最新黑客活动披露:借助Mimikatz病毒攻击亚太地区Windows服务器

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/13 12:05:22 27次阅读 国际
文章来源:https://www.toutiao.com/a6667434839735534088/

近日,来自网络安全公司Check Point的安全研究人员监测到了一起针对亚太地区国家Windows服务器的大规模黑客活动。在这起攻击活动中,攻击者使用了一种被命名为“Mimikatz”的信息窃取类计算机病毒,旨在窃取敏感数据。

如上所述,Mimikatz所针对的感染目标是Windows服务器,旨在窃取包括登录凭证、操作系统版本和IP地址在内的敏感数据。根据Check Point研究人员的说法,这些被盗数据最终将被上传到一个由攻击者控制的FTP服务器。

此外,从Check Point研究人员的初步分析结果来看,该计算机病毒还与XMRig挖矿软件以及Mirai僵尸网络存在关联。

Mimikatz病毒感染过程

研究人员指出,整个感染过程从下载一个名为“ups.rar”(或u.exe、cab.exe和ps.exe)的文件开始(文件的托管服务器为66[.]117[.]6[.]174 )。该文件在被下载并保存到受感染计算机上之后便会被执行,进而向223[.]25[.]247[.]240/ok/ups.html(C2服务器)发送GET请求。

最新黑客活动披露:借助Mimikatz病毒攻击亚太地区Windows服务器

感染过程

需要指出的是,只有当受感染计算机是Windows服务器时,感染过程才会继续。研究人员表示,对于操作系统版本的检查是通过调用GetVersionExA来完成的。更确切地说,Mimikatz将无法在以下操作系统版本上运行:

l Windows 10;

l Windows 8;

l Windows 7;

l Windows Vista;

l Windows XP专业版;

l Windows XP家庭版;

l Windows 2000专业版。

最新黑客活动披露:借助Mimikatz病毒攻击亚太地区Windows服务器

检查操作系统版本,以确定感染是否继续

最新黑客活动披露:借助Mimikatz病毒攻击亚太地区Windows服务器

用于检查操作系统版本的函数

发送两个GET请求

在确定目标计算机运行的是Windows Server操作系统之后,在上一阶段下载的文件(即ups.rar,或u.exe、cab.exe和ps.exe)会发送两个GET请求——一个用于部署批处理文件(my1.bat)并触发无文件攻击;另一个用于与C2服务器同步以获取更新版本。

最新黑客活动披露:借助Mimikatz病毒攻击亚太地区Windows服务器

用于下载恶意批处理文件(my1.bat)的GET请求

研究人员表示,my1.bat明显包含了一个属于Mirai僵尸网络的模块,并且攻击者还加强了该模块的功能,以便实施新的攻击。此外,目前大多数杀毒软件都无法将其检测出来。

最新黑客活动披露:借助Mimikatz病毒攻击亚太地区Windows服务器

与旧版Mirai的相似性

目前很少有杀毒软件能将my1.bat检测出来

最新黑客活动披露:借助Mimikatz病毒攻击亚太地区Windows服务器

Mirai模块的功能

此新模块被用于运行连接到外部URL的PowerShell命令:

l 创建WMI事件客户对象(WMI Event customer object),运行PowerShell并利用管理员权限(权限提升);

l 尝试下载并执行恶意软件,如Mirai、Dark cloud和XMRig矿工。

l 运行一个JavaScript文件,该文件曾在以前的攻击中出现过。例如,MyKing僵尸网络。

l 收集用户名和密码以及存储在本地计算机上的其他用户个人信息,并将被盗数据发送到一个FTP服务器。

最新黑客活动披露:借助Mimikatz病毒攻击亚太地区Windows服务器

被传到到FTP服务器的被盗数据

研究人员表示,目前该FTP服务器仍处于在线,且每一秒钟都会有新的被盗数据上传。这足以表明,这起黑客活动目前仍在继续。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室