利用CVE-2019-2725漏洞和证书混淆传播的挖矿病毒预警
发布者:lijunhua发布时间:2019-06-12浏览次数:3952
近日,亚信安全截获新型挖矿病毒,该病毒利用了Oracle WebLogic Server的反序列化漏洞(CVE-2019-2725)进行传播,该漏洞曾经用于传播Sodinokibi勒索病毒。除了漏洞利用外,该病毒还使用了新型传播手段,将恶意代码隐藏在证书里,达到躲避杀毒软件检测的目的。亚信安全将该病毒命名为Coinminer.Win32.MALXMR.TIAOODCJ。
攻击流程 |
|
详细分析
病毒感染系统后,首先利用CVE-2019-2725漏洞执行如下命令 |
|
上述命令主要是利用PowerShell执行一系列恶意行为:
1、从远端C&C服务器下载证书文件cert.cer,并将该文件保存在%APPDATA%目录下(亚信安全将其命名为Coinminer.Win32.MALXMR.TIAOODCJ.component);
2、使用管理Windows中的证书组件CertUtil来解码文件,并将解码的文件保存为%APPDATA%\ update.ps1(亚信安全将其命名为Trojan.PS1.MALXMR.MPA);
3、使用PowerShell执行update.ps1文件后,其会通过CMD命令删除下载的cert.cer文件。
当我们下载该证书时,发现其看起来像一个普通的PEM格式证书,如下图所示: |
|
| 然而我们使用base64解码该内容时发现,该证书并不是常用的X.509 TLS文件格式,而是PowerShell命令,如下图所示: |
|
| 证书文件中的PowerShell命令会下载另外PowerShell脚本,并在内存中执行,该脚本主要功能也是下载并执行文件,其下载文件列表如下: |
|
| 文件 | 详细信息 | | Sysupdate.exe | Monero挖矿 | | Config.json | 配置文件 | | Networkservice.exe | WebLogic漏洞利用文件 | | Update.ps1 | 内存中的PS脚本 | | Sysguard.exe | 以服务的方式监控挖矿程序 | | Clean.bat | 删除组件 |
|
|
| 该病毒将包含已解码证书文件的update.ps1文件替换为新的update.ps1。然后创建一个计划任务,每30分钟执行一次新的update.ps1。 |
|
解决方案
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务); 尽量关闭不必要的文件共享; 采用高强度的密码,避免使用弱口令密码,并定期更换密码; 及时更新系统,更新应用程序;打全系统及应用程序补丁程序; 升级WebLogic Server版本,打上CVE-2019-2725对应的补丁程序,参考链接:
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
|
|
亚信安全解决方案
亚信安全病毒码版本15.163.60 ,云病毒码版本15.163.71,全球码版本15.165.00已经可以检测,请用户及时升级病毒码版本。 亚信安全DS DPI开启以下规则拦截该漏洞:
1009707-Oracle Weblogic Server Remote Code Execution Vulnerability (CVE-2019-2725) 亚信安全深度发现设备TDA 检测规则如下:
2903 HTTP_POSSIBLE_ORACLE_WEBLOGIC_EXPLOIT
|
|
|
|
