160期报告汇总
安天发布《ProximityUntilCache32.tlb 挖矿木马样本分析报告》
 
     近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 种 名 为 ProximityUntilCache32.tlb 的 挖 矿 木马开始活跃。该挖矿木马的背后是一个 僵尸网络,从 2017 年被发现一直活跃。它 使用 NSA 泄漏的漏洞利用工具进行传播, 感染受害机器并用于挖取门罗币。

     该挖矿木马有多个版本,通过不同的 C2 域名进行区分,其中包话 eee.asf3r23. cf、*.drawal.tk 等。样本压缩包中 Crypt 文 件为 NSA 漏洞利用工具包,运行后利用 该工具进行传播并执行挖矿主程序。Crypt 解 压 后 将 文 件 释 放 到 %win_dir%\IME\ Crypt\ 并执行。spoolsv.exe 会传播 payload DLL 到其他机器中,该 DLL 首先会创建 互斥量,检查本机是否存在已感染的文件, 之后解压恶意代码并释放,注册自身为系 统服务,实现自启动。后续新版本中会包 含名为 srv 的 DLL 文件,它可以检查自启 动的情况,读取注册表中的 C2 地址,连 网请求最新的配置文件,还可以回传当前 进程的运行情况。它还使用了 DGA 随机 产生域名的手法以逃避检测。

     安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。

      目前,安天追影产品已经实现了对该 类恶意代码的检出。