客服熱線
186-8811-5347、186-7086-0265
官方郵箱
contactus@mingting.cn
添加微信
立即線上溝通
客服微信
詳情請咨詢客服
客服熱線
186-8811-5347、186-7086-0265
官方郵箱
contactus@mingting.cn
2021-09-26 來源:安全豹作者:安全豹
近期,毒霸安全團隊通過"捕風"威脅感知系統監控到一起疑似針對礦機廠商的供應鏈攻擊事件。全球知名礦機品牌"翼比特"官網的礦機管理工具"EbiteMinerMini"被植入后門代碼,通過多組"白利用"隱蔽裝載CobaltStrike遠控木馬,隨后下發鍵盤記錄插件keylogger進行定向竊密。
“翼比特”作為知名比特幣礦機制造商"億邦國際"旗下的主要銷售品牌,根據艾瑞咨詢報告,按全球銷售收入和已售算力,2017年億邦已經成為世界第三大比特幣礦機廠商,預計本次供應鏈攻擊事件將影響波及大量“翼比特”礦機用戶。
從捕風系統的歷史數據回溯來看,本次攻擊事件從測試部署到潛伏攻擊至今已經持續最少5個月的時間。從virustotal平臺掃描結果看,后門主程序目前無任何殺軟檢出,后階段惡意模塊目前也僅有極少數高啟發引擎能夠檢出,從側面也可以看出供應鏈攻擊的隱蔽性和檢測防御難度。
這也是我們首次捕獲針對礦機供應鏈的大規模攻擊案例,結合攻擊目標特點,我們將本次攻擊事件命名為"折翼行動"。我們已第一時間和“翼比特”官方取得聯系并反饋攻擊相關情況,目前官網已將后門版本管理程序下架,毒霸安全團隊呼吁“翼比特”礦機用戶盡快升級最新客戶端,并參照文章提供的IOC信息進行自查。
“翼比特”官網下載頁面的最后更新日期為2020年12月04日,但從礦機管理工具"EbiteMinerMini"壓縮包可以看到,主程序最后修改時間為2021年6月10日。通過歷史安全數據深入溯源,我們發現幕后攻擊團伙從2021年4月份就已經開始針對性地進行攻擊樣本測試,真正的攻擊行動于6月10日前后啟動并迅速擴散,8月份處于潛伏靜默期,隨后開始加強活躍并保持至今。
從具體的攻擊路徑流程來看,幕后黑客團伙的攻擊技術手法組合利用比較嫻熟,通過在目標程序“EbiteMinerMini.exe”入口植入后門下載線程啟動代碼,聯網下載"白利用"payload和CobaltStrike內存馬進行隱蔽部署。主要行為流程如下圖所示:
從主程序代碼篡改的方式來看,我們推測幕后團伙已經攻陷掌握“翼比特”礦機管理工具相關項目的代碼服務器權限。目前在后門程序中目前共發現2類變種,代碼篡改方式和行為流程基本一致,差異主要在于"白利用"payload的變換。兩組"白利用"數字簽名分別為"Shanghai Changzhi Network Technology Co., Ltd."(雷神模擬器)和"NetEase(Hangzhou) Network Co. Ltd."(網易)。
后續"白利用"模塊的行為比較簡單,以其中的"AdbWinApi.dll"為例,主要包括互斥檢測、添加注冊表自啟持久化和聯網接收CobaltStrike的stager代碼注入系統進程等。在這部分代碼中,我們還發現作者使用系統目錄遍歷順序串聯代碼執行邏輯,推測是針對行為啟發查殺的對抗技巧。
目前監控截獲的stager為https協議類型,從代碼水印可以看出其由CobaltStrike的測試版生成,具體配置解析如下:
從"捕風"系統針對這部分感染用戶的安全數據分析來看,幕后團伙通過stager推送的后階模塊主要為CobaltStrike的鍵盤記錄插件"keylogger.dll",攻擊目的顯而易見,通過鍵盤記錄竊取分析目標礦場管理主機的賬號密碼等敏感信息,進一步制定更具針對性的定向攻擊方案,盜取BTC等虛擬貨幣資產。
近年來"軟件供應鏈攻擊"安全事件已經被越來越多地關注,以2020年底被披露的"SolarWinds供應鏈攻擊"事件為例,從目標核心網絡滲透到后門植入,從隱蔽通訊機制到定向目標篩選攻擊,攻擊者在近一年的潛伏攻擊活動中表現出來的高超技術和"步步為營"策略讓安全分析人員驚嘆,在全球范圍內造成重大安全影響更是令人側目。
"軟件供應鏈攻擊"從根本上講是由信任引發的安全危機。對于攻擊者來說,這是最具破壞力、穿透力的攻擊技術,通過單點的破防實現全范圍目標的覆蓋打擊。但技術再高超的供應鏈攻擊也并非無跡可尋,對于防御者來說,不能拘泥于傳統安全邊界防御思路,需要重新界定"信任"安全理念,提升事件上下文關聯分析能力和攻擊鏈全局觀測視野,才能更有效應對此類安全威脅。
目前毒霸客戶端已支持"折翼行動"關聯樣本的查殺防御,請使用過翼比特管理工具的用戶盡快自查,避免敏感賬號秘鑰泄露導致虛擬貨幣資產被竊取。
Hash
a7bee33f9fb37f08c5084aefba56b11b
e7a25391705798308d09d3158d822e12
f837c58ef87088066b45dcde4e872ac7
f87e8b206275d859a2e7c254b9c51378
C&C
1.13.0.130
Path
C:\\Windows\\Temp\\virtual.exe
C:\\Windows\\Temp\\msvcr100.dll
C:\\Windows\\Temp\\libcurl.dll
C:\\Windows\\Temp\\msvcp100.dll
C:\\Windows\\Temp\\ssleay32.dll
C:\\Windows\\Temp\\libeay32.dll
C:\\Windows\\Temp\\virtualcheck.exe
C:\\Windows\\Temp\\AdbWinApi.dll
Registry
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tool consistency checker