全球三大制造商运行Windows 7的部分IoT设备感染了一种恶意软件,专家认为这是一种供应链攻击。

TrapX Security本周报告称:已经在一些主要制造商的自动引导车辆,打印机和智能电视等IoT设备上找到了一个挖矿恶意软件。

TrapX的首席执行官Ori Bach称,这些攻击似乎是同一活动的一部分。他说,他的公司的研究人员在三家制造商处发现了感染,在中东、北美和拉丁美洲的50多个站点记录了多起事件。

感染是在2019年10月发现的,攻击者将目标锁定在运行Windows 7的嵌入式系统上(尽管Windows 7已寿终正寝),但全球仍然有数亿台运行该操作系统的PC。

该活动中使用的恶意软件被描述为一种自我传播的下载程序,它运行与名为Lemon_Duck的加密货币矿工相关的恶意脚本。

根据TrapX的说法,“恶意软件的传播速度足够快,具有极强的破坏力。”该网络安全公司指出,如果通信中断或恶意软件生成了不正确的命令,车辆可能会偏离轨道并造成人身伤害或伤害。

在装有运行Windows 7的内置PC的智能电视上也发现了该恶意软件。该设备已连接到制造网络,并向负责生产线的员工提供生产数据。 TrapX的研究人员确定,攻击者利用Windows 7中的漏洞在电视上安装了恶意软件,并且这个加密矿工已于几个月前部署。

TrapX在报告中说:“威胁可能会损害整个网络,包括在企业和制造网络中都拥有资产的其他公司。”

在另一个示例中,该恶意软件在DesignJet SD Pro多功能打印机上被发现,该打印机用于打印技术工程图,并存储了与受害者产品线有关的敏感数据。TrapX表示,此设备充当了攻击者的入口点。

“DesignJet SD Pro扫描仪/打印机是制造商的核心组件;任何设备停机都会导致生产延迟,” TrapX在其报告中说。

该网络安全公司认为,在所有这些情况下,恶意软件都是在设备到达制造商之前就安装在设备上

Bach说:“我们认为攻击最初是针对供应链的,然后所有成为目标供应链一部分的制造商都受到了影响。”

附:Lemon_Duck信息

目标选择

目标 IP 地址随机生成,在特定端口号上进行扫描监听,如 445/TCP ( SMB ) 、1433/TCP ( MS-SQL 服务器 ) 或 65529/TCP。

恶意脚本从远程计算机获得响应后,它将探测 EternalBlue SMB 漏洞机器的 IP 地址,或对 MS-SQL 服务执行暴力攻击,而在 65529/TCP 上开放监听端口的机器在之前已被攻击者破坏过。

攻击者试图通过密码和哈希字典来暴力破解 Microsoft SQL Server 的 " sa"(超级管理员)帐户凭据。脚本内包含了一长串密码,包括过去用于传播 Mirai 或其他 IoT 僵尸网络恶意软件的各种威胁组织使用过的密码。攻击者还使用一系列 NTLM 哈希值来进行 "pass the hash" 攻击。

密码列表如下:

"saadmin","123456","password","PASSWORD","123.com","admin@123","Aa123456","qwer12345","Huawei@123","123@abc","golden","123!@#qwe","1qaz@WSX","Ab123","1qaz!QAZ","Admin123","Administrator","Abc123","Admin@123", "999999","Passw0rd","123qwe!@#","football","welcome","1","12","21","123","321","1234","12345","123123","123321","111111","654321","666666","121212","000000","222222","888888","1111","555555","1234567","12345678", "123456789","987654321","admin","abc123","abcd1234","abcd@1234","abc@123","p@ssword","P@ssword","p@ssw0rd","P@ssw0rd","P@SSWORD","P@SSW0RD","P@w0rd","P@word","iloveyou","monkey","login","passw0rd","master","hello", "qazwsx","password1","qwerty","baseball","qwertyuiop","superman","1qaz2wsx","fuckyou","123qwe","zxcvbn","pass","aaaaaa","love","administrator","qwe1234A","qwe1234a","123123123","1234567890","88888888","111111111","112233","a123456","123456a","5201314","1q2w3e4r","qwe123","a123456789","123456789a","dragon","sunshine","princess","!@#$%^&*","charlie","aa123456","homelesspa","1q2w3e4r5t","sa","sasa","sa123","sql2005","sa2008",abc","abcdefg","sapassword","Aa12345678","ABCabc123","sqlpassword","sql2008","11223344","admin888","qwe1234","A123456"

如果你运行的是面向公共 internet 的 MS-SQL 服务器,并且使用的密码在上述列表中,必须加快整改。

恶意脚本使用 Windows 调度任务机制,每隔一小时下载并执行一个新的恶意副本。最初下载的脚本在执行之前使用硬编码的散列对自身进行验证,如果成功再将下载其他 payload ——矿机和开发模块。

脚本还使用初始感染机器作为立足点,在网络中横向传播。它采用了多种方法,包括:

·EternalBlue:SMB 服务漏洞利用

·USB 和网络驱动器:脚本将恶意 Windows * .lnk 快捷方式文件和 DLL 文件写入连接到受感染机器的可移动存储或映射的网络驱动器(CVE-2017-8464)中

·启动文件夹:脚本将文件写入 Windows 文件系统上的启动位置(例如 " 开始 " 菜单的 " 启动 " 文件夹),在重启后执行。

·MS-SQL Server 暴力破解 – 使用上述密码列表比照 SQL Server 的 " SA" 帐户。

·Pass the Hash 攻击 – 利用上表中的 NTLM 哈希

·使用 WMI 在远程计算机上执行恶意命令

·RDP 暴力破解

脚本还会创建一个或多个计划任务,在初始攻击几分钟后启动恶意脚本。这个技巧可能是为了逃避安全工具基于行为的检测,但方法显得初级且笨拙,这类安全工具能通过跟踪事件的顺序和时间来识别正在进行的攻击,并且从理论上说,一旦在短时间内可疑命令次数超过某个阈值,攻击就会被阻止。

从 C&C 服务器下载新脚本后,新脚本将删除初始创建的 " 计划任务 " 条目。以下是攻击者传播方法的一些示例:

EternalBlue:

攻击者用 PingCastle 的工具扫描 445 / TCP,看是否容易受到 EternalBlue 漏洞的攻击。

PingCastle EternalBlue 漏洞扫描程序

接着对易受损的机器进行 EternalBlue 攻击,脚本会确定目标机器所用的 Windows 版本。

try{ write-host "start eb scanning..." $vul= [ PingCastle.Scanners.m17sc ] ::Scan ( $currip ) // scan for vulnerable IP if ( $vul{{ ) { } } write-host "$currip seems eb vulnerable..." $res = eb7 $currip $sc //targeting win7 & older version if ( $res ) { write-host "$currip eb7 got it!!!" } else { $res = eb8 $currip $sc //Windows 8, 10 & 2012 if ( $res ) { write-host "$currip eb8 got it!!!" } } } }catch

确定版本后,脚本将启动如下所示的 " SMB Exploitation Module"。

更详细信息见:http://www.myzaker.com/article/5da3ea8bb15ec04c697dd839

【参考】

https://news.sophos.com/en-us/2019/10/01/lemon_duck-powershell-malware-cryptojacks-enterprise-networks/

https://www.securityweek.com/iot-devices-major-manufacturers-infected-malware-supply-chain-attack

声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。