警惕！多种恶意软件程序发起 VMware 漏洞利用攻击

4月以来，Fortinet陆续观察到针对此平台的在野攻击事件，但大多数载荷均限于窥探受害者的密码、hosts文件等敏感数据。 然而近期，一些更加危险的活动引起了Fortinet研究人员的警觉。一些特定有效载荷企图攻击运行Linux系统的潜在目标 络设备，试图植入Mirai、RAR1ransom勒索软件，利用合法的WinRaR加密用户数据，并使用xmrig挖矿软件变体GuardMiner挖矿木马对门罗币钱包进行挖矿行为。

Mirai变体

Mirai 变体的完整载荷如图 2 所示，该字符串将打开临时目录并从http[:]//107[.]189[.]8[.]21/pedalcheta/cutie[.]x86_64链接下载 Mirai 变体，之后使用参数“VMware”执行恶意命令。

图 2 攻击流量捕获

图 3 已解码的命令

如同多数Mirai僵尸 络一样，该变种的主要手段包括发起DoS拒绝服务和暴力破解攻击。Fortinet利用0x54参数对数据进行XOR解密后，解码了部分配置并发现C2服务器域名为“cnc[.]goodpackets[.]cc”。以下为解码后的字符串：

图 4 已解码的配置字符串

经Fortinet研究人员解码后还获得了部分密码，其中除了常见密码外，不乏一些知名物联 设备的默认账 。

该Mirai变种执行命令后，将显示硬编码字符串“InfectedNight did its job”，同时发送参数为“VMware”的心跳信息至C2服务器，随后等待来自C2服务器的下一步命令。下图显示Fortinet捕获的心跳信息和暴力攻击流量会话。

图 6 心跳信息流量捕获

图 7 已捕获的暴力攻击会话

RAR1Ransom 和 GuardMiner初始化脚本

图 8 针对Windows系统攻击的流量捕获

图 9 针对Linux 系统攻击的流量捕获

图 10 init.ps1 中的下载链接

用于初始化的7 个文件：

图 11 init.ps1 中的“start encrypt”指令部分

如图 11 所示，在“start encrypt”指令中，攻击者在启动 RAR1ransom 前，会预先检查“flag_encrypt.flag”，如果检测到 flag 文件存在并且之前已下载“encrypt.exe”，则删除“encrypt.exe”，而后进入下一攻击阶段。否则，该指令将检查文件大小以确定是否更新文件路径。检查结束后即执行勒索软件攻击。

Fortinet还注意到，GuardMiner 利用近期曝出的漏洞更新了“networkmanager.exe”。通过观察每个漏洞利用模块名称，Fortinet发现出于安全测试目的，GuardMiner可能会从Chaitin Tech Github收集漏洞利用列表。

图 13 rdata 部分包含的networkmanager.exe漏洞列表

以下为Fortinet获取的完整漏洞列表：

RAR1Ransom

RAR1ransom通过利用C:/Windows/Temp folder中的合法WinRaR软件“rar.exe”，使用密码压缩受害者文件，并同时使用 WinRaR 中的多个默认选项完成加密操作以提高效率，如图 14所示，从进程资源管理器中能够找到这些进程。

图 14 RAR1Ransom勒索软件加密文件进程

整个命令如下所示，选项“df”和“m0”表示将文件添加至存档后不进行压缩并直接删除，“mt10”表示将使用十个线程加载，“ep”表示从文件名称中删除路径，“hp”表示使用密码加密文件数据和文件名。

如图 15 所示，以下为受RAR1Ransom 攻击且具有特定扩展名的受感染文件。

图 15 目标文件扩展名

图 16 加密文件

图17 勒索信内容

从图 17 勒索信中的钱包字符串可以看出，该字符串与图 18 中 GuardMiner 挖矿木马配置信息中的“user”字符串相同。由此可见，攻击者计划充分地利用受害者资源，不仅安装了RAR1Ransom勒索软件进行敲诈勒索，还植入了GuardMiner木马挖掘和收集加密货币。

图18 GuardMiner 配置信息”config.json”

结论

Fortinet 解决方案助您安心无忧

FortiGuard防病毒服务及FortiEDR可成功检测并拦截威胁脚本和恶意软件活动：

IOCs SHA256:

欢迎拨打电话或发送邮件联系我们了解详情：

BDR_cn@fortinet.com

相关文章