freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Bondat蠕虫难挡利益诱惑,锁主页挖矿勒索危害逐步升级
2018-05-18 08:00:50
所属地 广东省

0×1 概述

近日,腾讯御见威胁情报中心监测发现,借助U盘、移动硬盘传播的Bondat蠕虫病毒呈活跃趋势。该蠕虫构建的僵尸网络不仅通过浏览器执行JS挖矿木马,还会传播GandCrab3勒索病毒。

Bondat蠕虫最早出现在2013年,早期的Bondat蠕虫主要通过修改主页获利,在2018年3月份左右开始进行门罗币挖矿攻击,近段时间活跃的Bondat蠕虫不仅保留了主页修改、门罗币挖矿功能,还增加了传播勒索病毒的功能,危害等级逐步提高。

Bondat蠕虫感染流程

图1 Bondat蠕虫感染流程

Bondat僵尸网络近期活动趋势

图2 Bondat僵尸网络近期活动趋势

0×2 分析

1. 传播方式

Bondat蠕虫主要通过移动存储设备进行传播,通过枚举移动存储设备中的exe、doc、pdf等文件,然后创建这些文件名的同名快捷方式,并使快捷方式指向Bondat蠕虫启动器Drive.bat,当移动设备被另一台电脑打开时,病毒快捷方式很容易被执行导致蠕虫的扩散。

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图3 

2. JS分析

Bondat僵尸网络的主要功能都是通过一个JS完成,包括测试网络、检测杀软、隐藏文件、下载其他木马、感染等功能。感染成功后在AppData目录下创建随机名文件夹并释放exe和JS文件。

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图4

EXE文件实际上是Wscript.exe被重名为随机名,用随机名的exe来启动JS脚本来躲避对Wscript.exe进程的监控。

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图5

蠕虫主体JS经过强混淆,需要多步骤解密才能看到原来的代码。

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图6 

第一步:Ascii编码转换为对应的函数名

\x72\x65p\x6cace -->replace

ch\x61\x72\x43o\x64eAt -->charCodeAt

x74oS\x74r\x69\x6e\x67 -->toString

转换前:

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图7 

转换后:

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图8 

第二步:命令行字符运算

字符运算得到replace函数:  

charCodeAt,toString,length--> "replace" 

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图9

字符运算得到最终结果(包含replace运算)

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图10

字符运算得到最终结果(不包含replace运算)

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图11

第三步:循环进行第二步得到解密后的JS代码

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图12

JS执行时先访问microsoft.com或google.com或bing.com测试网络是否畅通,然后检测wireshark等监控软件是否存在。

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图13

访问C2:hxxp: urchintelemetry.com、hxxp: //bellsyscdn.com

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图14

修改注册表设置自身的隐藏属性

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图15 

枚举文件并创建伪装的lnk启动

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图16

启动浏览器后台连接hxxps://xmrmsft.com/hive.html进行挖矿,某些情况下(比如木马写死调用Edge,但感染的非Windows10系统并没有Edge浏览器),出现在如下错误信息。

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图17 

挖矿代码

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图18

连接nrqmail.org下载GandCrab3勒索病毒

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图19

GandCrab3勒索病毒执行

Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级

图20

0×3 安全建议

1. 不随意使用不安全的移动存储设备,使用时先通过杀毒软件扫描。

2. 保持杀毒软件实时开启可拦截该病毒威胁。

0×4 IOCs

C2:

hxxp:// urchintelemetry.com

hxxp: //bellsyscdn.com

hxxp:// 95.153.31.22

hxxp: //95.153.31.18

md5:

0bf071ad3022216461e6f3bfc67abf83

2d8be21fac098d8dd2dcfa66078d3496

36e27a400f60a69c0b1f1590c3d0d9ff

*本文作者:腾讯电脑管家,转载请注明来自 FreeBuf.COM

# 挖矿 # Bondat
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者