www.cnbeta.com.tw
Open in
urlscan Pro
2a06:98c1:3120::3
Public Scan
URL:
https://www.cnbeta.com.tw/articles/tech/814605.htm
Submission: On May 09 via manual from SG — Scanned from NL
Submission: On May 09 via manual from SG — Scanned from NL
Form analysis 0 forms found in the DOM
Text Content
CNBETA.COM_中文业界资讯站
首页
影视音乐游戏动漫趣闻
科学
软件
主题硬件AppleGoogleiPhone科学探索人物手机游戏视点·观察阿里云微软通信技术Android软件和应用SONY 索尼the United
States美国Apple iPadWindows PhoneIntel英特尔腾讯HTC安全Mozilla FireFox小米科技百度通信运营商媒体播放器 /
视频网站BlackBerry 黑莓网络应用 / Web AppsGoogle ChromeMicrosoft XBOX硬件 - 上网本 / 平板电脑 /
超极本电子商务 - B2C / B2BLenovo 联想LGYahoo! 雅虎AMDSNS 社交网络诺基亚Windows 7Huawei
华为中国移动中国联通中国电信更多...
排行
搜索
蠕虫病毒"ROSEKERNEL"迅速蔓延 政企单位网络易被攻击
2019年01月31日 21:17 3647 次阅读 稿源:火绒安全 0 条评论
感谢火绒安全的投递
近期,火绒安全团队截获蠕虫病毒"RoseKernel"。该病毒可通过远程暴力破解密码等多种手段全网传播。病毒入侵电脑后,会同时执行"挖矿"(门罗币)、破坏Windows签名校验机制、传播后门病毒等系列恶意行为。
一、 概述
由于病毒会对同一网段的终端同时暴力破解密码,对局域网等机构用户(政府、企业、学校、医院)危害极大,截至到发稿前,已有数万台电脑被感染。目前"火绒产品(个人版、企业版)"最新版即可查杀该病毒。
该蠕虫病毒通过移动外设(U盘等)、劫持Office快捷方式传播、远程暴力破解密码三类方式进行传播:
1、通过外设传播时,病毒会将外设内的原有文件隐藏,并创建一个与隐藏文件完全相同的快捷方式,诱导用户点击后,病毒会立即运行;
2、通过劫持Office快捷方式传播后,病毒会劫持Word和Excel快捷方式,让用户新建的文档带有病毒代码。当用户将这些文档发送给其他用户时,病毒也随之传播出去;
3、通过远程暴力破解密码传播。病毒入侵电脑后,还会对其同一个网段下的所有终端同时暴力破解密码,继续传播病毒。
由于病毒通过文档、外设等企业常用办公工具传播,加上病毒入侵电脑后会对其同一个网段下的所有终端同时暴力破解密码,因此政府、企业、学校、医院等局域网机构面临的威胁最大。
病毒入侵电脑后,会窃取数字货币钱包,还会利用本地计算资源进行"挖矿"(门罗币),并结束其它挖矿程序,以让自己独占计算机资源,使"挖矿"利益最大化。此外,病毒会破坏Windows签名校验机制,致使无效的签名验证通过,迷惑用户,提高病毒自身的隐蔽性。"RoseKernel"病毒还带有后门功能,病毒团伙可通过远程服务器随时修改恶意代码,不排除未来下发其它病毒模块到本地执行。
建议受威胁较大的机构用户尽快使用"火绒企业版"(可免费试用3个月)进行全盘扫描,检查企业内终端是否受到病毒攻击。
二、 样本分析
火绒近期截获到一组蠕虫病毒样本,该病毒通过暴力破解方式远程创建WMI脚本,病毒中含有远控功能,可以下发任意模块到本地执行,目前危害有:窃取数字货币钱包,利用本地计算资源进行挖矿(门罗币),不排除未来下发其他病毒模块到本地执行的可能性。病毒模块及功能,如下图所示:
模块介绍
在这里将该病毒分为rknrl.vbs模块和DM6331.TMP 模块来分别叙述。
rknrl.vbs模块
rknrl.vbs可以看做是一个加载器,DM6331.TMP是经过加密的VBS代码,它会读取DM6331.TMP后执行,经过解密后DM6331.TMP是病毒的主要功能模块,该模块功能会在后边详细叙述。如图所示,解密后的"aB"函数是病毒的主要解密函数,大部分被加密的字符串都会使用该函数进行解密,后文不再赘述。在这里病毒作者将加载器和被加密的病毒代码分为2个文件目的是为了躲避杀软的特征查杀。解密流程,如下图所示:
代码解密
DM6331.TMP模块
DM6331.TMP模块是该病毒的主要模块,由于功能较多,将会分成9个部分介绍:后门代码、组件升级、隐藏挖矿、盗窃数字货币钱包、签名重用攻击、结束其他挖矿程序、劫持Office组件快捷方式、U盘感染、远程暴力破解创建WMI脚本。
后门代码
首先调用"Getini"函数获取一个可用的C&C
服务器地址,该网站内包含:病毒和挖矿程序的下载地址、矿池钱包地址、还有远控C&C服务器地址。在获取网站内容后它会调用"chkorder"执行远控命令。"chkorder"函数包含下载、上传、删除任意文件,当前脚本环境中执行任意vbs代码,启动cmd并获取回显,获取进程列表信息,结束任意进程等功能。相关代码,如下图所示:
获取远控地址
远程后门指令
远控功能代码
组件升级
DM6331.TMP
模块会在WMI中注册名为"rknrlmon"的脚本,该脚本每间隔8秒会启动执行一次,用来获取C&C服务器远控指令,获取的内容经过解析后用作病毒和挖矿程序升级使用。相关代码,如下图所示:
版本升级
隐藏挖矿
"rknrlmon"脚本还会查看当前环境中是否存在任务管理器,如果存在,则结束挖矿程序,反之执行,从而可以提高病毒的隐蔽性。相关代码,如下图所示:
隐藏挖矿程序
盗窃数字货币钱包
DM6331.TMP
中的病毒代码在执行后会遍历受害者磁盘目录,用来偷取数字货币钱包,感染用户网站首页文件,但是会绕过系统目录和360目录。在遍历目录时发现文件夹下的文件名中包含"wallet"、"electrum"、".keys关键字,且文件大小小于183600个字节,则会将所对应的文件上传。如果发现文件名中包含"default.html"、"index.asp"等与网站默认页面相关的文件名时,会在页面中插入带有病毒代码的JavaScript脚本标签,经过解密后的JavaScript代码内包含一个指向病毒C&C服务器的链接,该链接目前已无法访问,被感染的网页文件内会被添加"//v|v\\"字符串,作为被感染的标记。相关代码,如下图所示:
遍历用户目录
窃取数字货币和感染网站首页
签名重用攻击
该病毒通过更改Windows 注册表方式,破坏Windows签名校验机制,从而使其无效的"Microsoft
Windows"数字签名验证通过。相关代码,如下图所示:
破坏Windows签名校验机制
感染病毒前后文件数字签名信息,如下图所示:
感染前后病毒文件数字签名信息
结束其他挖矿程序
在启动挖矿程序后,还会通过WMI遍历当前进程列表,如果存在"xmrig"、"xmrig-amd"等含有矿工名称的进程时会结束对应进程。目的是为了独占计算机资源进行挖矿,扩大挖矿收益。相关代码,如下图所示:
结束其他挖矿程序
劫持Office快捷方式
DM6331.TMP
在执行后会将带有宏的Word文档(rknrl.TMP1)和Excel文档(rknrl.TMP2)拷贝到Office目录下,然后遍历桌面目录,在Word与Excel办公软件的快捷方式添加命令行参数。相关代码,如下所示:
劫持Word和Excel快捷方式
被篡改后的快捷方式参数及其解释,如下图所示:
当启动被劫持的快捷方式后,会调用带有病毒代码的文档文件,病毒代码运行后会在Temp目录下释放rknrl.vbs和DM6331.TMP并注册病毒WMI脚本。因为启动参数为基于病毒文档打开,所以当用户将新建的文档保存后,文档中也会带有病毒代码,如果用户将带有病毒代码的文档发送给其他用户,就会帮助病毒进行传播。病毒宏代码,如下图所示:
释放病毒
U盘传播
该病毒会在移动存储设备中创建与根目录中文件夹名近乎相同的病毒快捷方式(如果该文件夹名长度不等于一,那么该病毒会删除原始文件名最后一个字符,然后以这个名字创建快捷方式),同时将真实的文件夹隐藏,诱导用户点击执行病毒。相关代码,如下图所示:
U盘传播代码
被感染的U盘
WMI弱口令暴力破解
该病毒还可以通过弱口令暴力破解方式远程创建WMI脚本进行传播,传播对象不仅限于局域网还会攻击互联网上存在的任意主机。首先会获取本地IP,之后对同一网段除广播地址外所有主机进行暴力破解攻击。之后病毒还会随机生成一个IP地址,通过同样的攻击方式进行外网传播。相关代码,如下图所示:
生成随机IP地址
WMI弱口令暴力破解
三、 附录
样本SHA256
阅读全文
新浪微博 QQ空间 QQ好友 微信
微信扫一扫:分享
微信里点“发现”,扫一下
二维码便可将本文分享至朋友圈。
豆瓣网 Facebook Twitter Linkedin
责任编辑:ugmbbc
对文章打分
蠕虫病毒"ROSEKERNEL"迅速蔓延 政企单位网络易被攻击
15 (100%)
0 (0%)
已有 0 条意见
* 登录
[退出]
评论功能已关闭
Zonnepaneel Experts
Nieuwe ontdekking over zonnepanelen zorgt voor prijsdoorbraakZonnepaneel
Experts|
SponsoredSponsored
Undo
Gewrichtssteun
Kniepijn na 50 jaar? Doe dit 2 keer per dag (Kijk)Gewrichtssteun|
SponsoredSponsored
Undo
Flexojoint
Mensen met heup- en kniepijn moeten dit wetenFlexojoint|
SponsoredSponsored
Undo
GoldenTree.nl
Het is de grootste fout die vrouwen maken bij gezichtsverzorging (en het maakt
de situatie erger)GoldenTree.nl|
SponsoredSponsored
Meer informatie
Undo
Slimming Gummies
Nederlandse gewichtsverlies uitvinding laat experts sprakeloosSlimming Gummies|
SponsoredSponsored
Undo
Purelever
Dokterstip: "Als je buikvet wilt verliezen, moet je dit orgaan
schoonmaken"Purelever|
SponsoredSponsored
Undo
Bino TT5
Maak geweldige foto's vanaf elke afstand!Bino TT5|
SponsoredSponsored
Undo
Overwaardeverzilveren.nl
Zo gebruikt u slim uw overwaarde in 2023Overwaardeverzilveren.nl|
SponsoredSponsored
Undo
ZE
45 plussers nemen deze vitamines om hun geheugen in stad te houdenZE|
SponsoredSponsored
Undo
Landelijk Energieloket
Energierekening flink omlaag door deze simpele truc.Landelijk Energieloket|
SponsoredSponsored
Klik hier
Undo
最新资讯
加载中...
今日最热
加载中...
相关文章
* 英国隐私保护机构:情绪分析技术可能是 "不成熟的和具有歧视性的"
* 3 小时前
* 配置错误的WINDOWS域服务器放大了DDOS攻击
* 17 小时前
* 澳大利亚医疗保险公司MEDIBANK承认390万用户信息泄露
* 6 天前
* 新研究显示戴口罩可以改变你的行为
* 2022-10-21 23:21
* 安全专家认为乌克兰仍可能面临网络攻击
* 2022-10-21 21:53
* 韩国:一场锂电池着火引发的“互联网大瘫痪”
* 2022-10-20 21:29
Zonnepaneel Experts
Nieuwe ontdekking over zonnepanelen zorgt voor prijsdoorbraakZonnepaneel Experts
Undo
by Taboolaby Taboola
Sponsored LinksSponsored Links
Promoted LinksPromoted Links
TOP 10
本周 本月
* 1
欧洲部分天然气价格一度跌到负值 发生了什么?
阅读 (2064) 评论 (0)
* 2
领克拍摄宣传片不慎撞落价值百万摄像设备 司机记9分罚1700元
阅读 (1859) 评论 (1)
* 3
GOOGLE CHROME 107今日发布:支持HEVC解码 尽管遭到MOZILLA反对
阅读 (1541) 评论 (0)
* 4iPadOS 16的Stage Manager功能因问题多发被骂爆
* 5女孩原名“招弟”决定改名引热议 全国同名有万人
* 6光刻胶“断供”风波再起 国产替代进程提速
* 7拼多多重新定义“假一赔十”? 描述与实物不符 客服称赔不了
* 8埃隆·马斯克出现在Twitter总部 抱着厨房水槽准备"排人"
* 9深度操作系统V23界面将引入“行云设计”(Flow Design)
* 10网友票选苹果有史以来最差的产品 蝴蝶键盘仅排第二
* 1
马斯克分享猎鹰9号火箭“死亡俯冲”的视频
阅读 (59973) 评论 (0)
* 2
用草根制作的衣服不仅是华丽的,而且是可堆肥的
阅读 (40686) 评论 (0)
* 3
美国佛州一女子加害亲姊妹:因其玩游戏时和男友互动过于亲密
阅读 (40145) 评论 (0)
* 4探险队在海洋深处发现可能有几百万年历史的巨齿鲨牙齿
* 5雷克萨斯,不能再害中国人了
* 6GeForce Now现在可以在Chrome浏览器中以1600p的分辨率串流游戏
* 7中国最高树木83.4米 相当于28层楼高:仍在健康生长
* 8iPadOS 16本月发布 但台前调度功能仍存在不少问题
* 9江西武宁发现恐龙蛋化石 距今约7000万年
* 10日本人,到底拆了多少中国车?
招聘
Gewrichtssteun
Kniepijn na 50 jaar? Doe dit 2 keer per dag (Kijk)Gewrichtssteun
Undo
by Taboolaby Taboola
Sponsored LinksSponsored Links
Promoted LinksPromoted Links
报道中出现的商标及图像版权属于其合法持有人,只供传递信息之用,非商务用途。互动交流时请遵守理性,宽容,换位思考的原则。
合作媒体与供稿人(部分)
* 驱动之家
* 生物360
* 威锋网
* 虎嗅网
* 中文摄影杂志
* 极客公园
* MacX
* IMCN
* 蓝点网
* 雷锋网
* 安卓中国
* 蜂鸟网
* 充电头网
* 科客
* N软网
* 开源中国
* 科普中国网
* 老殁
* 凤凰网科技
鸣谢合作伙伴提供部分节点: VeryCloud高防服务器香港服务器租用海波网络万达网络易迈云睿江云主机微子网络紫田网络
关于我们 广告招租 报告不适当内容
©2003-2022 cnBeta
Advertisment ad adsense googles cpro.baidu.com
created by ceallan
Zonnepaneel Experts
Nieuwe ontdekking over zonnepanelen zorgt voor prijsdoorbraakZonnepaneel
Experts|
SponsoredSponsored
Undo
iPhone X用户吐槽:镜头覆盖玻璃自行破损 - Apple iPhone -
cnBeta.COMiPhoneX后置镜头玻璃居然能够自己破碎,而且还是在很爱惜的情况,这到底是怎样的操作?据9to5Mac报道称,不少iPhoneX用户在苹果、Reddit论坛上反馈,自己的手机背后摄像头的玻璃出现了问题,在没有摔很爱惜的使用情况下,居然神奇破裂。
Undo