新的密码劫持僵尸网络使用SMB漏洞向Windows系统传播

7月24日早间消息：据外媒报导，一种新的加密劫持僵尸网络正在通过多种方法在受损害的网络中传播，这些方法包括ExternalBlue对Windows Server消息块(SMB)通信协议的利用。

攻击者的目标是挖掘Monero(XMR)加密货币，并奴役尽可能多的系统，以获得更高的利润。

复杂战役

思科塔罗斯公司的研究人员将这款新的僵尸网络命名为Prometei，并确定这位演员自3月份以来一直活跃。他们将这些攻击标记为依赖多模块恶意软件的复杂战役。

要跳到网络上的计算机上，演员结合了诸如psexec和wmi、smb漏洞和被盗凭据等非本地生活二进制文件(Lolbins)。

总之，研究人员统计了Prometei攻击中的15个以上组件，这些组件都由主模块管理，在通过HTTP将数据发送到命令和控制(C2)服务器之前对(RC4)数据进行加密。

Prometei除了致力于在整个环境中传播外，还试图恢复管理员密码。发现的密码被发送到C2，然后被试图使用smb和rdp协议在其他系统上验证密码有效性的其他模块重用。“

通过跟踪僵尸网络的活动，研究人员注意到它的模块分为两大类：与采矿相关的操作(丢弃矿工，在网络上传播)和使用smb和rdp的强制登录。

Cisco Talos恶意软件研究人员Vanja Svajcer说，虽然这些模块的不同功能和编程语言(C++和.NET)可能表明另一方正在利用这个僵尸网络，但更有可能是由单个参与者控制所有这些模块。

Prometei正在使用修改过的MimiKatz(miwal.exe)版本窃取密码。这些传递到spReader模块(rdpclip.exe)，用于SMB会话上的解析和身份验证。

如果凭据失败，扩展器将启动ExternalBlue漏洞的一个变体，用于分发和启动主模块(svchost.exe)。Svajcer说僵尸网络的作者也知道SMBGhost漏洞虽然他没有找到利用剥削的证据。

在受损系统上交付的最后一个有效载荷是SearchIndexer.exe，它是XMRig开源Monero挖掘软件的5.5.3版本。

回避与反分析

Prometei不同于大多数采矿僵尸网络。它除了按攻击目的组织工具外，还具有反检测和分析规避属性的特点。

它的作者添加了早期版本的机器人混淆层，在后来的变体中变得更加复杂。主模块以不同的名称(“xsvc.exe”、“zsvc.exe”)在网络上传播，并使用依赖于外部文件正确解压缩的不同的Packer。

除了使人工分析更加困难外，这种反分析技术还避免了动态自动分析系统中的检测。

此外，Prometei还可以使用TOR或I2P代理与C2服务器通信，以获取指令并发送窃取的数据。

研究人员说，主模块也可以作为远程访问木马加倍，尽管主要功能是Monero挖掘和可能窃取比特币钱包。

Prometei受害者位于美国、巴西、巴基斯坦、中国、墨西哥和智利。在四个月内，他们挣到的威胁演员不到5000美元，平均每月1250美元。

基于在整个网络和模块中使用的方法，Svajcer认为，Prometei背后可能是一位来自东欧的专业开发人员。