中文版 Global
首页 > 安全资讯 > 正文

‘暗云’窃取登录凭证,积极扩张僵尸网络

  • 2019-01-31 19:43:40

360安全大脑近期发现,最新的"暗云"木马变种新增窃取用户登录凭证的功能模块,在感染用户机器后,利用系统Windows Management Instrumentation(WMI)和powershell实现"无文件"执行恶意代码,最终将免杀的Mimikatz加载到内存中执行,转储用户的登录凭证,并将登录凭证与其他敏感数据一并上传到木马作者的FTP服务器上。

"暗云"木马的架构灵活,拓展性极强,此前就拦截到其锁首,挖矿,暗刷等病毒模块。 并于2018年11月集成MyKings僵尸网络的病毒模块,意在扩张"暗云"僵尸网络的感染规模。而此次更新病毒模块的目的也就越加明显,我们猜测,病毒作者是想通过窃取系统的登录凭证,控制更多的"肉鸡",横向扩张僵尸网络的规模,准备下一次更大规模的网络攻击。

下面关于"暗云"最新变种的技术分析。

技术分析

最新的"暗云"木马样本会被伪装成正常软件的升级程序,部分样本还携带伪造的数字签名证书,样本属性如下:

‘暗云’窃取登录凭证,积极扩张僵尸网络


样本在运行后会修改磁盘的主引导分区(MBR),修改后的数据如下图所示:

‘暗云’窃取登录凭证,积极扩张僵尸网络


当系统再次启动时,病毒代码从MBR开始执行至应用层(下图中红色分割线以上),此过程与"暗云4"并无太大变化,详情请参考:"暗云涌动",病毒集结新更顽固MyKings僵尸网络。

‘暗云’窃取登录凭证,积极扩张僵尸网络


最新的暗云样本在c3.bat中新增如下内容,新建的消费者"fuckyoumm4"会下载并执行远程powershell脚本http[:]//173.208.139[.]170/s.txt,s.txt再远程执行http[:]//173.208.139[.]170/up.txt:

‘暗云’窃取登录凭证,积极扩张僵尸网络


up.txt是窃取登录凭证的主控脚本,首先通过powershell和在线ip查询接口获取受害者机器的内网ip和公网ip地址,然后通过WMI接口查询当前系统中正在运行的进程信息(进程路径和命令行),操作系统版本,物理内存,CPU等信息:

‘暗云’窃取登录凭证,积极扩张僵尸网络


然后下载执行Invoke-Mimikatz.ps1,抓取用户登录凭证:

‘暗云’窃取登录凭证,积极扩张僵尸网络


Invoke-Mimikatz.ps1含有如下注释,标明该脚本是使用Invoke-ReflectivePEInjection将经过免杀处理的Mimiktz可执行文件加载到内存中执行。

‘暗云’窃取登录凭证,积极扩张僵尸网络


脚本中携带的经过免杀处理的Mimikatz可执行文件:

‘暗云’窃取登录凭证,积极扩张僵尸网络


Mimikatz可以转储lsass.exe进程内存中的用户登录凭证:

‘暗云’窃取登录凭证,积极扩张僵尸网络


之后将收集到的敏感数据都保存到%temp%目录下以"公网ip_内网ip_系统版本_CPU占用率.txt"命名的文件中:

‘暗云’窃取登录凭证,积极扩张僵尸网络


该txt文件内容如下:

‘暗云’窃取登录凭证,积极扩张僵尸网络


最后将保存敏感信息的文件上传到ftp服务器:


暗云上传文件的ftp服务器文件目录,如下图所示:

‘暗云’窃取登录凭证,积极扩张僵尸网络


查杀建议

"暗云"的最新变种除了感染磁盘的主引导分区之外,还会通过WMI和powershell实现"无文件"加载窃取凭证的病毒模块,盗取用户的登录账号和密码,中毒用户请及时修改密码。

此外,360安全卫士可以检测和查杀引导区,WMI等位置的顽固病毒木马,建议广大用户安装使用:

‘暗云’窃取登录凭证,积极扩张僵尸网络


MD5:

bc7fc83ce9762eb97dc28ed1b79a0a10



360安全卫士

热点排行

用户
反馈 返回
顶部