快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

WMAMiner挖矿蠕虫阐发

概述

近日,兰云科技银河实验室在多个监测点用“兰眼下一代威胁感知体系”检测到多起同类未知威胁事故,杀毒软件检测率无比低,经过阐发发现这是某个挖矿僵尸收集的肉鸡更新程序,为了藏避杀毒软件查杀,专门将主控程序加密并放到资源中。样本通过MS17-010(永恒之蓝)漏洞进行传播,准时以及C&C进行连接接受命令以及更新模块,首要目的为挖掘门罗币,基于挖矿木马的典型举动,我们将此蠕虫组建的僵尸收集命名为WMAMiner botnet。

image.png    

兰眼下一代威胁感知体系检测截图

image.png

image.png

VirusTotal检测截图

0×1 开释主控样本

通过阐发发现僵尸收集拥有x86以及x64平台的恶意组件,这里以x86平台作为阐发,样本起首获取体系目录并以及下面字符串拼接,拼接出以下:

C:\WINDOWS\system32\EnrollCertXaml.dll

C:\WINDOWS\system32\wmassrv.dll

C:\WINDOWS\system32\WMASTrace.ini

1.png

起首删除上面三个文件

image.png   

以后获取资源,创建并写入文件C:\WINDOWS\system32\EnrollCertXaml.dll中

image.png
这个文件并不是一个可执行文件

image.png

先是读入文件内容然后解密将解密的内容写入C:\WINDOWS\system32\wmassrv.dll中

image.png

可以发现解密后是一个可执行文件

image.png

以后是获取C:\WINDOWS\system32\svchost.exe的文件时间,并配置成wmassrv.dll、EnrollCertXaml.dll的文件时间

image.png

可以看到如许文件的修改时间就跟体系其他文件的修改时辰大致相同了,对主机检查起到一定的迷惑结果

image.png

以后便是配置wmassrv.dll为服务程序,并配置持久化

image.png
image.png
最后删除自身

image.png

0×2 主控模块

主控模块流程图

image.png

作为服务的主控模块,会起首创建C:\WINDOWS\system32\WMASTrace.ini,黑客漏洞,并写入一个加号

image.png

会先休止一些服务,一些是之前僵尸收集留下的服务

image.png

在初始化以后,便是开启多线程,每一个线程都是一个模块

0×2.1 更新模块

每一5个小时连接 sand.lcones.com以及plam.lcones.com 两个地址

image.png

要是连接成功,样本会起首连接sand.lcones.com/resource

image.png

要是有内容会下载plam.lcones.com/modules.dat 

image.png

要是返归值等于200

image.png

写入EnrollCertXaml.dll 文件中

image.png

0×2.2 C&C通讯模块

 本样本共有两个C&C地址,一个是通过http协定进行通讯,一个是通过tcp协定进行通讯

0×2.2.1 HTTP 通讯

通讯地址为tecate.traduires.com,没隔5隔小时连接一次

image.png

网络体系信息

image.png

拼接成以下图所示,并发送

image.png

image.png

通过返归数据解析有下面三个命令

image.png

命令 0 启动某个进程

image.png

命令1 下载并执行 通过regsvr32.exe

image.png
image.png
命令2 下载到暂且文件夹并执行

image.png

0×2.2.2 TCP通讯

TCP通讯模块也是5个小时连接一次

image.png

连接的域名为split.despcartes.tk,有趣的是在这内里做了些间接调用,隐躲了些症结函数

image.png

进行连接,端口为8080

image.png

连接成功接收数据

image.png

网络的发送体系信息

image.png

image.png

0×2.3 挖矿模块

开释TasksHostServices.exe 经过阐发这个是开源门罗币挖掘工具https://github.com/xmrig/xmrig/releases

image.png

通过下列参数进行启动

image.png

0×2.4 传播模块 

image.png

开释C:\WINDOWS\SpeechsTracing\spoolsv.exe  并执行,该模块会起首开释Crypt,而这个实际上是一个ZIP压缩包

image.png

解压缩后我们发现是NSA泄露的漏洞行使包

image.png

通过扫描内网445端口,进行传播

image.png设置文件

image.png

传播成功后,会将x86.dll或者64.dll作为payload,继续看看x86.dll的功能

起首会监听 52137端口

image.png

kk.png

而这时辰spoolsv.exe会读取EnrollCertXaml.dll并连接并发送

image.png

X86接收EnrollCertXaml.dll并解密出wmassrv.dll 注册成服务 最先下一轮传播

image.png

0×2.5防止休止模块

样本照样实时查看电脑中是否开启了义务治理器,要是开启,则会关闭

image.pngimage.png

0×2.6 web服务器模块

会装置 开源WebHost\\mongoose工具,作为服务器,监听  63257端口

image.png

要是连接成功,则会发送EnrollCertXaml.dll

image.png

0×3 总结

近年随着区块链手艺的兴起,区块链币的流行,黑客也越来越集中关注挖矿带来的经济利益,与之对应的挖矿类威胁越来越严重。此类木马在隐蔽性强,主动内网传播,建议客户部署相应安全设备,及时打好补丁,关闭445等端口,提前做好挖矿类威胁的安全防范。

0×4 IOC

IP

103.103.128.140

103.212.69.170

185.128.24.117

216.250.99.32

样本MD5:

7d3cf6bce43a115399f0daaa4b425417

69d8e2d62cb2f8e2a23cc949ebdb4e3d

*

您可能还会对下面的文章感兴趣: