2019年中旬,Talos安全团队在“MassMiner”ku活动(MassMiner是一个ku歹意软件宗族,经过很多不同的缝隙进行传达,还暴力进犯Microsoft SQL Server)中注意到一个名为“Panda”的新要挟团伙。 “Panda”所运用的技能东西并不杂乱,无外乎是长途拜访东西(RAT)和不合法ku软件,却是咱们看到的最活泼的进犯者之一,迄今为止现已发明了价值数十万美米的加密钱银,别的值得注意的是他们的行为——在全球规模内继续运用着易受进犯的web应用程序,而遍历网络的东西和对RAT的运用,也意味着全世界的安排都面临着将其体系资源滥用于ku的危险,乃至更糟,比方走漏价值信息等。 Panda常常更新他们的基础设施、缝隙运用和payload,影响规模包含银行、医疗保健、交通、电信和IT服务等职业的安排机构。
初次发现“Panda” 2019年7月,咱们初次调查到了“Panda”要挟安排,其进犯流程是先运用massscan寻觅各种易受进犯的服务器,然后运用几种不同的缝隙,比方WebLogic缝隙(CVE-2019-10271)和Apache Struts 2中的长途代码履行缝隙(CVE-2019-5638),经过PowerShell post-exploit下载名为“downloader.exe”的ku软件payload,并将其以简略的数字命名(例如“13.exe”)保存在TEMP文件夹中,之后再履行。咱们观测到的样本是经过经过端口57890从list[.]idc3389[.]top或kingminer[.]club.中下载配置文件的,配置文件里指定了要运用的门罗币钱包及矿池。截止现在,咱们预估Panda从中获取的赢利,按其时美米来算的话应该有十万。
到了2019年10月,list[.]idc3389[.]top上的配置文件的下载量现已超越30万次。
样本一起还会装置Gh0st RAT,它与rat[.]kingminer[.]club进行通讯。在别的一些变体中,咱们还调查到一些其他的黑客东西和缝隙运用的植入,包含凭据偷盗东西Mimikatz和方程式安排(Equation Group)的UPX加壳东西。样本还会经过端口445到172.105.X.X块中的IP地址扫描敞开的SMB端口。 idc3389[.]top是Panda的C2域之一,由一位说中文的参与人注册,他的姓名正是“Panda”。 与Bulehero的联络 初次发现Panda进犯的同一时间,在另一个C2域bulehero [.] in中咱们调查到十分类似的TTP。进犯者运用PowerShell从b[.]bulehero[.]in中下载名为“download.exe”的文件,相同将其保存为以简略数字命名的文件(如“13.exe”)并履行。
在沙箱环境中,咱们调查了几个将它相关到前期MassMiner活动的特征。首要,它经过从前调查到的端口57890,GET恳求一个名为cfg.ini的文件,该文件保管在bulehero[.]in的一个子域上:c[.]bulehero[.]in。与MassMiner共同,配置文件指定原始样本所来自的站点,以及用于采矿的钱包和矿池。 此外,样本会企图运用比如“cmd / c net stop MpsSvc”之类的指令封闭受害者的防火墙。歹意软件还会修正拜访操控列表,经过运转cacsl.exe颁发某些文件的彻底拜访权限。 例如: cmd / c schtasks / create / sc minute / mo 1 / tn“Netframework”/ ru system / tr“cmd / c echo Y | cacls C:Windowsappveif.exe / p everyone:F 而在从前的MassMiner感染中也调查到这两种行为。 样本还会向ip138 [.] com宣布GET恳求名为ic.asp的资源,此ip地舆定位为中文,该资源以中文的方式供给机器的IP地址和方位,而在MassMiner活动中也调查到了此行为。 此外,appveif.exe会在体系目录中创立许多文件,其间许多文件被多个AV引擎确认为歹意文件,并且好像与MassMiner活动中的缝隙运用相匹配。例如咱们检测到几个东西都与“Shadow Brokers”安排的缝隙运用相关,并且这些文件都装置在一个具有可疑称号的目录中:“WindowsInfusedAppeEternalblue139specials”。 “Panda”的进化 在2019年1月,Talos调查到Panda运用ThinkPHP网络结构中最新发表的一个缝隙(CNVD-2019-24942)来传达类似的歹意软件。 ThinkPHP是一个在我国盛行的开源Web结构,运用此缝隙,可直接从a46[.]bulehero[.]in中下载“download.exe”。Panda还将一个简略的PHP Web shell上传到途径“/public/hydra.php”,用于调用PowerShell来下载相同的可履行文件。web shell仅供给了经过对“/public/hydra.php”HTTP恳求中的URL参数调用恣意体系指令的才能。Download.exe将下载不合法ku软件payload,并有SMB扫描的行为,这是Panda横向移动的证明。 2019年3月,Panda更换了新的基础设施,包含域hognoob[.]se的各个子域。其时保管初始payload的域fid[.]hognoob[.]se,解析为IP地址195[.]128[.]126[.]241,也与bulehero[.]in的几个子域相相关。 3月时Panda的TTP与之前的类似。缝隙运用后,Panda调用PowerShell从URL hxxp://fid[.]hognoob[.]se/download.exe下载名为“download.exe”的可履行文件,并将其保存在Temp文件夹中,不过文件名相较之前要变得杂乱许多,如“autzipmfvidixxr7407.exe”;之后此文件再从fid[.]hognoob[.]se下载名为“wercplshost.exe”的ku木马和从uio[.]hognoob[.]se下载配置文件“cfg.ini”。[1][2][3]黑客接单网