1181和CVE?(计算机挖矿病毒是怎么样通过PowerShell脚本作为载体进行传播的呢?)
本文由世外云(www.shiwaiyun.com)小编为大家整理,本文主要介绍了rce漏洞挖掘思路的相关知识,希望对你有一定的参考价值和帮助,记得关注和收藏网址哦!
1181和CVE?
在 2019年8月的补丁星期二活动日,发布了Windows 10的累积更新。同时,微软还修复了远程桌面服务组件中存在的两个漏洞,微软认为是 "蠕虫 "。与两年前的WannaCry攻击类似,它在没有用户任何输入的情况下,在网络上的计算机之间传播恶意软件,因此这些补丁非常重要。
CVE-2019-1181和CVE-2019-1182利用了与今年5月发布的Bluekeep相同的漏洞,建议用户尽快修复。Windows SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows Server 2012 R2和所有版本的Windows 10(包括服务器变体)都会受到此漏洞的影响。只有旧版本的Windows(如Windows XP、Windows Server 2003和Windows Server 2008)不受此漏洞的影响。
尽管它们使远程桌面服务(RDS)易受攻击,但它们不会影响远程桌面协议(RDP)本身。为了缓解这两个漏洞,微软建议那些启用了网络级身份验证(NLA)的人可以部分防御这些漏洞:
在启用了网络级身份验证(NLA)的受影响系统上执行了部分缓解。安装此修补程序后, "蠕虫 "由该漏洞导致的恶意软件或高级恶意软件威胁可以得到缓解,因为NLA需要在触发该漏洞之前进行身份验证。如果攻击者拥有可用于成功身份验证的有效凭据,受影响的系统仍然容易受到远程代码执行(RCE)的攻击。
建议Microsoft立即安装该修补程序,该修补程序可以从Microsoft安全更新指南中下载。微软指出,这些漏洞是由该公司发现的。;作为加强RDS安全性的尝试的一部分。微软还指出,它没有证据表明这些漏洞被任何恶意行为者利用。
计算机挖矿病毒是怎么样通过PowerShell脚本作为载体进行传播的呢?
序言近日,金山毒霸实验室截获了一个以PowerShell脚本为载体传播的挖矿病毒。它拉下多个脚本来完成一次攻击,并使用 "永恒的蓝色 "漏洞和WMIExec渗透工具来自动传播它。与此同时,所有有效载荷都被写入WMI的无文件驻留。
这个样本目前还比较活跃,同时还有其他品种。详细分析见正文。
文本父脚本
下面这个抓取的样本也是唯一的BAT脚本,在功能上是比较常见的PowerShe。Ll下拉菜单来执行脚本。确定WMI的命名空间中是否有名为的,如果没有,则连接下拉脚本。
提供病毒下载的服务器
其中,
Info.vbs带有采矿程序的vbs脚本,该脚本将被写入WMI本身。
3.info3.ps1携带x86平台挖掘和攻击脚本。
6.info6.ps1携带x64平台挖掘和攻击脚本。
攻击演示图
info6.ps1的主脚本
严重的混乱
Info6.ps1是一个高度混乱的powershell脚本。整体代码只有两行,但是大小是3.9M,真的是 "短小精悍 "。
经过两次对脚本的消歧和排序,最终得到清晰的内容。下面是对其执行过程和相关模块的分析。
执行过程
1.初始化数据
每个变量的数据都是通过拆分$fa得到的,实际上是base64编码。
这些数据会存储在,的管理类是WMI,实际上最后存储在WMI,也就是没有文件。
取值时,可以通过以下
2.法官x64
大多数机器都是x64的,但是有些x86用户需要兼容。实际功能代码与info6.ps1相同
3.破译密码
由于fun里有WMIExec和MS17010的攻击包,而且有些是辅助功能,这里先介绍一下。请往下看里面是什么。
4.释放运行时dll
挖掘程序需要这些dll,所以让 让我们早点放了他们。
5.删除其他WMI
6.写你自己的WMI
FilterName和ConsumerName分别是,而 "剧本 "函数每5600s执行一次,base64编码的脚本内容通过powershell导入。
7.调养和动手!
由于父bat脚本是由ms17010 shellcode写入temp路径的,所以原来的名字是y1.bat,是通过写调度任务启动的,所以这里需要删除这个调度任务,清理这个bat脚本。之后,查看哪些powershell进程访问端口80。由于样本携带的所有挖掘程序都访问端口80,所以我们也可以判断我们是否启动了自己的挖掘程序。如果我们不这样做。;t我们需要执行一次。当然,为了保证工作环境的整洁,我们需要杀死其他涉嫌挖矿的powershell进程。通过判断典型挖掘程序的333,555端口访问,
8.攻击扩散!
为了保证采矿效率,有必要抓一些 "矿工 ",因为他们不会得到报酬,所以没有人愿意白干。这里需要请WMIExec和MS17010协调。
通过枚举网段IP进行攻击,因为WMIExec被赋予了生命。line参数传递错误,导致这次攻击彻底作废。然后MS17010只好通过调用C#实现的接口和函数来攻击。
模块分析
如上所述,本示例中使用了WMIExec和MS17010攻击包。这些东西是什么,怎么介绍的?这一点在本节中也有解释。
WMIExec
代码来自Invoke-TheHash项目,这是一个基于。Net TCPClient,它通过将NTLM哈希传递给NTLMv2身份验证协议来进行身份验证。它不 不需要本地管理员 的权限,以及门户
示例作者封装了一个test-ip函数,其参数2和4是由mimikatz捕获的本地用户散列,参数1和3分别是目标ip和回调web服务器。WMIExec执行的函数是写一个VBS下载,下拉一个VBS脚本,下拉info6.ps1 (32位info3.ps1)。
MS17010
虽然这个漏洞看起来有点 "过时 "目前,它毕竟也是RCE!
作者介绍了scanning和exp模块、scanning模块和源代码,以便在powershell运行期间动态编译C#编译器。捕获的命令行如下所示
Exp模块,已经打包完整,还没找到开源代码。
Shellcode,执行以下命令
攻击的截图如下,
运行
PowerShell中样本作者携带的挖掘程序将通过反射加载启动,可以通过下面的代码模拟。
(门罗毕)挖掘程序执行后,界面如下
Info.vbs脚本
上面提到的info6.ps1及其相关辅助模块。同时提到WMIExec攻击成功后,会拉下一个info.vbs脚本。但是由于传入参数的问题,这个脚本不会被拉下来。这里 这是一个简要的分析。vbs脚本还存在混乱。提取排序后,如下,先将另一个编码的挖掘程序写入WMI并保存,使用时通过调用Writ:欢迎你关注,转发,喜欢,转发,收藏。
