微软公布了影响Exchange服务器的ProxyLogon漏洞的详细信息后,已经出现了大量利用该漏洞攻击Exchange服务器的漏洞,包括webshel??l和勒索软件。最近,SophosLabs的研究人员发现了一种利用ProxyLogon漏洞对Exchange服务器进行的恶意门罗币挖矿攻击。攻击原理攻击中使用了一个.zip文件,但该文件不是压缩文件,而是一个批处理脚本,会调用Windows内置的certutil.exe程序下载win_s.zip和win_d.zip文件。这两个zip文件也不是压缩文件。第一个文件作为QuickCPU.b64写入文件系统。Certutil应用程序旨在解码base64编码的安全证书,因此攻击者以base64形式对可执行负载进行编码,并将其封装在标头中,表明它是数字证书。批处理脚本将运行命令以将解码后的可执行文件输出到同一目录中。certutil.exe-decodeQuickCPU.b64QuickCPU.exe解码后,批处理脚本运行可执行文件,从QuickCPU.dat文件中提取矿机和配置数据,注入系统进程,然后删除相关痕迹。该文件在属性表中使用虚假数据来指示该文件是Windows组件,但该文件未经过数字签名。但是有一个由第三方软件开发商开发的同名合法小工具。此工具与此恶意软件没有任何关联。可执行文件中包含在Github上发布的名为PEx64-Injector的工具的修改版本。该工具在GitHub上的描述如下:Convertx64executablestox64processeswithoutadministratorprivileges。该工具运行时,会将QuickCPU.dat文件中的内容提取到文件系统中,配置矿机,注入运行进程,然后退出。最后批处理文件会删除相关痕迹,矿机继续在内存中运行。certutil.exe被解码后,QuickCPU安装程序会在被黑的Exchange服务器的系统文件夹中运行。QuickCPU.dat中有一个文件是矿机配置器,有点像xmr-stak。默认情况下,有效负载将设置矿工,以便矿工只能在建立安全TLS后才能与Monero钱包通信。如果矿工检测到证书不匹配,它会退出并每30秒重新连接一次。矿工的pools.txt文件也会被临时写入硬盘,里面不仅有钱包地址还有密码,还有攻击者给矿池取的名字——DRUGS。根据研究人员从门罗区块链获得的数据,该钱包地址从3月9日开始收到资金,这表明攻击是从3月9日开始的。但随着时间的推移,攻击者失去了部分服务器,加密货币挖矿的产量下降。本文翻译自:https://news.sophos.com/en-us/2021/04/13/compromised-exchange-server-hosting-cryptojacker-targeting-other-exchange-servers/如有转载请注明原地址。
