概要
WannaMine是一个以挖取门罗币为目的的僵尸网络,最早于2017年10月被国外网络安全厂 商曝光,因同样使用永恒之蓝(EternalBlue)漏洞进行扩散(与Wannacry相似)而得名。据微 步在线黑客画像系统和狩猎系统监测发现,WannaMine在近一年时间中活动频繁,而其木马存 放站点近日竟出现被美国国土安全局查封的字样,为查明原委,微步在线对WannaMine分析如下:
除保持挖矿“主业”外,WannaMine目前已增加DDoS、“抓鸡”等多种“业务”。
WannaMine利用漏洞自动化在Windows和Linux两种环境抓取“肉鸡”,危害程度日益增加。
WannaMine组织架构不断完善,功能模块独立化,每个模块在攻击流程中都具备明确角色和任务。
自2018年9月起开始使用新的木马存放节点(cache.windowsdefenderhost.com)和C&C服务器(online.srentrap.com)。
恶意站点“掩耳盗铃”式的伪装成被美国国土安全局接管状态,以期干扰安全人员的分析判断。
详情
监测发现,WannaMine自2017年底出现以来,功能架构不断完善,攻击流程日趋复杂: 由早期利用“永恒之蓝”(EternalBlue)漏洞进行扩散,逐步增加通过ssh/telnet暴力破解,利用CVE-2017-0213、CVE-2016-5195等漏洞辅助入侵提升控制权限;功能模块独立化,每个模块 在攻击流程中都具备明确角色和任务,有效避免单个组织功能模块被关联分析;攻击目标方 向由Windows系统扩展至Linux环境,危害程度日益增加。
样本分析
本报告分析的样本捕获于2018年9月,样本基本信息如下表所示:
文件类型 | PE32 executable (console) Intel 80386, for MS Windows |
---|---|
文件大小 | 139264 |
MD5 | 2058516a54e9ccd9cc1556d67a7ccbc3 |
SHA1 | c8aa652f6fbbba9723bde99d4a97b8b592853047 |
SHA256 | 018dcbf3d26eafaad1b2cca3608af9faf38fa8281b2e3c8d5ad4c89bc2d7e1b8 |
时间戳 | 1992-06-19 22:22:17 |
涉及URL | http://cache.windowsdefenderhost.com/linux/shell http://cache.windowsdefenderhost.com/windows/recentfileprogrom.exe http://cache.windowsdefenderhost.com/windows/w_download.exe http://cache.windowsdefenderhost.com/linux/udp http://cache.windowsdefenderhost.com/windows/res.exe http://cache.windowsdefenderhost.com/windows/tor.exe http://cache.windowsdefenderhost.com/linux/dc_elf_32 http://cache.windowsdefenderhost.com/linux/fs_elf_64 http://cache.windowsdefenderhost.com/windows/config.json |
C&C | 185.128.43.58、111.90.159.149 |
以该样本为例,分析发现WannaMine目前的架构下图所示:
图 1 WannaMine 组织结构图
图 1具体过程为:
1、WannaMine首先通过“永恒之蓝”漏洞入侵向Windows系统并植入w_download.exe,下载相关 木马组件RecentFileProgrom.exe、res.exe、tor.exe。
2、RecentFileProgrom.exe主要实现的是向被感染设备内/网进行“永恒之蓝”漏洞扫描。一旦感染了RecentFileProgrom.exe首先会自动枚举探测/扫描内网IP,并注入感染木马payload。
3、Tor.exe是Trojan[DDoS]/Win32.Nitol.A木马,实现的是寄生在Windows环境的DDoS木马。其CC为online.srentrap.com:8080。
图 4 Nitol.A 首包
4、Res.exe为自压缩文件,主要是实现自解压释放提权和挖矿等功能模块组件。其中1505132/64.exe、1603232/64.exe、170213.exe为CVE-2015-1701本地提权载荷,170213.exe为CVE-2017-0213本地载荷,为有关木马提高权限;testuac.exe获取本地系统配置信息;exp.exe释 放m5VWc67.bat实现探测网络状态和删除res.exe母体样本;svchost-1.exe、login.jpg、register.jpg是执行挖矿的主体木马。
图 5 m5VWc67.bat 批处理命令
5、svchost.exe访问http://cache.windowsdefenderhost.com/windows/config.json,获取矿池地址和钱包地址信息,根据获取到多个矿池信息,使挖矿木马能以任务队列方式获取挖矿任务,减少设备闲置时间。同时,WannaMine木马还可以通过修改config.json配置文件实现对矿池、钱包等 实时自定义增删改;访问 http://cache.windowsdefenderhost.com:80/windows/yesir.txt获取挖矿任 务。而login.jpg、register.jpg是挖矿执行组件,为了躲避杀毒工具检测,样本伪装成jpg图片文件。
图 6 获取矿池+钱包等信息
图 7 获取挖矿任务
6、WannaMine还通过对ssh/telnet远程爆破等手段向Linux设备注入名为udp、dc_elf_32、fs_elf_64等文件。Udp文件是Trojan[DDoS]/Linux.Setag(又名BillGates)家族木马,主要是实现DDoS功能,其C&C为online.srentrap.com:8443(与上述Nitol.A木马相同)和uk.7h4uk.com:6001。
图 8 Setag 首包
7、dc_elf_32、fs_elf_64都是CVE-2016-5195本地提权漏洞的攻击载荷,负责为udp木马提高执行权限。
关联分析
有趣的是,WannaMine木马存放代理站点cache.windowsdefenderhost.com和d4uk.7h4uk.com均存在正常网页,均显示为已被美国国土安全局接管,如下图所示:
图 9 伪造界面
但是该站点实际仍在对外提供木马样本下载,因此判断该图片系攻击者刻意为之,营造出该网站已被美国政府部门接管,现为“无害”状态,以干扰安全人员分析判断。
相关IOC请访问链接:https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=802
*本文作者:Threatbook,转载请注明来自FreeBuf.COM