概述
近日,兰云科技银河实验室在多个监测点用“兰眼下一代威胁感知系统”检测到多起同类未知威胁事件,杀毒软件检测率非常低,经过分析发现这是某个挖矿僵尸网络的肉鸡更新程序,为了躲避杀毒软件查杀,特地将主控程序加密并放到资源中。样本通过MS17-010(永恒之蓝)漏洞进行传播,定时和C&C进行连接接受命令和更新模块,主要目的为挖掘门罗币,基于挖矿木马的典型行为,我们将此蠕虫组建的僵尸网络命名为WMAMiner botnet。
兰眼下一代威胁感知系统检测截图
VirusTotal检测截图
0x1 释放主控样本
通过分析发现僵尸网络拥有x86和x64平台的恶意组件,这里以x86平台作为分析,样本首先获取系统目录并和下面字符串拼接,拼接出如下:
C:\WINDOWS\system32\EnrollCertXaml.dll
C:\WINDOWS\system32\wmassrv.dll
C:\WINDOWS\system32\WMASTrace.ini
首先删除上面三个文件
之后获取资源,创建并写入文件C:\WINDOWS\system32\EnrollCertXaml.dll中
这个文件并不是一个可执行文件
先是读入文件内容然后解密将解密的内容写入C:\WINDOWS\system32\wmassrv.dll中
可以发现解密后是一个可执行文件
之后是获取C:\WINDOWS\system32\svchost.exe的文件时间,并设置成wmassrv.dll、EnrollCertXaml.dll的文件时间
可以看到这样文件的修改时间就跟系统其他文件的修改时候大致相同了,对主机检查起到一定的迷惑效果
之后便是设置wmassrv.dll为服务程序,并设置持久化
最后删除自身
0x2 主控模块
主控模块流程图
作为服务的主控模块,会首先创建C:\WINDOWS\system32\WMASTrace.ini,并写入一个加号
会先停止一些服务,一些是之前僵尸网络留下的服务
在初始化之后,便是开启多线程,每个线程都是一个模块
0x2.1 更新模块
每5个小时连接 sand.lcones.com和plam.lcones.com 两个地址
如果连接成功,样本会首先连接sand.lcones.com/resource
如果有内容会下载plam.lcones.com/modules.dat
如果返回值等于200
写入EnrollCertXaml.dll 文件中
0x2.2 C&C通信模块
本样本共有两个C&C地址,一个是通过http协议进行通信,一个是通过tcp协议进行通信
0x2.2.1 HTTP 通信
通信地址为tecate.traduires.com,没隔5隔小时连接一次
收集系统信息
拼接成如下图所示,并发送
通过返回数据解析有下面三个命令
命令 0 启动某个进程
命令1 下载并执行 通过regsvr32.exe
命令2 下载到临时文件夹并执行
0x2.2.2 TCP通信
TCP通信模块也是5个小时连接一次
连接的域名为split.despcartes.tk,有趣的是在这里面做了些间接调用,隐藏了些关键函数
进行连接,端口为8080
连接成功接收数据
收集的发送系统信息
0x2.3 挖矿模块
释放TasksHostServices.exe 经过分析这个是开源门罗币挖掘工具https://github.com/xmrig/xmrig/releases
通过以下参数进行启动
0x2.4 传播模块
释放C:\WINDOWS\SpeechsTracing\spoolsv.exe 并执行,该模块会首先释放Crypt,而这个其实是一个ZIP压缩包
解压缩后我们发现是NSA泄露的漏洞利用包
通过扫描内网445端口,进行传播
配置文件
传播成功后,会将x86.dll或者64.dll作为payload,继续看看x86.dll的功能
首先会监听 52137端口
而这时spoolsv.exe会读取EnrollCertXaml.dll并连接并发送
X86接收EnrollCertXaml.dll并解密出wmassrv.dll 注册成服务 开始下一轮传播
0x2.5防止停止模块
样本还是实时查看电脑中是否开启了任务管理器,如果开启,则会关闭
0x2.6 web服务器模块
会安装 开源WebHost\\mongoose工具,作为服务器,监听 63257端口
如果连接成功,则会发送EnrollCertXaml.dll
0x3 总结
近年随着区块链技术的兴起,区块链币的流行,黑客也越来越集中关注挖矿带来的经济利益,与之对应的挖矿类威胁越来越严重。此类木马在隐蔽性强,主动内网传播,建议客户部署相应安全设备,及时打好补丁,关闭445等端口,提前做好挖矿类威胁的安全防范。
0x4 IOC
IP
103.103.128.140
103.212.69.170
185.128.24.117
216.250.99.32
样本MD5:
7d3cf6bce43a115399f0daaa4b425417
69d8e2d62cb2f8e2a23cc949ebdb4e3d
* 本文作者:兰云科技银河实验室,转载注明来自FreeBuf.COM