火绒安全-黑客通过RDP暴破远控电脑,并部署勒索和挖矿 四川 成都 科汇科技 IT服务商
摘要:
近期,火绒安全团队发现黑客正通过 RDP 暴破进行大规模网络攻击。一旦黑客攻击成功,其不仅可以远控用户电脑进行任意操作,还可以下发 Mallox 勒索和挖矿软件,并且这些软件都经过了多层混淆加密,进一步增加了杀毒软件的检测难度,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
黑客团伙对目标 MSSQL 数据库暴破成功后,会下发 Mallox 勒索软件和加密货币挖矿模块,这些模块都采用了多种编程语言和脚本进行封装和混淆,以规避杀毒软件的检测。随后,其还会部署 Remcos 木马,以完全控制受害者的计算机,窥探用户敏感信息,如密码、浏览器记录等。该病毒的执行流程,如下图所示:
火绒工程师通过对用户电脑登录日志的审查,发现了黑客进行暴破攻击的痕迹,如下图所示:
该黑客团伙通过 RDP 暴破成功后,下发的勒索和挖矿软件都经过了多层混淆加密,预计后续还会持续更新加密手段。火绒工程师建议用户,可以使用强密码、启用多因素身份验证和限制远程桌面协议的访问权限等方法防御 RDP攻击。如果您是企业环境,建议部署火绒企业版,通过暴破攻击防护、终端动态认证等功能进行防护。
注:“Remcos”是一款在售卖的远控软件, 常被黑客用来进行各种恶意攻击。
一样本分析,后门模块
当黑客成功对目标MSSQL数据库进行暴破后,会通过执行CMD命令来下载、执行后门模块来控制受害者电脑,相关CMD命令,如下图所示:
模块2R186ED5.exe是最外层的壳,该模块启动后会释放Qsetup脚本引擎到temp目录中并执行相应脚本,火绒剑监控到的行为,如下图所示:
Qsetup脚本内容,如下图所示:
Qsetup脚本会释放Autoit脚本引擎相关文件到temp目录下并通过CMD执行脚本文件,火绒剑监控到的行为,如下图所示:
脚本文件进行了简单的混淆,执行后会释放Autoit引擎并执行Autoit脚本,脚本去混淆后的内容,如下图所示:
Autoit脚本被添加混淆来增加查杀难度,混淆手段有:命名随机化、字符串加密、控制流混淆等,如下图所示:
将其进行去混淆后进行分析,该脚本还具备多种对抗手段,如:检测杀毒引擎指纹、无用循环等手段,如下图所示:
经过多层的混淆和加密之后,最终将Remcos木马注入进ftp.exe进程中,如下图所示:
通过查看字符串可以发现,该Remcos的版本号为:4.0.1,关键字符串信息,如下图所示:
Remcos是一款在售卖的远控软件, 常被黑客用来进行各种恶意攻击,官网信息(翻译后),如下图所示:
Remcos木马会将配置信息用RC4加密保存在资源中,将其解密后的数据,可以得到C&C服务器地址为:80.66.75.41,如下所示:
勒索模块
C&C服务器还会下发Mallox勒索病毒,相关CMD命令,如下图所示:
被Mallox病毒勒索后,相关勒索信内容,如下图所示:
被勒索后,需要支付0.217比特币(目前大概33707人民币),相关暗网支付页面,如下图所示:
勒索模块被添加两层C#混淆器,第一层为tzt.exe运行后会从C&C服务器上下载第二层壳Adssculgnlnknqruoib,相关代码,如下图所示:
在第二层壳Adssculgnlnknqruoib中,会将勒索病毒利用傀儡进程注入进MSBuild.exe中来执行恶意代码,相关代码,如下图所示:
该Mallox变种较之前版本变化不大,功能基本一致,使用chacha20和Curve25519对文件进行加密,加密文件关键代码,如下图所示:
勒索病毒为了不影响系统的运行,会避开一些系统文件以及文件夹,不加密的文件后缀列表,如下图所示:
不加密的文件夹列表,如下图所示:
挖矿模块
C&C服务器还会下发挖矿模块,相关CMD命令,如下图所示:
恶意模块TR1355CG.exe运行以后,会释放挖矿程序XmRig到TEMP目录下并运行,火绒剑监控到的行为,如下图所示:
根据XMRig的运行参数可知,矿池地址:xmr.2miners.com:2222,XMRig运行参数,如下图所示:
公司:北京火绒网络科技有限公司,火绒安全软件企业版,火绒终端系统
火绒安全,火绒,火绒安全软件,火绒官网,火绒杀毒软件怎么样,
火绒企业版怎么收费,火绒企业管理员密码,火绒企业版监控员工电脑,
火绒企业版收费标准,火绒企业版价格,火绒企业版与个人版有何不同,
火绒企业版卸载要密码,火绒,火绒安全、EDR V1.0, ,火绒安全防护
服务区域:
云南火绒,昆明火绒 ,贵州火绒,四川火绒,重庆火绒 ,西藏火绒,拉萨火绒,
产品:火绒安全卫士(专业版)软件 ,火绒终端安全管理系统v2.0,火绒安全终端安全管理系统2.0版,火绒终端安全管理系统V1.0,火绒终端安全管理系统,火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,火绒终端企业版Linux版,火绒终端企业版macOS版。火绒企业版收费标准,火绒企业版, 火绒企业版监控员工电脑,火绒企业版和个人版区别, 火绒企业版价格,火绒企业版多少钱,火绒企业版多少钱一年,火绒信息安全软件 linux PC V2.0终端安全管理系统网络版,huorong endpoint security management system2.0
火绒终端防病毒系统,火绒安全 火绒终端安全管理系统V2.0 Windows杀毒软件 ,火绒终端安全管理系统( Linux版),火绒安全终端安全管理系统V2.0Linux版,信息安全软件 火绒 windows PC 三年续费版(10用户起订),火绒安全 终端安全管理系统V2.0Linux版 安全软件,火绒专杀工具(企业版),火绒安全 火绒终端安全管理系统2.0(旗舰版),火绒企业网络版杀毒软件升级,火绒企业网络版杀毒软件升级,火绒杀毒企业版多少钱
功能:实现终端安全系统的集中管理、策略配置、报表查看等功能。50个Windows客户端全功能版授权许可,
病毒防御:病毒查杀,防病毒终端软件:网络版杀毒软件,服务器杀毒软件,Linux服务器杀毒软件,防病毒软件EDR、杀毒软件(反病毒引擎、多层次主动防御系统、病毒防御、系统防御、网络防御、设备控制等,网络版杀毒软件 1套,终端安全控制系统,EDR终端安全管理,外网电脑杀毒软件,勒索病毒诱捕,文件实时监控,恶意行为监控,U盘保护,下载保护,邮件监控,web扫描。反病毒引擎供应商。定时全网扫描,
漏洞管理:(漏洞修复)补丁分发,补丁修复,漏洞攻击拦截、攻击溯源,支持漏洞集中修复,补丁文件管理,按终端修复,下发漏洞修复。横向渗透防护,
移动存储管理功能:安全U盘,U盘管控,U盘注册、U盘信任,USB无线网卡、USB有限网卡、打印机、光驱、蓝牙设备、便携设备等
终端管控:
外设管控,
系统防御:系统加固,应用加固,软件安装拦截,摄像头防护,浏览器保护
应用软件管理:企业软件管家,软件捆绑安装拦截,软件安装拦截,
网络防御:横向渗透防护,网络入侵拦截、对外攻击拦截、僵尸网络防护、爆破攻击防护、远程登录防护、web服务保护、 Web 威胁,恶意网址拦截,动态恶意软件检测,无文件恶意软件,终端动态认证,邮件监控,文件实时监控,网络入侵防护。恶意行为监控,勒索病毒诱捕。
访问控制:IP协议控制、IP黑名单、联网控制、网站内容控制、程序执行控制、设备控制,下发IP访问限制,安全软件自我保护,密码保护。
应用加固:web服务器、数据库、办公软件、文档阅读器、浏览器、设计软件,系统加固
资产管理:资产管理、边界管理、软件管理、系统管理、硬件管理、XP防护盾、流量管控、,终端审计、edr功能,远程桌面,预防勒索病毒,拦截恶意攻击等功能。清点硬件资产,
日志报告:
中心管理:
服务端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016
客户端支持系统:Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2016、Windows Server 2019等Windows操作系统以及UOS、深度Linux、中标麒麟、红旗linux、CentOS、Ubuntu等Linux操作系统
品类:终端安全:终端安全防护,终端安全软件,企业级杀毒, 终端安全防护软件授权,网络终端安全管理项目,终端设备防护,终端安全管理设备,终端安全专项保障,终端安全管理平台,终端安全管理系统,终端安全管理平台升级及维保项目,终端安全运营平台,终端安全管理系统升级,终端安全防护,终端安全防护扩容服务,终端安全管理平台,终端安全管理系统,端点保护市场,edr运营体系, 终端防户能力,全网管控,电脑终端防护需终端安全管理windows版求。xdr,edr,信息安全软件 火绒 windows PC 版(10用户起订),火绒安全 终端管理系统Windows V2.0,
杀毒软件:
信息安全软件 ,企业杀毒软件,网络安全病毒防治与安全加固服务项目,火绒杀毒软件,火绒杀毒,网络版防病毒软件
成都科汇科技有限公司( 终端安全 软件 解决方案商 )
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
手机:180 8195 0517(微信同号)
