新闻资讯
全部分类

原创 | 世界三大制造商的IoT设备通过供应链攻击感染恶意软件

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-02-10 10:50
  • 访问量:

【概要描述】《安全周刊》援引安全公司TrapX Security报道称相继在世界三大制造商所使用的设备中发现了挖矿活动,罪魁祸首为“柠檬鸭”!?详情如何,快快查看!

原创 | 世界三大制造商的IoT设备通过供应链攻击感染恶意软件

【概要描述】《安全周刊》援引安全公司TrapX Security报道称相继在世界三大制造商所使用的设备中发现了挖矿活动,罪魁祸首为“柠檬鸭”!?详情如何,快快查看!

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-02-10 10:50
  • 访问量:
详情

编者按:本月7日,《安全周刊》援引安全公司TrapX Security题为《新的恶意软件活动利用嵌入式设备漏洞攻击制造商》报道,称相继在世界三大制造商(未透露其名称)所使用的设备中(包括自动引导车辆、打印机和智能电视)发现了挖矿活动,跟踪分析后发现是这些运行着Windows7操作系统的设备感染了一种名为柠檬鸭 Lemon_Duck)的恶意软件。TrapX Security的专家确信这是一起供应链攻击,尽管其并未透露这一结论的更多证据。这一事件再次敲响了IoT安全的警钟,警示我们务必谨记这样的基本事实。一是供应链安全虽然是个历久弥新的话题,但从未像今天这样令人担忧。如何在入口处管控第三方设备、应用的风险,成为关键信息基础设施领域必须优先考量的战略选项。二是工业领域的存量威胁和风险面临爆发的危险。就像已经停服的WindowsXP/Windows7这样的老旧操作系统,已成为其所在系统的天然短板和弱点,随时都可能被攻陷。Statcounter和NetMarketShare的最新数据显示,估计全球超过10亿台PC中,约有30%仍在使用Windows7。据Statcounter称,在美国,这一比例略低于18%。三是IoT安全从来就不是一个单一的嵌入式操作系统、应用程序、数据、连接的问题,需要运用系统思维加以综合应对。

 

《安全周刊》爱德华·科瓦克斯(Eduard Kovacs)2020年2月7日报道:世界上最大的三家制造商的某些运行Windows 7的IoT设备感染了一种恶意软件,专家认为这是一种供应链攻击。TrapX Security本周报告说,它已经在一些主要制造商的几种IoT设备上找到了一个加密货币矿工,这些设备包括自动引导车辆、打印机和智能电视。

 

事件概述

该恶意软件感染首次于2019年10月发现,攻击者将目标锁定在运行Windows 7的嵌入式系统上。Windows 7在上个月14号已经停止更新,但全球仍然有数亿台运行该操作系统的PC。TrapX Security的首席执行官Ori Bach告诉《安全周刊》,这些攻击似乎是同一活动的一部分。他说,研究人员在三家制造商处发现了感染,在中东、北美和拉丁美洲的50多个站点捕获了多起事件。

该攻击活动中使用的恶意软件被描述为一种自我传播的下载程序,其运行与名为柠檬鸭 Lemon_Duck)的加密货币矿工相关的恶意脚本。

该网络安全公司认为,在所发现恶意软件的这些案例中,恶意软件都是在设备送达制造商之前就安装在设备上了。Ori Bach对《安全周刊》说:“我们认为,攻击最初是针对供应链的,然后成为目标供应链一部分的任何制造商都受到了影响。”

 

感染案例

图1

在一个制造商工厂,在运行Windows 7的几辆自动导航车(AGV)上发现了该恶意软件。AGV用于在制造工厂中运输物料或执行特定任务。

根据TrapX Security的说法,“恶意软件传播得足够快,具有极强的破坏力。”这家网络安全公司指出,如果通信中断或恶意软件生成错误的指令,车辆可能会偏离既定轨道并造成物理伤害或人身伤害,在这种情况下,必须在严重损害发生之前采取必要行动。

在装有运行Windows 7的内置PC的智能电视上也发现了感染。该设备已连接到制造商网络,并向负责生产线的员工提供生产数据。TrapX Security的研究人员确定,攻击者利用Windows 7中的漏洞在电视上安装了恶意软件,并且该加密矿工已于几个月前部署。

TrapX Security在其报告中表示:“威胁可能会损害整个网络,包括在企业和制造网络中都拥有这类资产的其他公司。”

在另一个示例中,研究人员在DesignJet SD Pro多功能打印机上发现了该恶意软件。该打印机已用于打印技术工程图,并存储了与受害者产品系列有关的敏感数据。TrapX说,该设备充当了受害者网络的入口点。

TrapX Security在报告中说:“ DesignJet SD Pro扫描仪/打印机是制造的核心组件;任何设备停机都会导致生产延迟。”

 

简要分析

TrapX Security拦截和分析的恶意软件样本是Lemon_Duck样本系列的一部分,该样本通过双击操作或通过其它潜伏机制运行。首先,恶意软件在网络上扫描潜在目标,包括那些已打开SMB(445)或MSSQL(1433)服务的目标。一旦找到潜在目标,该恶意软件就会运行具有多种功能的多个线程。这些功能是:

1. 尝试使用一组用户名和口令进行暴力猜解,以获取通过SMB或MSSQL进一步下载和传播恶意软件的权限。

2. 通过导入模块运行invoke-mimikatz以获得NTLM哈希值,并获得通过SMB进一步下载和传播恶意软件的权限。

3. 一旦获得SMB访问权限,该恶意软件便使用类似psexec这种功能强大的工具将其自身复制到目标并运行。

4. 如果该恶意软件通过暴力破解或获取NTLM哈希失败,则它将尝试使用EternalBlue SMB漏洞利用获取系统访问权限并作为服务在目标上运行。

5. 该恶意软件通过计划任务持续存在。这些计划的任务运行PowerShell脚本以进一步下载安装Monero(XMR)矿工的Lemon_Duck PowerShell脚本。

6. 一旦恶意软件感染了系统,它就会根据感染方式将一个或多个文本文件保留在C:WindowsTemp,如ipc.txt,hash.txt,eb.txt。

在VirusTotal上搜索恶意软件哈希,发现该恶意软件已经被标记为恶意代码。另外一家案例公司的Joe Sandbox也对该恶意软件进行了分析。但是,该分析必须位于封闭环境沙箱中,因为它不包含详细的传播分析。

首先发现该恶意软件是使用PyInstaller用Python编写的,从恶意软件中提取的资源和字符串所示。如图2所示。 

图2

 

恶意软件的局限性

由于TrapX的恶意软件陷阱检测到客户组织中已经存在威胁,因此其继续分析以寻求恶意软件的感染能力。主要发现如下:

即使已成功将自身复制到系统中,该恶意软件也将在启用了Windows Defender病毒和威胁防护的Windows 10系统上被隔离。这就是为什么我们需要禁用Windows Defender病毒和威胁防护以积极研究Windows 10系统的原因。

相反,即使激活了Windows Defender,该恶意软件仍可以在受感染的Windows 7系统上运行。

我们看到了该恶意软件试图创建一个奴隶军来挖矿,同时留下诸如持久性机制之类的频繁任务。它的传播方法包括蛮力、哈希传递和EternalBlue。如果不符合要求,恶意软件的行为可能会受到其方法和条件的限制。

应该注意到,类似m2.ps1和SMB以及MSSQL的传播方法在Beapy挖矿木马中也有应用。

 

早期版本

n 此外,TrapX的®恶意软件陷阱捕获了较旧版本的恶意软件。该变体是使用Py2EXE编译的;将可执行文件反编译为Python代码,并获得了以下见解:

n 该恶意软件将Shellcode与EternalBlue漏洞一起使用。

n 此恶意软件变体未使用MSSQL利用。

n 用户名列表为:{administrator,user,admin,test}。

n •密码列表为:{'', '123456', 'password', 'qwerty', '12345678', '123456789', '123', '1234', '123123', '12345', '12345678', '123123123', '1234567890', '88888888', '111111111', '000000', '111111', '112233', '123321', '654321', '666666','888888','a123456','123456a', '5201314', '1qaz2wsx', '1q2w3e4r', 'qwe123', '123qwe', 'a123456789', '123456789a', 'baseball', 'dragon', 'football', 'iloveyou', 'password', 'sunshine', 'princess', 'welcome', 'abc123', 'monkey', '!@#$%^&*', 'charlie', 'aa123456'}

n 此变体具有名为svhost.exe,svvhost.exe的副本。

n 该变体没有tmp.vbs,而是使用了一个名为p.bat的文件。

n 此变体中的计划任务是蓝牙,自动检查和Ddriver。

n 在此变体中打开的端口是65532和65531。

 

缓解措施及建议

n 用户和服务使用强口令;

n 启用Windows病毒和威胁防护;

n 使用Web网关、端点和电子邮件保护技术;

n 赋予每个操作所需的最低权限;

n 通过对员工进行有关可疑电子邮件、可移动磁盘和USB、口令标准和操作行为管理的知识培训,提高公司的安全意识;

n 管理网络共享并禁用匿名登录;

 

攻击指标-IOCs

Python worm:

196608:eAqjTpnhXlmyWCZNulPKQ8hY/Bkr/fOIT/+VdlBFKaz:kfauN/HYOSIT/EVF9 | ssdeep

fa0978b3d14458524bb235d6095358a27af9f2e9281be7cd0eb1a4d2123a8330 | SHA256

m2.ps1:

3f28cace99d826b3fa6ed3030_x001D_14ba77295d47a4b6785a190b7d8bc0f337e41 | SHA256

tmp.vbs

95d150925d4e3e9eec48f47868587649ec261131a6bf263e9bc4ebb112325d9c | SHA256

URLs:

http[:]//info[.]ackng[.]com/e.png

http[:]//info[.]beahh[.]com/e.png

http[:]//info[.]abbny[.]com/e.png

http[:]//v[.]beahh[.]com

http[:]//t[.]zer2[.]com/mig[.]jsp

Mining pools:

lp[.]abbny[.]com:443

lp[.]beahh[.]com:443

lp[.]haqo[.]net:443

Files:

C:windowstemptmp.vbs

C:windowstempp.bat

C:Windowsmkatz.ini

C:WindowsTempmkatz.ini

C:Windowsm.ps1

C:WindowsTempm.ps1

C:Windowsm2.ps1C:WindowsTempm2.ps1

C:WindowsTempsvhhost.exe

C:WindowsTempsvvhost.exe

C:WindowsTempsvchost.exe

C:WindowsTempipc.txt

C:WindowsTemphash.txt

C:WindowsTempeb.txt

C:Windowssystem32svhost.exe

C:WindowsSysWOW64svhost.exe

C:Windowssystem32driverssvhost.exe

C:WindowsSysWOW64driverssvhost.exe

Scheduled tasks:

MicrosoWindowsBluetool

MicrosoWindowsBluetooths

Autocheck

Autostart

Escan

Ddriver

Users:

User: k8h3d Password: k8d3j9SjfS7

SQL ‘sa’ user with password sEqgIBKy

Listening ports:

65531

65532

65533

 

关于TrapX Security

TrapX Security是网络欺骗技术的开拓者和全球领导者。 他们的DeceptionGrid解决方案可快速实时检测、诱骗并击败高级网络攻击和人类攻击者。DeceptionGrid还提供自动化、高准确度的洞察力,以发现其他类型的网络防御所看不到的恶意活动。通过部署DeceptionGrid,可以创建主动的安全态势,从根本上迟滞攻击进程,同时通过将成本转移给攻击者来改变网络攻击的经济性。TrapX Security客户群体包括全球范围内《福布斯》财富500强的商业和政府客户,这些行业包括国防、医疗保健、金融、能源、消费产品和其他关键行业。

了解更多信息,请访问:www.trapx.com。

 

参考资源

1、https://www.securityweek.com/iot-devices-major-manufacturers-infected-malware-supply-chain-attack

2、https://trapx.com/landing/iot-manufacturing-report/ 

 

转载来自:关键基础设施安全应急响应中心(微信号CII-SRC)

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号