脚本到系统:全面剖析“橘子火鸡”恶意挖矿活动的技术内幕
从脚本到系统:全面审视“橘子火鸡”活动
Cybereason 安全服务团队发布威胁分析报告,以通报有影响的威胁。这些报告调查威胁并提供了实用的防护建议。
在本威胁分析报告中,Cybereason 安全服务团队研究了在 Cybereason EDR 中观察到的“橘子火鸡”(Tangerine Turkey)攻击活动流程。“橘子火鸡”是一个被识别为用于促进加密货币挖矿活动的视觉基础脚本(VBS)蠕虫的威胁行为者。
关键要点
- “橘子火鸡”部署通过可移动驱动器(USB)横向传播的 VBScript 蠕虫。
- 该组织滥用无文件落地二进制文件(LOLBins),如
wscript.exe和printui.exe来执行和实现持久化。 - 他们通过修改注册表键和将恶意二进制文件伪装成合法的系统文件来展示防御规避技术。
- 恶意软件将恶意文件复制到一个新创建的模拟目录中以隐藏其活动。
- 他们的主要动机似乎是通过未经授权的加密货币挖矿获取经济利益。
引言
“橘子火鸡”是一个利用 VBScript 和批处理文件来获取持久性、规避防御并在受害环境中部署挖矿有效载荷的加密货币挖矿活动。该活动于 2024 年末首次被报告,此后已扩展到全球,不分行业和地域地无差别攻击各类组织。
虽然目前尚未发现该行为者部署勒索软件,但其实现持久化和横向移动的能力带来了更广泛的安全风险。
技术分析
本节介绍 Cybereason EDR 检测到的“橘子火鸡”感染链。在此特定样本中,投放的挖矿有效载荷是 XMRig。
XMRig 主要是一种加密货币挖矿软件,旨在利用计算机的 CPU 或 GPU 挖掘门罗币(XMR)和其他加密货币。它是开源的,在矿工自愿使用时是合法的。然而,恶意行为者滥用 XMRig 进行“加密劫持”,将其秘密安装在受感染的机器上,在所有者不知情的情况下为自己挖掘加密货币。
战术、技术和程序
本节重点介绍 Cybereason 在此活动中检测到的主要 TTP。
在 Cybereason EDR 中观察到的攻击链
1. 通过受感染 USB 的初始访问
“橘子火鸡”恶意软件活动的初始访问是通过受感染的 USB 设备实现的。
攻击始于 wscript.exe 执行位于可移动驱动器上的恶意 VBScript。在观察到的事件中,可移动驱动器挂载为 E:\(例如 E:\rootdir\x817994.vbs),尽管不同主机上的驱动器盘符可能不同。
此 VBScript x817994.vbs 作为初始投放器,负责通过生成 cmd.exe 来启动辅助批处理文件 x966060.bat。
wscript.exe从 USB 驱动器执行恶意 VBScript:C:\WINDOWS\System32\WScript.exe E:\rootdir\x817994.vbs- 批处理文件执行:
VBScript 生成cmd.exe来运行批处理文件:C:\WINDOWS\system32\cmd.exe /c "E:\rootdir\x966060.bat"
2. 滥用 LOLBins (printui.exe)
批处理文件继续执行,滥用合法的 Windows 二进制文件 printui.exe。这个无文件落地二进制文件(LOLBin)被用来旁加载一个恶意库 svculdr64.dat 以及 printui.dll。
在此阶段,还尝试分散用户注意力。启动 explorer.exe 打开“USB 驱动器”目录,同时使用 xcopy.exe 将 printui.exe 和额外的有效载荷组件(x209791.dat)复制到伪装的 System32 目录中,确保它们在受信任的位置可用。
- 使用
xcopy.exe将恶意文件复制到新创建的目录:xcopy "C:\Windows\System32\printui.exe" "C:\Windows \System32" /Y xcopy "x209791.dat" "C:\Windows \System32" /Y
3. PowerShell 防御规避
随后,printui.exe 生成 cmd.exe,后者执行混淆的 PowerShell 命令。解码后的内容为 System32 目录添加 Windows Defender 排除项,从而有效地使安全控制措施无法检测后续活动。此步骤是一个明显的防御规避策略。
- Base64 解码后的命令 → 添加 Windows Defender 排除项:
Add-MpPreference -ExclusionPath "C:\Windows\System32"
4. 通过恶意服务实现持久化
接下来,通过创建一个新的 Windows 服务 x665422 来建立持久性。该服务配置为运行 svchost.exe -k DcomLaunch,同时指向一个恶意服务 DLL x665422.dat。这确保了恶意软件能够在系统重启后存活并保持执行。
- 恶意软件创建新服务
x665422:sc create x665422 binPath= "C:\Windows\System32\svchost.exe -k DcomLaunch" type= own start= auto reg add HKLM\SYSTEM\CurrentControlSet\services\x665422\Parameters /v ServiceDll /d "C:\Windows\System32\x665422.dat" /f sc start x665422
5. 有效载荷执行
然后将主要有效载荷 console_zero.exe 部署并从 System32 目录执行。为了加强持久性,恶意软件创建了一个名为 console_zero 的计划任务,配置为在每次用户登录时以最高权限运行该有效载荷。
console_zero.exe的路径:C:\Windows\System32\console_zero.exe- 通过计划任务实现持久化:
cmd.exe /c schtasks /create /tn "console_zero" /sc ONLOGON /tr "C:\Windows\System32\console_zero.exe" /rl HIGHEST /f
6. 清理与反分析
最后,恶意软件尝试通过删除暂存文件 svculdr64.dat 并发出删除 Windows 目录的命令(rmdir /s /q "C:\Windows ")来进行清理操作。虽然后者的路径操作(尾随空格)可能阻止实际删除操作系统目录,但它突出了恶意软件进行反分析和破坏性行为的企图。
- 尝试删除证据:
timeout /t 14 && rmdir /s /q "C:\Windows " timeout /t 16 && del /q "C:\Windows\System32\svculdr64.dat"
结论
“橘子火鸡”活动展示了一种分层攻击策略,利用 USB 传播的 VBScript 蠕虫进行横向传播,并在受感染系统上部署未经授权的加密货币挖矿。通过滥用 wscript.exe 和 printui.exe 等无文件落地二进制文件,以及修改注册表和创建诱饵目录,恶意软件能够规避传统防御并保持持久性。
主要影响是通过非法加密货币挖矿造成的经济损失,但所采用的技术也带来了更广泛的风险,包括潜在的系统不稳定和暴露于其他恶意软件的风险。
缓解措施与响应
- 阻止/限制 USB 大容量存储: 由于初始感染媒介是 USB 驱动器,阻止从可移动媒体执行可以在 VBScript 投放器运行之前将其阻断。组织可以使用组策略或端点控制来禁用自动运行,并限制从外部驱动器执行
.vbs或.bat文件。在可行的情况下,禁用自动运行并强制执行设备控制。 - 应用程序控制(AppLocker/WDAC): “橘子火鸡”滥用合法的 Windows 二进制文件(如
wscript.exe和printui.exe)来执行恶意脚本。对这些二进制文件的异常使用实施应用程序控制或端点检测规则可以降低风险并允许早期检测。 - 强化注册表并监控更改: 恶意软件使用注册表修改来保持持久性。监控启动项或已知恶意软件持久化位置的意外更改可以向防御者发出持续入侵企图的警报。
- 网络分段和出口过滤: “橘子火鸡”的最终目标是部署加密货币矿工,这通常与外部矿池通信。将工作站的网络流量限制在仅授权的端点,可以防止数据泄露或矿工流量。
- 用户意识和 USB 卫生: 许多感染始于通过 USB 的物理访问。教育用户避免使用未知的 USB 设备并遵循安全插入策略可以降低初始感染的可能性。
IOC
| IOC 类型 | 描述 |
|---|---|
E:\rootdir\x817994.vbs |
文件 - 通过 wscript.exe 执行的初始 VBScript 投放器 |
E:\rootdir\x966060.bat |
文件 - 执行以继续感染链的批处理脚本 |
C:\Windows\System32\printui.exe |
LOLBin - 被滥用的系统二进制文件,用于 DLL 旁加载和执行恶意组件 |
x209791.dat |
文件(有效载荷) - 执行期间被复制到 C:\Windows\System32 |
93d74ed188756507c6480717330365cede4884e98aeb43b38d707ed0b98da7cc |
SHA256 - svculdr64.dat(与 printui.dll 一起加载的 XMRig 有效载荷) |
4617cfd1e66aab547770f049abd937b46c4722ee33bbf97042aab77331aa6525 |
SHA256 - printui.dll(被 printui.exe 旁加载的恶意 DLL) |
4ffb3c0c7b38105183fb06d1084ab943c6e87f9644f783014684c5cb8db32e32 |
SHA256 - console_zero.exe(被执行和持久化的恶意有效载荷) |
schtasks /create /tn "console_zero" /sc ONLOGON /tr "C:\Windows\System32\console_zero.exe" /rl HIGHEST /f |
计划任务 - 确保 console_zero.exe 在登录时运行的持久化机制 |
Add-MpPreference -ExclusionPath "C:\Windows\System32" |
防御规避 - 禁用 Windows Defender 对关键系统目录的扫描 |
sc create x665422 binPath= "C:\Windows\System32\svchost.exe -k DcomLaunch" |
服务创建 - 创建恶意服务以运行有效载荷 |
rmdir /s /q "C:\Windows\" |
破坏性命令 - 尝试删除 Windows 目录(可能是故障安全/破坏行为) |
del /q "C:\Windows\System32\svculdr64.dat" |
反取证 - 删除投放的有效载荷以掩盖踪迹 |
| 战术 | IOC 类型 | 描述 |
|---|---|---|
| TA0001-初始访问 | T1091 – 通过可移动媒体复制 | VBS 脚本 (x######.vbs) 由用户从可移动媒体执行。USB 驱动器将 x######.vbs 和 x######.bat 传播到其他机器。 |
| TA0002-执行 | T1059 – 命令和脚本解释器 | wscript.exe 执行 VBS 脚本。 |
| TA0002-执行 | T1059.003 – Windows 命令外壳 | cmd.exe 作为攻击链的一部分执行 .bat 文件。 |
| TA0003-持久化 | T1574.001 – DLL 搜索顺序劫持 | printui.exe 从伪造的 C:\Windows \System32\ 加载恶意 printui.dll。 |
| TA0004-权限提升 | T1055.001 – DLL 注入 | 恶意 DLL (printui.dll) 通过合法二进制文件注入或加载。 |
| TA0005-防御规避 | T1036 – 伪装 | 使用尾随空格的伪造文件夹 C:\Windows \System32\;合法二进制文件被用于旁加载。 |
| TA0005-防御规避 | T1562 – 削弱防御 | 旁加载绕过安全控制;可能防止 EDR 检测。 |
| TA0011-命令与控制 | T1071.001 – Web 协议 | 从 rootunv*[.]com 或 GitHub 获取矿工配置。 |
| TA0011-命令与控制 | T1105 – 入口工具传输 | 从远程位置下载 XMRig 或 Zephry 矿工二进制文件或配置。 |
| TA0040-影响 / 资源劫持 | T1496 – 资源劫持 | 使用受感染的主机挖掘加密货币。 |
| cvHLsQb1eeBHruk4VCX2EKq5Cg6st6JZiN1l8qgWI3bexoz5yfz9QLsbY7t2geO1axMDvKY7RpvBxo4QKGXbrA== | ||
| 更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手) | ||
| 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享) |
公众号二维码
公众号二维码
浙公网安备 33010602011771号