編者按：本月7日，《安全周刊》援引安全公司TrapX Security題為《新的惡意軟件活動利用嵌入式設備漏洞攻擊制造商》報道，稱相繼在世界三大制造商（未透露其名稱）所使用的設備中（包括自動引導車輛、打印機和智能電視）發現了挖礦活動，跟蹤分析后發現是這些運行著Windows7操作系統的設備感染了一種名為檸檬鴨（?Lemon_Duck）的惡意軟件。TrapX Security的專家確信這是一起供應鏈攻擊，盡管其并未透露這一結論的更多證據。這一事件再次敲響了IoT安全的警鐘，警示我們務必謹記這樣的基本事實。一是供應鏈安全雖然是個歷久彌新的話題，但從未像今天這樣令人擔憂。如何在入口處管控第三方設備、應用的風險，成為關鍵信息基礎設施領域必須優先考量的戰略選項。二是工業領域的存量威脅和風險面臨爆發的危險。就像已經停服的WindowsXP/Windows7這樣的老舊操作系統，已成為其所在系統的天然短板和弱點，隨時都可能被攻陷。Statcounter和NetMarketShare的最新數據顯示，估計全球超過10億臺PC中，約有30％仍在使用Windows7。據Statcounter稱，在美國，這一比例略低于18％。三是IoT安全從來就不是一個單一的嵌入式操作系統、應用程序、數據、連接的問題，需要運用系統思維加以綜合應對。

《安全周刊》愛德華·科瓦克斯（Eduard Kovacs）2020年2月7日報道：世界上最大的三家制造商的某些運行Windows 7的IoT設備感染了一種惡意軟件，專家認為這是一種供應鏈攻擊。TrapX Security本周報告說，它已經在一些主要制造商的幾種IoT設備上找到了一個加密貨幣礦工，這些設備包括自動引導車輛、打印機和智能電視。

事件概述

該惡意軟件感染首次于2019年10月發現，攻擊者將目標鎖定在運行Windows 7的嵌入式系統上。Windows 7在上個月14號已經停止更新，但全球仍然有數億臺運行該操作系統的PC。TrapX Security的首席執行官Ori Bach告訴《安全周刊》，這些攻擊似乎是同一活動的一部分。他說，研究人員在三家制造商處發現了感染，在中東、北美和拉丁美洲的50多個站點捕獲了多起事件。

該攻擊活動中使用的惡意軟件被描述為一種自我傳播的下載程序，其運行與名為檸檬鴨（?Lemon_Duck）的加密貨幣礦工相關的惡意腳本。

該網絡安全公司認為，在所發現惡意軟件的這些案例中，惡意軟件都是在設備送達制造商之前就安裝在設備上了。Ori Bach對《安全周刊》說：“我們認為，攻擊最初是針對供應鏈的，然后成為目標供應鏈一部分的任何制造商都受到了影響?！?/span>

感染案例

圖1

在一個制造商工廠，在運行Windows 7的幾輛自動導航車（AGV）上發現了該惡意軟件。AGV用于在制造工廠中運輸物料或執行特定任務。

根據TrapX Security的說法，“惡意軟件傳播得足夠快，具有極強的破壞力?！边@家網絡安全公司指出，如果通信中斷或惡意軟件生成錯誤的指令，車輛可能會偏離既定軌道并造成物理傷害或人身傷害，在這種情況下，必須在嚴重損害發生之前采取必要行動。

在裝有運行Windows 7的內置PC的智能電視上也發現了感染。該設備已連接到制造商網絡，并向負責生產線的員工提供生產數據。TrapX Security的研究人員確定，攻擊者利用Windows 7中的漏洞在電視上安裝了惡意軟件，并且該加密礦工已于幾個月前部署。

TrapX Security在其報告中表示：“威脅可能會損害整個網絡，包括在企業和制造網絡中都擁有這類資產的其他公司?！?/span>

在另一個示例中，研究人員在DesignJet SD Pro多功能打印機上發現了該惡意軟件。該打印機已用于打印技術工程圖，并存儲了與受害者產品系列有關的敏感數據。TrapX說，該設備充當了受害者網絡的入口點。

TrapX Security在報告中說：“ DesignJet SD Pro掃描儀/打印機是制造的核心組件；任何設備停機都會導致生產延遲?！?/span>

簡要分析

TrapX Security攔截和分析的惡意軟件樣本是Lemon_Duck樣本系列的一部分，該樣本通過雙擊操作或通過其它潛伏機制運行。首先，惡意軟件在網絡上掃描潛在目標，包括那些已打開SMB（445）或MSSQL（1433）服務的目標。一旦找到潛在目標，該惡意軟件就會運行具有多種功能的多個線程。這些功能是：

1. 嘗試使用一組用戶名和口令進行暴力猜解，以獲取通過SMB或MSSQL進一步下載和傳播惡意軟件的權限。

2. 通過導入模塊運行invoke-mimikatz以獲得NTLM哈希值，并獲得通過SMB進一步下載和傳播惡意軟件的權限。

3. 一旦獲得SMB訪問權限，該惡意軟件便使用類似psexec這種功能強大的工具將其自身復制到目標并運行。

4. 如果該惡意軟件通過暴力破解或獲取NTLM哈希失敗，則它將嘗試使用EternalBlue SMB漏洞利用獲取系統訪問權限并作為服務在目標上運行。

5. 該惡意軟件通過計劃任務持續存在。這些計劃的任務運行PowerShell腳本以進一步下載安裝Monero（XMR）礦工的Lemon_Duck PowerShell腳本。

6. 一旦惡意軟件感染了系統，它就會根據感染方式將一個或多個文本文件保留在C：WindowsTemp，如ipc.txt,hash.txt,eb.txt。

在VirusTotal上搜索惡意軟件哈希，發現該惡意軟件已經被標記為惡意代碼。另外一家案例公司的Joe Sandbox也對該惡意軟件進行了分析。但是，該分析必須位于封閉環境沙箱中，因為它不包含詳細的傳播分析。

首先發現該惡意軟件是使用PyInstaller用Python編寫的，從惡意軟件中提取的資源和字符串所示。如圖2所示。 

圖2

惡意軟件的局限性

由于TrapX的惡意軟件陷阱檢測到客戶組織中已經存在威脅，因此其繼續分析以尋求惡意軟件的感染能力。主要發現如下：

即使已成功將自身復制到系統中，該惡意軟件也將在啟用了Windows Defender病毒和威脅防護的Windows 10系統上被隔離。這就是為什么我們需要禁用Windows Defender病毒和威脅防護以積極研究Windows 10系統的原因。

相反，即使激活了Windows Defender，該惡意軟件仍可以在受感染的Windows 7系統上運行。

我們看到了該惡意軟件試圖創建一個奴隸軍來挖礦，同時留下諸如持久性機制之類的頻繁任務。它的傳播方法包括蠻力、哈希傳遞和EternalBlue。如果不符合要求，惡意軟件的行為可能會受到其方法和條件的限制。

應該注意到，類似m2.ps1和SMB以及MSSQL的傳播方法在Beapy挖礦木馬中也有應用。

早期版本

n 此外，TrapX的?惡意軟件陷阱捕獲了較舊版本的惡意軟件。該變體是使用Py2EXE編譯的；將可執行文件反編譯為Python代碼，并獲得了以下見解：

n 該惡意軟件將Shellcode與EternalBlue漏洞一起使用。

n 此惡意軟件變體未使用MSSQL利用。

n 用戶名列表為：{administrator，user，admin，test}。

n ?密碼列表為：{'', '123456', 'password', 'qwerty', '12345678', '123456789', '123', '1234', '123123', '12345', '12345678', '123123123', '1234567890', '88888888', '111111111', '000000', '111111', '112233', '123321', '654321', '666666','888888','a123456','123456a', '5201314', '1qaz2wsx', '1q2w3e4r', 'qwe123', '123qwe', 'a123456789', '123456789a', 'baseball', 'dragon', 'football', 'iloveyou', 'password', 'sunshine', 'princess', 'welcome', 'abc123', 'monkey', '!@#$%^&*', 'charlie', 'aa123456'}

n 此變體具有名為svhost.exe，svvhost.exe的副本。

n 該變體沒有tmp.vbs，而是使用了一個名為p.bat的文件。

n 此變體中的計劃任務是藍牙，自動檢查和Ddriver。

n 在此變體中打開的端口是65532和65531。

緩解措施及建議

n 用戶和服務使用強口令；

n 啟用Windows病毒和威脅防護；

n 使用Web網關、端點和電子郵件保護技術；

n 賦予每個操作所需的最低權限；

n 通過對員工進行有關可疑電子郵件、可移動磁盤和USB、口令標準和操作行為管理的知識培訓，提高公司的安全意識；

n 管理網絡共享并禁用匿名登錄；

攻擊指標-IOCs

Python worm:

196608:eAqjTpnhXlmyWCZNulPKQ8hY/Bkr/fOIT/+VdlBFKaz:kfauN/HYOSIT/EVF9 | ssdeep

fa0978b3d14458524bb235d6095358a27af9f2e9281be7cd0eb1a4d2123a8330 | SHA256

m2.ps1:

3f28cace99d826b3fa6ed3030_x001D_14ba77295d47a4b6785a190b7d8bc0f337e41 | SHA256

tmp.vbs

95d150925d4e3e9eec48f47868587649ec261131a6bf263e9bc4ebb112325d9c | SHA256

URLs:

http[:]//info[.]ackng[.]com/e.png

http[:]//info[.]beahh[.]com/e.png

http[:]//info[.]abbny[.]com/e.png

http[:]//v[.]beahh[.]com

http[:]//t[.]zer2[.]com/mig[.]jsp

Mining pools:

lp[.]abbny[.]com:443

lp[.]beahh[.]com:443

lp[.]haqo[.]net:443

Files:

C:windowstemptmp.vbs

C:windowstempp.bat

C:Windowsmkatz.ini

C:WindowsTempmkatz.ini

C:Windowsm.ps1

C:WindowsTempm.ps1

C:Windowsm2.ps1C:WindowsTempm2.ps1

C:WindowsTempsvhhost.exe

C:WindowsTempsvvhost.exe

C:WindowsTempsvchost.exe

C:WindowsTempipc.txt

C:WindowsTemphash.txt

C:WindowsTempeb.txt

C:Windowssystem32svhost.exe

C:WindowsSysWOW64svhost.exe

C:Windowssystem32driverssvhost.exe

C:WindowsSysWOW64driverssvhost.exe

Scheduled tasks:

MicrosoWindowsBluetool

MicrosoWindowsBluetooths

Autocheck

Autostart

Escan

Ddriver

Users:

User: k8h3d Password: k8d3j9SjfS7

SQL ‘sa’ user with password sEqgIBKy

Listening ports:

65531

65532

65533

關于TrapX Security

TrapX Security是網絡欺騙技術的開拓者和全球領導者。 他們的DeceptionGrid解決方案可快速實時檢測、誘騙并擊敗高級網絡攻擊和人類攻擊者。DeceptionGrid還提供自動化、高準確度的洞察力，以發現其他類型的網絡防御所看不到的惡意活動。通過部署DeceptionGrid，可以創建主動的安全態勢，從根本上遲滯攻擊進程，同時通過將成本轉移給攻擊者來改變網絡攻擊的經濟性。TrapX Security客戶群體包括全球范圍內《福布斯》財富500強的商業和政府客戶，這些行業包括國防、醫療保健、金融、能源、消費產品和其他關鍵行業。

了解更多信息，請訪問：www.trapx.com。

參考資源

1、https://www.securityweek.com/iot-devices-major-manufacturers-infected-malware-supply-chain-attack

2、https://trapx.com/landing/iot-manufacturing-report/ 

轉載來自：關鍵基礎設施安全應急響應中心(微信號CII-SRC)