近期,绿盟威胁情报中心(NTI)在一次应急响应中,发现一起使用模块化恶意工具集“NuggetPhantom(掘金幽灵)”的安全事件。据我们观测,本次安全事件背后的组织最早出现于2016年底,其曾在2016年底的“天翼校园客户端蓝屏事件”以及2017年底的“天翼校园客户端挖矿程序事件”中有所行动。
概述
从我们捕获的该组织惯用恶意软件载体中可以看出,该组织所使用的恶意工具集已经高度模块化,拥有极强的灵活性。该工具集不仅注重于免杀技术,并且已开始利用多种隐藏手段,表现出针对基于行为检测和流量分析的安全设备的对抗性。
在目标筛选策略上,该组织深谙“人是安全的尺度”这一主题,首先通过设备的安全性筛选专业程度较低的用户,对其使用Nday漏洞EternalBlue进行攻击,并且以牺牲收益为代价尽可能降低恶意程序对用户的影响以避免被察觉,获得了良好的隐蔽性。
攻击链
攻击者获知用户计算机存在EternalBlue漏洞后,利用该漏洞向用户计算机发送Eternal_Blue_Payload载荷,该载荷及其所释放的各模块皆通过访问下载服务器来获取加密后的各用途模块文件,并在内存中动态解密这些模块代码,执行模块对应的恶意功能。攻击链的流程图如下:
可以看出,攻击者的思想完全吻合经典的攻击链模式:
侦查:攻击者通过扫描、开源数据等信息,了解到互联网上依然存在大量未修复EternalBlue漏洞的计算机。
武器化:攻击者针对这些计算机,制作漏洞利用载荷。
传送:攻击者将恶意软件及各模块发布至自己的服务器。
利用:攻击者利用EternalBlue漏洞逐一攻击目标,执行下载器漏洞利用载荷。
安装:下载器漏洞利用载荷下载恶意软件,并令其依次部署自身模块。
建立连接:恶意软件和攻击者的C&C服务器进行通信获取指令及挖矿程序配置。
行动:恶意软件执行挖矿和DDoS行为。
影响范围
攻击者在本次任务中使用的核心C&C服务器IP地址60.132.11.86(转义后为98.126.200.58)所关联的域名*.woeswm.com,仅在某dns解析观测节点,从2018-06-20起,已发现18933次域名解析请求。据此估算,此威胁在全球的感染数量不少于10W。
组织活动
通过样本行为集合及其复用的模块,可以将2016年底发生的“天翼校园客户端蓝屏事件”,2017年底发生的“天翼校园客户端被植入挖矿程序事件”,以及本次事件关联至同一攻击组织,我们可以从这三起已被关联的事件中看出该组织的部分发展历程:
该组织为保证顺利进行黑产活动,在2016年首先发起了各模块的测试工作,然而在公测阶段由于关键模块rootkit驱动的兼容性问题,引起大量win10用户计算机陷入蓝屏,使得黑产活动尚未开始便已暴露,导致失败。
为避免被发现,该组织经过了一段长时间的蛰伏,并于2017年中旬重新设计驱动程序,紧跟行业热点开始进行小规模的挖矿活动,同年年底选择依然存在未解决问题的天翼校园客户端进行再次植入,本次由于rootkit驱动的兼容性得到了提升,故隐藏较为顺利。然而由于其恶意功能模块的设计缺陷,导致挖矿程序肆意占用用户计算资源,使得其行为被用户发觉,因此终告失败。
再次经过一段长时间的蛰伏,该组织于2018年7月从其他小黑产行为中回归挖矿,这次该组织以降低自身单位肉鸡三分之二的收益为代价换取了更难以被察觉的隐蔽性,并且其已深刻了解到国人对下载软件的不信任,故选择使用已有高效且成熟的利用工具,而全球依然有大量未打补丁机器的EternalBlue漏洞进行植入。其所瞄准的群体也由可能具备一部分相关专业知识的高校学生群体转向疏于管理的计算设备,显然已经过了成熟的考量。可确认其经过长期的发展,已成为一个分工合理、目标明确、紧跟行业热点、懂得从过往经验中学习的中/高端黑产组织。
攻击定位
经NTI定位,该组威胁中主要被使用的C&C IP地址: 98.126.200.58,位于美国。
根据NTI查询结果,该IP地址曾托管的web页面(2018-07-16扫描结果,与发布恶意样本时间相符)中的内容明显符合中文语言环境下用户命名习惯,可确定该组织正长期针对中国境内的目标。
(经遮挡处理过的部分展示了攻击者曾参与过的其他黑产行为,有兴趣的读者可自行前往nti.nsfocus.com进行查看)。
结论
1、漏洞:作为2017年初被披露的高危漏洞,EternalBlue迄今为止已有十分高效的成套利用工具和大量的扫描源。时至今日其热度仍然不减,全球目前仍存在大量未打补丁的windows设备。
2、工具:用于黑产行业的恶意样本工具,其结构已由传统的作坊式全功能定制,逐步向模块化、工程化的方向进行拓展,攻击者在一次攻击中仅植入本身恶意行为较少,只是实时请求模块的可控Loader程序,后续功能模块可随信息收集工作的开展或仅仅是任务目的、黑产行业热点等的变动而灵活下发或卸载。作为被动进行分析的安全防护设备,无论从哪个角度进行分析,都难免沦于管中窥豹,难以得其全貌。
3、行业:僵尸矿工通常被认为是准入门槛和技术含量较低的黑产行业,其中存在的对抗技术是相对匮乏的。然而从本案例中可以发现,黑产组织在有利可图的产业中会不吝投入各种技术手段来对抗安全产品,这亦是当前僵尸矿工事件检出率有所下降的部分原因-并非从未发生,只是更难以检测和察觉。
4、组织:活跃在国内的成熟黑产组织目前更注重于恶意行为的隐藏和持久化,其企图已从试图控制用户的一切资源转向尝试在用户毫无察觉的情况下营寄生活动,为此其已不吝以牺牲收益为代价来达到持久化的目的。
点击
阅读原文
了解更多详情
| 请点击屏幕右上方“…” 关注绿盟科技公众号 | |
↑↑↑长按二维码,下载绿盟云APP
