近日,360互联网安全中心监测到流行蠕虫家族Bondat的感染量出现一轮小爆发。在这次爆发中,Bondat利用受害机器资源进行门罗币挖矿,并组建一个攻击WordPress站点的僵尸网络。根据360网络安全研究院对此次Bondat蠕虫爆发时使用的控制端域名bellsyscdn.com和urchintelemetry.com的监控数据来看,Bondat蠕虫此次爆发至少影响15000台个人电脑。
图1 Bondat蠕虫控制端域名bellsyscdn.com和urchintelemetry.com访问量变化趋势
Bondat蠕虫最早出现在2013年,是一个能够执行控制端下发的任意指令的“云控”蠕虫家族。Bondat蠕虫一般通过可移动磁盘传播,并依靠一个JS脚本完成信息收集、自我复制、命令执行、构建僵尸网络等多项任务。
下图展示了被感染的U盘情况。
图2 展示了Bondat蠕虫的简单工作原理。
图3 Bondat蠕虫的简单工作原理
门罗币挖矿
早期的Bondat蠕虫主要通过修改浏览器主页获利。随着加密数字货币的兴起,Bondat蠕虫也涉足加密数字货币挖矿领域。在3月底的这次爆发中,Bondat蠕虫通过控制端下发门罗币挖矿代码并在受害者计算机上运行。图3展示了控制端下发的门罗币挖矿代码。
图4 Bondat蠕虫控制端下发的门罗币挖款代码
可以看到,Bondat蠕虫会根据用户计算机的实际情况使用Chrome浏览器、Firefox浏览器或Edge浏览器的其中之一后台访问hxxps://xmrmsft.com/hive.html进行挖矿。该页面中嵌入了基于Coin-hive的挖矿脚本,Bondat蠕虫实际上借助了用户的浏览器进行门罗币挖矿。
图5 hxxps://xmrmsft.com/hive.html页面中嵌入的挖矿脚本
有趣的是,Bondat蠕虫不同于其他挖矿僵尸网络直接将挖矿木马植入用户计算机中,而是以不显示窗口的方式通过浏览器访问指定网页进行挖矿,其收益相比较直接植入挖矿木马要低非常多。由于Bondat蠕虫主要在PC间传播,PC用户对于计算机的操作频率较高,通过浏览器挖矿相比较直接植入挖矿木马隐蔽性更高,这可能也是攻击者如此选择的原因。
Bondat蠕虫主要通过可移动磁盘传播,并借助可移动磁盘中的文件隐蔽自身。Bondat蠕虫会检索可移动磁盘中特定格式的文件(例如doc、jpg),在创建与这些文件同名的快捷方式的同时隐藏这些文件,而这些快捷方式指向Bondat蠕虫的启动器Drive.bat。当用户使用可移动磁盘时,极有可能将这些快捷方式误认为为正常文件,进而导致Bondat蠕虫的执行。图5展示了被用于隐蔽Bondat蠕虫的文件格式。
图6 被用于隐蔽Bondat蠕虫的文件格式
Bondat蠕虫也会与杀毒软件进行对抗,最显而易见的就是其对主体JS脚本代码进行大量混淆,这不仅影响杀毒软件的判断也增加了分析人员的工作量。图6展示了Bondat蠕虫部分代码混淆前后的对比,可以看出原本简单的代码经过混淆后变得相当复杂。
图7 Bondat蠕虫部分代码混淆前后的对比
此外,Bondat蠕虫还会尝试结束部分杀毒软件和安全软件进程,涉及的软件如图7所示。结束进程同时Bondat蠕虫会弹出一个如图8所示的伪造的程序错误提示框,此时无论用户点击确定或者取消都无法阻止进程结束,并且之后该进程无法再次启动。攻击者的本意可能是想伪造杀毒软件或安全软件异常退出时的假象,让用户误以为确实是这些软件内部出现了问题,但这也非常容易引起用户的怀疑,对于攻击者而言并不是一种明智的做法。
图8 Bondat蠕虫尝试
9 Bondat蠕虫结束进程时弹出的窗口
构建针对WordPress站点的僵尸网络
除了门罗币挖矿,我们还发现Bondat蠕虫通过PowerShell从hxxp://5.8.52.136/setup.php下载僵尸程序,构建针对WordPress站点的僵尸网络。根据监测数据来看,Bondat蠕虫于4月13日下发僵尸程序,这要稍晚于此次Bondat蠕虫的爆发时间。
图10 Bondat蠕虫对hxxp://5.8.52.136/setup.php访问量变化趋势图
setup.php使用多组弱口令对指定的WordPress站点进行登陆爆破,一旦爆破成功则将站点地址以及登陆帐户和密码发送到hxxp://5.8.52.136/put.php。setup.php进行爆破时使用的帐户名都为“admin”,密码如图10所示。
图11 setup.php进行爆破时使用的密码
在这一轮爆破攻击中,Bondat蠕虫主要针对以字母“j”开头的WordPress站点。我们推断,Bondat蠕虫可能已经进行了多次针对WordPress站点的爆破攻击。
此外,Bondat蠕虫下发的僵尸程序还试图在受害计算机上安装PHP格式的后门。僵尸程序从hxxp://5.8.52.136/php.zip下载完整的PHP环境安装在用户计算机中,并生成如图11所示的PHP后门。
图12 Bondat蠕虫生成的PHP后门
得益于PHP文件的特殊性,Bondat蠕虫安装的PHP后门具有更好的免杀特性。在功能上,该后门同样被用于进行针对WordPress站点的爆破攻击。
结语
各类U盘传播的蠕虫,一直以来都是学校,打印店,各类单位局域网内的“常客”,而Bondat蠕虫除会引发之前常见蠕虫的问题之外,还会大量消耗计算机资源,造成计算机卡慢等问题。Bondat蠕虫在对抗杀软方面,也做了大量工作,比如抛弃直接植入挖矿木马转而选择浏览器挖矿就增加了其隐蔽性。因此用户更需要对此提高警惕。防御这类蠕虫的攻击,主要可以从以下几方面入手:
1. 使用U盘,移动硬盘时应该格外注意,建议使用具有U盘防护功能的安全软件;
2. 发现计算机长时间异常卡顿,可以使用360安全卫士进行扫描体检;
3. 定期对计算机进行病毒木马查杀,防止蠕虫病毒持续驻留。
4. 而对于WordPress站点管理者而言,使用强度较大的登陆密码,并且及时修补相关漏洞是阻止站点遭到攻击最有效的方法。
360安全卫士可以全面拦截和查杀此类木马,使用360安全卫士的用户无需担心。
IOC
95.153.31.18
95.153.31.22
bellsyscdn.com
urchintelemetry.com
5.8.52.136/setup.php
5.8.52.136/put.php
5.8.52.136/php.zip
5.8.52.136/get.zip