近日,来自网络安全公司Check Point的安全研究人员监测到了一起针对亚太地区国家Windows服务器的大规模黑客活动。在这起攻击活动中,攻击者使用了一种被命名为“Mimikatz”的信息窃取类计算机病毒,旨在窃取敏感数据。
如上所述,Mimikatz所针对的感染目标是Windows服务器,旨在窃取包括登录凭证、操作系统版本和IP地址在内的敏感数据。根据Check Point研究人员的说法,这些被盗数据最终将被上传到一个由攻击者控制的FTP服务器。
此外,从Check Point研究人员的初步分析结果来看,该计算机病毒还与XMRig挖矿软件以及Mirai僵尸网络存在关联。
Mimikatz病毒感染过程
研究人员指出,整个感染过程从下载一个名为“ups.rar”(或u.exe、cab.exe和ps.exe)的文件开始(文件的托管服务器为66[.]117[.]6[.]174 )。该文件在被下载并保存到受感染计算机上之后便会被执行,进而向223[.]25[.]247[.]240/ok/ups.html(C2服务器)发送GET请求。
感染过程
需要指出的是,只有当受感染计算机是Windows服务器时,感染过程才会继续。研究人员表示,对于操作系统版本的检查是通过调用GetVersionExA来完成的。更确切地说,Mimikatz将无法在以下操作系统版本上运行:
l Windows 10;
l Windows 8;
l Windows 7;
l Windows Vista;
l Windows XP专业版;
l Windows XP家庭版;
l Windows 2000专业版。
检查操作系统版本,以确定感染是否继续
用于检查操作系统版本的函数
发送两个GET请求
在确定目标计算机运行的是Windows Server操作系统之后,在上一阶段下载的文件(即ups.rar,或u.exe、cab.exe和ps.exe)会发送两个GET请求——一个用于部署批处理文件(my1.bat)并触发无文件攻击;另一个用于与C2服务器同步以获取更新版本。
用于下载恶意批处理文件(my1.bat)的GET请求
研究人员表示,my1.bat明显包含了一个属于Mirai僵尸网络的模块,并且攻击者还加强了该模块的功能,以便实施新的攻击。此外,目前大多数杀毒软件都无法将其检测出来。
与旧版Mirai的相似性
目前很少有杀毒软件能将my1.bat检测出来
Mirai模块的功能
此新模块被用于运行连接到外部URL的PowerShell命令:
l 创建WMI事件客户对象(WMI Event customer object),运行PowerShell并利用管理员权限(权限提升);
l 尝试下载并执行恶意软件,如Mirai、Dark cloud和XMRig矿工。
l 运行一个JavaScript文件,该文件曾在以前的攻击中出现过。例如,MyKing僵尸网络。
l 收集用户名和密码以及存储在本地计算机上的其他用户个人信息,并将被盗数据发送到一个FTP服务器。
被传到到FTP服务器的被盗数据
研究人员表示,目前该FTP服务器仍处于在线,且每一秒钟都会有新的被盗数据上传。这足以表明,这起黑客活动目前仍在继续。
