政企机构用户注意!蠕虫病毒Prometei正在针对局域网横向渗透传播

兄弟姐妹们在线求帮请说下,政企机构用户注意!蠕虫病毒Prometei正在针对局域网横向渗透传播
最新回答
远方小镇

2024-09-27 05:25:13

火绒安全实验室近日监测到蠕虫病毒“Prometei”正在全网传播,该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并可跨平台传播。

火绒安全提醒广大用户,尤其是企业、政府部门、学校、医院等拥有大型局域网机构,及时做好排查与防护工作。

病毒入侵终端后,会通过远程服务器接收并执行病毒作者下发的各类指令,包括挖矿、更新病毒模块等恶意行为。

该病毒在入侵终端后,还可以根据病毒作者下发的后门指令,对同一网段下的其它终端进行横向渗透攻击。

蠕虫病毒特点为不断复制自身,且可携带其它病毒模块,并“擅长”通过漏洞攻击或者横向渗透进行传播。

火绒安全也不断升级查杀和防护技术,从而有效阻止蠕虫病毒在局域网肆意传播的现象。

以下为本文所述蠕虫病毒“Prometei”详细分析与样本hash。

主模块在横向传播的过程中名为:zsvc.exe,使用UPX壳进行压缩。

该病毒模块具有挖矿、下载文件、持久化、执行任意命令行、扩展模块、削弱系统安全性等恶意行为。

该病毒可以通过匿名通讯协议与C&C服务器进行通讯,如Tor(洋葱路由器),从而增强了实际C&C服务器的隐蔽性。

Windows病毒样本支持的后门指令,如下图所示:

该病毒模块可以根据不同命令行参数执行对应功能,具体功能模式,如下图所示:

较为典型的后门功能指令代码

调用CreateProcess函数执行程序,相关代码,如下图所示:

从服务器下载更新主模块,相关代码,如下图所示:

根据URL下载文件,相关代码,如下图所示:

通过执行命令行的方式下载其他模块

病毒接收到后门指令后,会通过命令行执行PowerShell脚本,下载、解压含有恶意文件的压缩包。

压缩包内容,如下图所示:

执行install.cmd,更新现有模块,并且执行rdpcIip横向传播模块。

RdpCIip横向传播模块会对局域网内所有的机器进行扫描,如:SMB、Redis、RPC、RDP、Apache、SSH、SQL Server、PostgreSQL服务端口。

病毒会对局域网内存在SMB、WMI、SQLServer、PostgreSQL服务的机器进行暴破攻击。

病毒暴破所使用的密码字典内容包括:miwalk模块(Mimikatz)获取的系统登录凭证、病毒镜像中的弱口令字典和根据目标主机名动态生成一组字典。

调用miwalk模块(Mimikatz)获取系统登录凭证,保存在ssldata2.dll中。

该病毒镜像中包含的弱口令字典,如下图所示:

根据目标主机名动态生成的登录信息字典,如下图所示:

根据登录信息字典暴破WMI,通过WMI远程执行CMD指令进行横向传播。

把生成的字典加密写入到.cpass文件中,调用windrlver模块对SSH进行暴破攻击、横向传播。

该模块的主要目的是根据提供的登录信息字典对目标SSH进行暴破攻击、横向传播。

前面的步骤和SSH暴破传播相同,最后调用nethelper模块。

该模块的主要目的是根据提供的字典对目标SQL Server和PostgreSQL数据库进行暴破攻击、横向传播。

连接数据库代码,如下图所示:

调用PowerShell指令在目标终端下载主模块。

根据不同的操作系统在目标中下载不同的主模块,Windows系统使用PowerShell指令下载模块。

类Unix系统病毒样本暂时仅发现SMB、SSH、Redis漏洞攻击和暴破攻击,且代码逻辑部分和Windows相同。

样本hash: