政企机构用户注意!蠕虫病毒Prometei正在针对局域网横向渗透传播
最新回答
远方小镇
2024-09-27 05:25:13
火绒安全提醒广大用户,尤其是企业、政府部门、学校、医院等拥有大型局域网机构,及时做好排查与防护工作。
病毒入侵终端后,会通过远程服务器接收并执行病毒作者下发的各类指令,包括挖矿、更新病毒模块等恶意行为。
该病毒在入侵终端后,还可以根据病毒作者下发的后门指令,对同一网段下的其它终端进行横向渗透攻击。
蠕虫病毒特点为不断复制自身,且可携带其它病毒模块,并“擅长”通过漏洞攻击或者横向渗透进行传播。
火绒安全也不断升级查杀和防护技术,从而有效阻止蠕虫病毒在局域网肆意传播的现象。
以下为本文所述蠕虫病毒“Prometei”详细分析与样本hash。
主模块在横向传播的过程中名为:zsvc.exe,使用UPX壳进行压缩。
该病毒模块具有挖矿、下载文件、持久化、执行任意命令行、扩展模块、削弱系统安全性等恶意行为。
该病毒可以通过匿名通讯协议与C&C服务器进行通讯,如Tor(洋葱路由器),从而增强了实际C&C服务器的隐蔽性。
Windows病毒样本支持的后门指令,如下图所示:
该病毒模块可以根据不同命令行参数执行对应功能,具体功能模式,如下图所示:
较为典型的后门功能指令代码
调用CreateProcess函数执行程序,相关代码,如下图所示:
从服务器下载更新主模块,相关代码,如下图所示:
根据URL下载文件,相关代码,如下图所示:
通过执行命令行的方式下载其他模块
病毒接收到后门指令后,会通过命令行执行PowerShell脚本,下载、解压含有恶意文件的压缩包。
压缩包内容,如下图所示:
执行install.cmd,更新现有模块,并且执行rdpcIip横向传播模块。
RdpCIip横向传播模块会对局域网内所有的机器进行扫描,如:SMB、Redis、RPC、RDP、Apache、SSH、SQL Server、PostgreSQL服务端口。
病毒会对局域网内存在SMB、WMI、SQLServer、PostgreSQL服务的机器进行暴破攻击。
病毒暴破所使用的密码字典内容包括:miwalk模块(Mimikatz)获取的系统登录凭证、病毒镜像中的弱口令字典和根据目标主机名动态生成一组字典。
调用miwalk模块(Mimikatz)获取系统登录凭证,保存在ssldata2.dll中。
该病毒镜像中包含的弱口令字典,如下图所示:
根据目标主机名动态生成的登录信息字典,如下图所示:
根据登录信息字典暴破WMI,通过WMI远程执行CMD指令进行横向传播。
把生成的字典加密写入到.cpass文件中,调用windrlver模块对SSH进行暴破攻击、横向传播。
该模块的主要目的是根据提供的登录信息字典对目标SSH进行暴破攻击、横向传播。
前面的步骤和SSH暴破传播相同,最后调用nethelper模块。
该模块的主要目的是根据提供的字典对目标SQL Server和PostgreSQL数据库进行暴破攻击、横向传播。
连接数据库代码,如下图所示:
调用PowerShell指令在目标终端下载主模块。
根据不同的操作系统在目标中下载不同的主模块,Windows系统使用PowerShell指令下载模块。
类Unix系统病毒样本暂时仅发现SMB、SSH、Redis漏洞攻击和暴破攻击,且代码逻辑部分和Windows相同。
样本hash:
热门标签
