,打上CVE-2019-2725对应的补丁程序,参考链接:
    https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

亚信安全解决方案
  • 亚信安全病毒码版本15.163.60 ,云病毒码版本15.163.71,全球码版本15.165.00已经可以检测,请用户及时升级病毒码版本。

  • 亚信安全DS DPI开启以下规则拦截该漏洞:
     1009707-Oracle Weblogic Server Remote Code Execution Vulnerability (CVE-2019-2725)

  • 亚信安全深度发现设备TDA 检测规则如下:
    2903 HTTP_POSSIBLE_ORACLE_WEBLOGIC_EXPLOIT

IOCs


返回原图
/