查看原文
其他

威胁Xin解析 | 亚信安全抗击Mozi僵尸网络攻击纪实

你信任的 亚信安全 2022-08-17


Mozi僵尸网络攻击再现

突发 8月29日1时,亚信安全专家运维团队接到告警,用户内网环境的XDR日志中出现大量可疑流量。


定性 1时07分,亚信安全锁定用户内网一台设备,其流量命中P2P僵尸网络Mozi的流量特征,确定为Mozi僵尸网络攻击。


处置2时26分,亚信安全成功完成失陷主机的遏制,获取Mozi样本,对失陷主机进行病毒清除。


 

Mozi攻击事件复盘



2021年8月29号凌晨, 亚信安全UAP平台所收集的TDA告警日志反映,预设策略“Mozi Botnet DHT Config Sent”被命中


1时7分14秒,客户内网一台设备尝试外联,其流量命中P2P僵尸网络Mozi的流量特征。正在向182.124.24[.]231发送请求,等待C2 Server (Mozi Master)下发名为Config的有效载荷。

29日凌晨2时13分,排查临近bitorrent流量相近时间段告警,定位到该主机在该时段的相关可疑流量日志。其中包含多条FTP流量告警和一条TCP流量告警。发生在同一时间段的FTP可疑流量,其目的主机名皆为化名“user-pc”的内网设备。展开后的FTP告警详情显示,命中的策略描述同为“Unsuccessful logon - FTP”;判断攻击者尝试对主机进行暴力破解。

同一时间,内网设备“user-pc”尝试外联名为“163-172-206-67.rev.poneytelecom[.]eu”的设备,该TCP流量被规则命中,提示“Miner-TCP (REQUEST)”;亚信安全专家确定,攻击者尝试将失陷主机用于非法挖矿,以谋取直接利益。

2时23分,鉴于用户的内网设备安装有亚信安全EDR Agent,在SaaS管理端确认失陷主机内的agent仍处于在线状态后。亚信安全专家向失陷设备发送遏制指令,控制威胁的源头,防止病毒横向传播。 

2时26分,管理端显示失陷主机遏制成功;亚信安全专家通过EDR SaaS内置的调查分析功能进一步定位恶意软件;搜索失陷主机的过往进程记录,通过事件时间节点,找到相近时间戳下的进程。搜索结果如下,在29日1时07分,一个名为figure.scr的文件执行,触发了一系列操作。

提取EDR SaaS的进程树,更明晰的展现了该可执行文件的行为;从其释放的大量pyd文件,初步判断,该Mozi样本是一个由pyinstaller打包的可执行文件,位于%TEMP%\figure\路径下。

29日2时49分,亚信安全专家登录失陷主机,获取到figure.scr的Mozi样本;并对失陷主机进行病毒清除。


向下滑动查看所有内容



回顾攻击,Mozi的攻击者首先通过水坑攻击感染目标主机,并植入预设脚本,以定时下载并执行Mozi样本figure.scr;执行后,Mozi僵尸网络中的Bots开始对客户网络中可访问的FTP服务实施暴力破解;同时,失陷主机向C2 Server (Mozi Master) 发起请求,要求下发名为Config的有效载荷,获取Mozi恶意样本的下载地址,以达到将失陷主机囊括入僵尸网络的目的;此外,失陷主机执行挖矿指令,向矿池发送TCP请求。



病毒样本分析


计算样本的File ID后,在超洞察威胁威胁情报平台上查询该样本,发现该恶意文件被标注为Coinminer.Win32.MALXMR.TIAOODEL。



将现有样本投入沙箱,从释放的文件中挖掘出犯罪团伙的矿池地址,钱包信息和选用的矿机样本;根据威胁情报,所释放的可执行文件xmrig.exe (sha256: 4bf737b29ff521bc263eb1f2c1c5ea04b47470cccd1beae245d98def389929bd) 是一款开源门罗币矿机,犯罪分子意图将失陷设备连入矿池,执行挖矿操作,并把所得收益存入预设钱包。


 (矿池和钱包信息)

 

对比过往样本分析产生的流量,发现该样本流量中有明显的Mozi僵尸网络通信特征。流量对比如下所示:


(此次事件样本的udp通信流量)


(过往Mozi样本流量)

 

结合过往事件,Mozi传播过程中,目标主机将向僵尸网络请求下发Config文件,以获取恶意样本下载地址;Bots节点,对目标主机尝试暴力破解或漏洞利用,目的是从该Bot已知的地址下载恶意样本;在受感染设备上执行Mozi样本,使其加入P2P僵尸网络,并在C2 Server的命令下执行恶意行为。



僵尸网络攻击,“屡治不绝”的伤


亚信安全超洞察威胁情报团队指出,Mozi相对于前期版本,针对DDoS攻击和传播感染的效率都做出了增强;该更新具体体现在该僵尸网络实现了控制和业务节点的分离,这也促成其可以将实际业务从原有网络体系中解放出来,极大的提升了Mozi的功能弹性;甚至Mozi的开发者可以将俘获的基础设施租赁给其他犯罪团伙,而非初始阶段单纯借助僵尸网络发起DDoS攻击。


因此,一个僵尸攻击的阻截,不代表僵尸网络的停摆,面对“屡治不绝”的攻击,安全人员应该提高警惕,加强应对和预防的手段和措施:

➢ 多维度的检测手段实现对入侵僵尸网络木马的感知;

➢ 通过端点防护类产品遏制威胁进一步的传播;

➢ 通过EDR产品汇聚的安全事件上下文,准确定位到内部失陷的主机、进程等详细信息,快速掌握事件的威胁画像,完成及时响应。



处置建议:

➢ 常态化升级IOT系统清除已知漏洞;

➢ 定期更换密码;

➢ 避免使用弱口令;

➢ 只开放必要端口,加强网络流量检测。





行业热点:

XDR | 从新冠病毒预防,看基于XDR的勒索病毒治理之道

XDR | 斩断勒索病毒攻击链,重塑安全新格局

一触即发 | 看「亚信安全XDR」重塑安全新格局

亚信安全:以“零信任+XDR”斩断供应链APT攻击

了解亚信安全,请点击“阅读原文

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存