首页  部门简介  工作动态  规章制度  服务指南  技术交流  政策法规  网络安全  下载专区 
文章内容页
当前位置: 首页>>网络安全>>正文
利用CVE-2019-2725漏洞和证书混淆传播的挖矿病毒预警
2019-07-09 11:20  

近日,亚信安全截获新型挖矿病毒,该病毒利用了Oracle WebLogic Server的反序列化漏洞(CVE-2019-2725)进行传播,该漏洞曾经用于传播Sodinokibi勒索病毒。除了漏洞利用外,该病毒还使用了新型传播手段,将恶意代码隐藏在证书里,达到躲避杀毒软件检测的目的。亚信安全将该病毒命名为Coinminer.Win32.MALXMR.TIAOODCJ。

攻击流程

详细分析

病毒感染系统后,首先利用CVE-2019-2725漏洞执行如下命令

上述命令主要是利用PowerShell执行一系列恶意行为:

1、从远端C&C服务器下载证书文件cert.cer,并将该文件保存在%APPDATA%目录下(亚信安全将其命名为Coinminer.Win32.MALXMR.TIAOODCJ.component);

2、使用管理Windows中的证书组件CertUtil来解码文件,并将解码的文件保存为%APPDATA%\ update.ps1(亚信安全将其命名为Trojan.PS1.MALXMR.MPA);

3、使用PowerShell执行update.ps1文件后,其会通过CMD命令删除下载的cert.cer文件。

当我们下载该证书时,发现其看起来像一个普通的PEM格式证书,如下图所示:

然而我们使用base64解码该内容时发现,该证书并不是常用的X.509 TLS文件格式,而是PowerShell命令,如下图所示:

证书文件中的PowerShell命令会下载另外PowerShell脚本,并在内存中执行,该脚本主要功能也是下载并执行文件,其下载文件列表如下:文件详细信息Sysupdate.exeMonero挖矿Config.json配置文件Networkservice.exeWebLogic漏洞利用文件Update.ps1内存中的PS脚本Sysguard.exe以服务的方式监控挖矿程序Clean.bat删除组件该病毒将包含已解码证书文件的update.ps1文件替换为新的update.ps1。然后创建一个计划任务,每30分钟执行一次新的update.ps1。解决方案

  • 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务);

  • 尽量关闭不必要的文件共享;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 及时更新系统,更新应用程序;打全系统及应用程序补丁程序;

  • 升级WebLogic Server版本,打上CVE-2019-2725对应的补丁程序,参考链接:

    https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html

亚信安全解决方案

  • 亚信安全病毒码版本15.163.60 ,云病毒码版本15.163.71,全球码版本15.165.00已经可以检测,请用户及时升级病毒码版本。

  • 亚信安全DS DPI开启以下规则拦截该漏洞:

    1009707-Oracle Weblogic Server Remote Code Execution Vulnerability (CVE-2019-2725)

  • 亚信安全深度发现设备TDA 检测规则如下:

    2903 HTTP_POSSIBLE_ORACLE_WEBLOGIC_EXPLOIT

IOCs

关闭窗口

福建广播电视大学信息化中心  版权所有