SENTINELONE DETECTS AND BLOCKS NEW VARIANT OF POWERSHELL CRYPTOWORM

https://twitter.com/hashtag/cryptoworm

Introduction
在去年年底，Marco Ramilli 發表了一篇關於 in-memory Powershell-WMI CryptoWorm 的文章。很慶幸的，SentinelOne 發現了這種傳播 CryptoWorm 的新活動變體。在這篇文章中，我們將審視這個變體中的新內容，並建議如何將它從受感染的網路中移除。

這個版本有什麼新功能？
Communication
此種 CryptoWorm 通過 HTTP 進行傳達。它使用主伺服器的 IP 地址及使用 DNS 地址作為後備。

Figure 1 – Command-and-Control Servers Fallback

惡意程式的 IP 是195.22.127.93 和 windowsdefenderhost.club（port 8000）的子域。與之前的版本不同，如果檔案是在Powershell之外下載的，則伺服器回覆403 Forbidden HTTP 錯誤代碼。蠕蟲也可以從 CNC 服務器上自我更新。它檢查自己的版本並將其與伺服器上 ver.txt 文件中寫入的版本進行比較。如果有更高版本可用，它將下載並更新。

Figure 2 – Version Control

現在，CryptoWorm版本是1.4。它有兩個 Powershell 腳本，每個操作系統體系結構一個：32位的 info3.ps1 和 64 位的info6.ps1。

持久性
此惡意軟體使用 WMI 計時器方法來實現持久性。它設置計時器並使用 WMI 事件使用者。現階版本計時器和事件使用者使用名稱“SCM Events Log Filter”，“SCM Events Log Consumer”。先前的版本分別使用`SCM Event Filter`和`SCM Event Consumer`。

​散播
像舊版本一樣，這種蠕蟲使用少量的方法來散播至整個網路。它通過發布 Invoke-ReflectivePEInjection 並加載 Mimikatz 來竊取憑證。
之後，它使用 Powershell 中執行的 Invoke-WMIExec 和 Eternal Blue 進行散播。最後，它在遠端機器上運行遠端安裝命令。

​阻止 SMB 連接
此惡意程式阻止傳入 SMB 連接到受感染的機器。可能為了防止其他類型的惡意軟體使用相同的方法散播，刪除CryptoWorm 或使用CPU。

Figure 3 – Firewall Blocking Rules

Conclusion
SentinelOne 的客戶不用擔心該 CryptoWorm 的任何一個版本，因為 SentinelOne agent 使用從 2.0 版開始的行為 AI 引擎檢測並阻止它。對於沒有 SentinelOne 的讀者，以下將解釋如何從他們的網路中刪除這個 CryptoWorm：

在所有網路主機上同時運行相同的命令是一個麻煩的過程。因此，從網路中刪除蠕蟲最困難的部分是阻止它從其他的主機散播到新清理乾淨的主機。

因此，為了消除這種蠕蟲，首先我們建議先將它的遠端命令行列入黑名單。這項措施將防止它再散播開來。

之後，我們建議殺死 CryptoWorm Powershell 進程，刪除其防火牆規則以及 WMI 計時器篩選器和 WMI 事件使用者。 

這是一個移除 PS 腳本，用於刪除防火牆規則並刪除 WMI 項目。請以管理員身份運行。

在以下附錄中，我們詳細介紹了要阻止的相關命令行和 IP。

Demo
在以下 Demo 影片 中，我們運行無檔案 CryptoWorm，它是從真正的 CNC 直接下載到內存中。
可以看到 SentinelOne 如何檢測並阻止它。

Appendix
IOCs
Malicious IP and domain addresses:

• 195.22.127.93
• windowsdefenderhost.club

Malicious files (SHA1 hashes):

• Info3.ps1 – 266D7C2E7F48EB0C1778EBCF76658575982BA41E
• Info6.ps1 – ABAAC4E9005BFE692AA583DDBD10AA5429E49F87

Malicious Command Lines
Available here.

原文