“漏洞利用之王”HolesWarm挖矿木马新增大量攻击模块强势来袭

  原标题:“漏洞利用之王”HolesWarm挖矿木马新增大量攻击模块强势来袭

  近期,威胁情报团队在活跃家族监控中捕获到了HolesWarm挖矿家族的最新变种。在本次更新中,该病毒家族新增了19种漏洞利用手法,横向攻击模块更是达到了31个,基本覆盖了大多数政企单位常用的服务组件,危害极大,应及时更新对应补丁做好防护。

  HolesWarm也被称为AutoUpdate,首次披露于今年6月,是一个新型且十分活跃的挖矿家族,使用Golang编写,攻击目标同时覆盖Windows和linux双平台,除挖矿外还会窃取主机账户的登陆凭证等信息。本次更新,其新增漏洞利用模块之多,无愧于“漏洞利用王者”的称号。

  首次披露该家族分析文章:支持双系统挖矿,警惕新型AutoUpdate挖矿病毒入侵

  本次更新漏洞利用模块新增19种,算上之前版本的漏洞利用模块一共31种,漏洞利用模块更新情况如下:

  根据深信服安全云脑监控数据显示,该病毒持续处于活跃状态,近期攻击情况如下图所示:

  当远程漏洞利用入侵成功后,植入名为loader.sh/loader.py脚本文件,脚本文件再下载主体控制模块kworkers到~/.git目录下,并对该目录进行隐藏。

  横向传播模块autoupdate,先对内网网段进行端口扫描,并识别内网的http/https对应的服务是否存在漏洞,端口扫描如图:

  针对Linux平台,除了autoupdate外,还会下载sshkey.sh,通过该脚本遍历目录搜索失陷主机曾经登陆过的主机列表、曾使用的用户名以及ssh key,并尝试使用这些用户名和密钥登陆其他主机,进一步进行横向传播,当登陆成功便下载执行前置loader。

  隐藏的进程为:主体控制模块kworkers,挖矿模块dbus以及横向传播模块autoupdate。如图:

  主体控制模块service.exe会下载procdump文件,将系统进程lsass.exe进行内存dump,然后将dump下来的文件上传至C2服务器,服务器最终返回用户名密码信息,通信流量如图:

  横向传播模块autoupdate通过遍历文件,查找云服务器的访问密钥Access key和Secret key(当获取AK后便能够调用云账号下的所有资源和功能),当找到AK/Sk便会将数据上传至C2服务器,如图:

  Windows端下载update.exe挖矿模块进行挖矿,Linux端下载dbus挖矿模块进行挖矿。两文件本质都是开源矿机XMRig,该病毒应该使用的是代理矿场,矿场地址便是其C2服务器:m.windowsupdatesupport[.]org:443,配置信息如图:

分享: