1. 介绍
近期“兰眼下一代威胁感知系统”在多个客户现场检测到大量挖矿木马,分析后发现该系列木马是NSASrvanyMiner挖矿木马的变种,此木马利用NSA泄露的漏洞在内网中传播。进一步分析,研究人员发现,此次变种中除了挖矿木马外,还新增了后门软件。在挖矿过程中会删除其他挖矿木马,防止竞争。并会对主机进行加固,防止其他挖矿程序进行入侵。
本次抓取的样本主要有两个,一个是后门程序,另一个是挖矿程序,程序投放流程如下:
攻击者利用ms17-010漏洞入侵主机后,攻击者会从dns.alibuf.com/dsp12.exe或dns.alibuf.com/dsc.exe下载后门安装程序,并运行该程序。
后门安装程序中存放着一段有趣的数据,是一个PE程序,但是所有的字节是倒序存储的,这个PE文件会被释放到%TEMP%文件夹下,并随机命名,本次分析中释放的文件名为1303310.dll。
后门安装程序加载该dll,并调用该dll的Install函数,安装Remote Desktop Report服务:
修改ServiceDll
Remote Desktop Report就是后门服务,后门的主要功能都由1303310.dll提供,安装完服务后,后门安装程序便完成了自己的使命。
① 启动后门
程序首先将rundll32.exe程序拷贝到C:\Windows\system32\Remote Desktop Report.exe然后以服务(Remote Desktop Report)的形式启动,启动参数:
"C:\Windows\system32\Remote Desktop Report.exe" "c:\***\1303310.dll",MainThread
②连接C&C
后门启动后,将主动连接C&C”post.f2pool.info”,并且大约每16分钟主动连接一次,主动连接时将向C&C发送含有系统的基本信息的数据:
上图这段数据是发送时的数据,这段数据是加密的数据,加密前的数据如下:
③后门功能
后门连接C&C后会进入等待,接收C&C指令执行恶意行为:
④后门传送给C&C的数据,使用如下加密算法进行加密:
⑤后门从C&C中接收指令,会首先进行解密,解密代码如下:
⑥信息收集
后门会收集系统中下列进程的信息,并根据C&C需求发送出去:
攻击者会从dns.alibuf.com/dsp.exe下载挖矿安装程序,程序的核心功能如下:
①为了能够独占资源,程序将清理运行环境,终止其他病毒(使用ms17-010的病毒)的服务,删除自身老版本文件:
删除如下服务:ServiceSaims、ServiceSais、RpcEptManger、Samserver、Samserver、lanmanserver、mssecsvc2.0、mssecsvc2.1、Natihial、ServicesMain
删除如下文件:
"c:\windows\Fonts\lsass.exe"
"c:\windows\Fonts\conhost.exe"
"c:\windows\Fonts\rundllhost.exe"
"c:\windows\Fonts\dlllhost.exe"
"c:\windows\Fonts\wininit.exe"
"c:\windows\Fonts\rundllhost.exe"
②安装挖矿启动服务:
首先释放c:\windows\Fonts\svchost.exe和c:\windows\Fonts\lsass.exe文件。c:\windows\Fonts\svchost.exe是NSSM服务安装程序;
接着执行下列命令,将c:\windows\Fonts\lsass.exe注册为服务HostManger,并启动HostManger服务:
"c:\windows\Fonts\svchost.exe install HostManger c:\windows\Fonts\lsass.exe"
"c:\windows\Fonts\svchost.exe set HostManger DisplayName HOST Endpoint Manger"
"c:\windows\Fonts\svchost.exe set HostManger Description HOST performance library information from Wi"
"c:\windows\Fonts\svchost.exe start HostManger"
③对主机进行“加固”:
释放c:\windows\hosts.bat文件,为了独享挖矿资源hosts.bat将对同行挖矿木马查杀,同时关闭135,137,138,139,445端口,避免其他挖矿木马入侵机器;
通过wmic指令对同行挖矿木马查杀:
开启防火墙,关闭危险端口:
④清理运行痕迹,删除自身文件
释放tem.vbs,运行将删除自身程序
在挖矿安装程序在释放c:\windows\Fonts\svchost.exe前先检查运行环境,如果发现是32位系统,则会释放一个4字节的c:\windows\Fonts\svchost.exe文件,使用记事本打开,就会发现如下内容,据此推断该团伙为国人团伙。
挖矿安装程序将会启动服务HostManger,HostManger指向的程序是c:\windows\Fonts\lsass.exe,lsass.exe就是挖矿启动程序。
该程序核心功能如下:
①首先尝试结束以下进程(监控或行为分析工具):
Taskmgr.exe
Rundll32.exe
Autoruns.exe
Perfmon.exe
Procxp.exe
processHacker.exe
②之后开始检测运行环境,如果检测到以下进程则退出挖矿程序:
Taskmgr.exe
Autoruns.exe
360taskmgr.exe
Perfmon.exe
Procxp.exe
processHacker.exe
③释放挖矿程序
释放c:\windows\Fonts\runhost.exe,runhost.exe是门罗币挖矿程序(https://github.com/xmrig/xmrig/releases/tag/v2.8.3),挖矿启动程序将挖矿程序注册为Hostserver服务,并启动Hostserver。
挖矿程序启动命令:
"runhost.exe" -o stratum+tcp://l.f2pool.info:443 -u 47QrUBQ4ejMW5wrWXiKUyRcQCZszauGWg9c3SLkzFoBJi45M5yN6gVPjVxSUfjMq4u8vepEejdnxyRQcv4RuFGy25x67433 -p x -k --donate-level=1
查看挖矿收益,该钱包目前已经挖取到24.9个XMR:
“兰眼下一代威胁感知系统”提供了全面挖矿程序检测的能力,通过部署本设备能及时高效的检测各类挖矿木马等威胁。
另外建议主机上安装补丁和关闭不必要的文件共享机制和445、135、139、3389等不必要的端口,以最大程度降低挖矿木马对网络的影响。
MS170-010补丁下载路径:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
MD5
a118fe842e0fd3b38f24c0b9caecbe44
e455b6d9064961331654b734fa535df8
8a44626c2ca26a84764e7ad771143d44
0ef0a7198444a43be51948e10cc15c53
2e18717633471f4ca36a442884b7f9d3
7230bfa7a6dd90259735cc2ef811b0e0
URLs
dns.alibuf.com/dsp.exe
dns.alibuf.com/dsp12.exe
post.f2pool.info
l.f2pool.info
京公网安备 11010802024705号 京ICP备20030588号 Copyright © 兰云科技 www.lanysec.com 版权所有
