快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

Bondat蠕虫再度来袭!控制PC构建挖矿僵尸收集

近日,360互联网安全中心监测到流行蠕虫家族Bondat的感染量出现一轮小爆发。在这次爆发中,Bondat行使受害机器资源进行门罗币挖矿,并组建一个攻击WordPress站点的僵尸收集。根据360收集安全研究院对此次Bondat蠕虫爆发时使用的控制端域名bellsyscdn.com以及urchintelemetry.com的监控数据来看,Bondat蠕虫此次爆发最少影响15000台小我私人电脑。

Clipboard Image.png

图1 Bondat蠕虫控制端域名bellsyscdn.com以及urchintelemetry.com走访量变迁趋向

Bondat蠕虫最早出现在2013年,是一个能够执行控制端下发的任意指令的“云控”蠕虫家族。Bondat蠕虫一般通过可挪移磁盘传播,并依赖一个JS脚本实现信息网络、自我复制、命令执行、构建僵尸收集等多项义务。

下图铺示了被感染的U盘情形。

Clipboard Image.png

图2 铺示了Bondat蠕虫的简单工作道理。

Clipboard Image.png

图3 Bondat蠕虫的简单工作道理

门罗币挖矿

早期的Bondat蠕虫首要通过修改阅读器主页获利。随着加密数字货币的兴起,Bondat蠕虫也涉足加密数字货币挖矿领域。在3月底的这次爆发中,Bondat蠕虫通过控制端下发门罗币挖矿代码并在受害者计算机上运行。图3铺示了控制端下发的门罗币挖矿代码。

Clipboard Image.png

图4 Bondat蠕虫控制端下发的门罗币挖款代码

可以看到,Bondat蠕虫会根据用户计算机的实际情形使用Chrome阅读器、Firefox阅读器或Edge阅读器的其中之一后台走访hxxps://xmrmsft.com/hive.html进行挖矿。该页面中嵌入了基于Coin-hive的挖矿脚本,Bondat蠕虫实际上借助了用户的阅读器进行门罗币挖矿。

Clipboard Image.png

图5 hxxps://xmrmsft.com/hive.html页面中嵌入的挖矿脚本

有趣的是,Bondat蠕虫不同于其他挖矿僵尸收集直接将挖矿木马植入用户计算机中,而是以不显示窗口的方式通过阅读器走访指定网页进行挖矿,其收益相比较直接植入挖矿木马要低无比多。由于Bondat蠕虫首要在PC间传播,PC用户对于计算机的操作频率较高,通过阅读器挖矿相比较直接植入挖矿木马隐蔽性更高,这可能也是攻击者云云选择的缘故起因。

Bondat蠕虫首要通过可挪移磁盘传播,并借助可挪移磁盘中的文件隐蔽自身。Bondat蠕虫会检索可挪移磁盘中特定格式的文件(例如doc、jpg),在创建与这些文件同名的快捷方式的同时隐躲这些文件,而这些快捷方式指向Bondat蠕虫的启动器Drive.bat。当用户使用可挪移磁盘时,极有可能将这些快捷方式误认为为正常文件,进而导致Bondat蠕虫的执行。图5铺示了被用于隐蔽Bondat蠕虫的文件格式。

Clipboard Image.png

图6 被用于隐蔽Bondat蠕虫的文件格式

Bondat蠕虫也会与杀毒软件进行匹敌,最显而易见的就是其对主体JS脚本代码进行大批混淆,这不仅影响杀毒软件的判定也增添了阐发人员的工作量。图6铺示了Bondat蠕虫部分代码混淆先后的对比,可以看出原本简单的代码经过混淆后变得至关复杂。

Clipboard Image.png

图7 Bondat蠕虫部分代码混淆先后的对比

此外,Bondat蠕虫还会尝试结束部分杀毒软件以及安全软件进程,触及的软件如图7所示。结束进程同时Bondat蠕虫会弹出一个如图8所示的伪造的程序错误提示框,此时无论用户点击确定或者取销都没法阻止进程结束,并且以后该进程没法再次启动。攻击者的本意多是想伪造杀毒软件或安全软件异常退出时的假象,让用户误觉得确凿是这些软件内部出现了问题,但这也无比容易引起用户的嫌疑,对于攻击者而言并不是一种明智的做法。

Clipboard Image.png

图8 Bondat蠕虫尝试

Clipboard Image.png

9 Bondat蠕虫结束进程时弹出的窗口

构建针对WordPress站点的僵尸收集

除了门罗币挖矿,我们还发现Bondat蠕虫通过PowerShell从hxxp://5.8.52.136/setup.php下载僵尸程序,构建针对WordPress站点的僵尸收集。根据监测数据来看,Bondat蠕虫于4月13日下发僵尸程序,这要稍晚于此次Bondat蠕虫的爆发时间。

Clipboard Image.png

图10 Bondat蠕虫对hxxp://5.8.52.136/setup.php走访量变迁趋向图

setup.php使用多组弱口令对指定的WordPress站点进行上岸爆破,一旦爆破成功则将站点地址和上岸帐户以及暗码发送到hxxp://5.8.52.136/put.php。setup.php进行爆破时使用的帐户名都为“admin”,暗码如图10所示。

Clipboard Image.png

图11 setup.php进行爆破时使用的暗码

在这一轮爆破攻击中,Bondat蠕虫首要针对以字母“j”开头的WordPress站点。我们推断,Bondat蠕虫可能已经进行了多次针对WordPress站点的爆破攻击。

此外,Bondat蠕虫下发的僵尸程序还试图在受害计算机上装置PHP格式的后门。僵尸程序从hxxp://5.8.52.136/php.zip下载完备的PHP环境装置在用户计算机中,并生成如图11所示的PHP后门

Clipboard Image.png

图12 Bondat蠕虫生成的PHP后门

得益于PHP文件的特殊性,Bondat蠕虫装置的PHP后门具有更好的免杀特性。在功能上,该后门一样被用于进行针对WordPress站点的爆破攻击。

结语

各类U盘传播的蠕虫,始终以来都是黉舍,打印店,各类单位局域网内的“常客”,WEB黑客,而Bondat蠕虫除会诱发之前常见蠕虫的问题之外,还会大批消费计算机资源,造成计算机卡慢等问题。Bondat蠕虫在匹敌杀软方面,也做了大批工作,譬如扔弃直接植入挖矿木马转而选择阅读器挖矿就增添了其隐蔽性。因此用户更需要对此提高警惕。防御这种蠕虫的攻击,首要可以从下列几方面入手:

1. 使用U盘,挪移硬盘时应该格外注意,建议使用具有U盘防护功能的安全软件;

2. 发现计算机长时间异常卡顿,可以使用360安全卫士进行扫描体检;

3. 定期对计算机进行病毒木马查杀,防止蠕虫病毒持续驻留。

4. 而对于WordPress站点治理者而言,使用强度较大的上岸暗码,并且及时修补相干漏洞是阻止站点遭到攻击最有用的要领。

360安全卫士可以周全拦截以及查杀此类木马,使用360安全卫士的用户无需担心。

IOC

95.153.31.18

95.153.31.22

bellsyscdn.com

urchintelemetry.com

5.8.52.136/setup.php

5.8.52.136/put.php

5.8.52.136/php.zip

5.8.52.136/get.zip

您可能还会对下面的文章感兴趣: