一、背景
腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner,黑客通过SQL Server服务器弱口令爆破入侵,爆破成功后在目标系统释放C#语言编写的木马assm.exe,进一步通过该木马与C2服务器通信,然后下载门罗币挖矿木马并维持挖矿进程。挖矿木马文件通过ZIP解压缩得到,并且会伪装成各类Windows系统服务。由于该挖矿木马的C2地址、矿池账号和文件信息均包含特征字符“MRB”,腾讯安全威胁情报中心将其命名为“MrbMiner“。
MrbMiner入侵后会释放另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载器会将挖矿木马安装为系统服务以实现持久化运行,同时会搜集中招系统信息(包括CPU型号、CPU数量、.NET版本信息),关闭Windows升级服务以及在Windows系统中添加后门账号以方便继续入侵控制。
MrbMiner挖矿木马会小心隐藏自身,避免被管理员发现。木马会监测任务管理器进程,当用户启动“任务管理器”进程查看系统时,挖矿进程会立刻退出,并删除相关文件。
腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件,推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据,MrbMiner挖矿木马已控制上千台服务器组网挖矿。
腾讯安全系列产品已支持检测、清除MrbMiner挖矿木马,详细响应清单如下:
应用
场景 |
安全产品 | 解决方案 |
威
胁 情 报 |
腾讯T-Sec
威胁情报云查服务 (SaaS) |
1)MrbMiner挖矿木马相关IOCs已入库。
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
腾讯T-Sec
高级威胁追溯系统 |
1)MrbMiner挖矿木马相关信息和情报已支持检索。
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
云原生安全
防护 |
云防火墙
(Cloud Firewall,CFW) |
基于网络流量进行威胁检测与主动拦截,已支持:
1)MrbMiner挖矿木马关联的IOCs已支持识别检测; 2)SQL Server弱口令爆破登陆预警。 有关云防火墙的更多信息,可参考: |
腾讯T-Sec 主机安全
(Cloud Workload Protection,CWP) |
1)已支持查杀MrbMiner相关木马程序;
2)SQL Server弱口令爆破登陆预警。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
腾讯T-Sec 安全运营中心 | 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。
关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
非云企业安全防护 | 腾讯T-Sec
高级威胁检测系统 (腾讯御界) |
1)已支持通过协议检测MrbMiner挖矿木马与服务器的网络通信。
关于T-Sec高级威胁检测系统的更多信息,可参考: |
腾讯T-Sec终端安全管理系统(御点) | 1)可查杀MrbMiner入侵释放的木马程序。
腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html |
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
二、详细分析
黑客通过批量扫描和爆破SQL Server服务,执行shellcode下载assm.exe到服务器一下位置,并启动assm.exe:
c:/program files/microsoft sql server/mssql**.mssqlserver/mssql/data/sqlmanagement/assm.exe
c:/windows/temp/sqlmanagement/assm.exe
assm.exe采用C#编写,执行后首先杀死已有挖矿进程,并删除文件。
然后向服务器vihansoft.ir:3341发送上线信息“ StartProgram ok”。
从服务器mrbfile[.]xyz下载门罗币挖矿木马压缩包文件sqlServer.dll。
对下载得到的文件进行Zip解压缩。
挖矿木马文件名伪装成与Windows正常服务相似的文件名:
Microsoft Media Service.exe
Microsoft Agent System.exe
WindowsSecurityService.exe
WindowsAgentService.exe
WindowsHostService.exe
Windows Desktop Service.exe
Windows Host Management.exe
Windows Update Service.exe
SecurityService.exe
InstallWindowsHost.exe
SystemManagement.exe
文件描述也使用类似的伪装手法:
Services
Service-Mrb
WindowsSecurityService
MrbMngService
SetAllconfig()设置挖矿配置文件,首先向服务器发送消息“getConfig”获取配置文件,然后将得到的配置文件中的“rig-id”由“MRB_ADMIN”替换为“MrbAdmin-ProcessorCount”,ProcessorCount为当前机器CPU数量。
同时根据环境下不同的CPU数量设置不同的挖矿端口,默认端口为3333:
CPU:1,port:3331
CPU:2,port:3332
CPU:4,port:3334
CPU:8,port:3338
默认挖矿配置参数:
一旦检测到挖矿进程退出,则重新启动。
一旦检测到“taskmgr”进程存在,则退出挖矿进程,并删除相关文件。(非常狡猾的设计,如果用户发现系统异常,准备打开任务管理器检查时,挖矿进程就结束,并删除文件)
私有矿池:mrbpool.xyz:443
公有矿池:pool.supportxmr.com:3333
门罗币钱包:
49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk
目前该钱包的收益为7个XMR,其私有矿池收益无法查询,而挖矿木马收益主要来源于私有矿池,因此该挖矿木马的实际收益会远远超过当前数额。
分析发现,黑客入侵后释放的另外两个下载器installerservice.exe、PowerShellInstaller.exe,下载门罗币挖矿木马之后,还会将其安装服务进行持久化,服务名为”Microsoft Agent Service”、”Windows Host Service”。
添加Windows账号”Default”,密码:”@fg125kjnhn987″,以便后续入侵系统。
执行Powershell命令,关闭系统升级服务:
获取系统内存信息:
获取IP地址:
获取CPU名称:
获取CPU数量:
获取.NET Framework版本信息:
此外,腾讯安全专家在攻击者的FTP服务器ftp[:]//145.239.225.15上,还发现了基于Linux平台和ARM平台的挖矿木马:
Linux和ARM平台挖矿使用矿池:pool.supportxmr.com:80
钱包:
498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh
该钱包目前收益3.38个XMR。
IOCs
IP
145.239.225.15
145.239.225.18
Domain
mrbfile.xyz
vihansoft.ir
C&C
vihansoft.ir:3341
URL
http[:]//mrbfile.xyz/Hostz.zip
http[:]//mrbfile.xyz/PowerShellInstaller.exe
http[:]//mrbfile.xyz/sql/SqlServer.dll
http[:]//mrbfile.xyz/Agentz.zip
http[:]//mrbfile.xyz/Agenty.zip
http[:]//mrbfile.xyz/sql/syslib.dll
http[:]//mrbfile.xyz/sys.dll
http[:]//mrbfile.xyz/35/sys.dll
http[:]//mrbfile.xyz/Hosty.zip
http[:]//vihansoft.ir/sys.dll
https[:]//vihansoft.ir/Sys.dll
http[:]//vihansoft.ir/Agentx.zip
https[:]//vihansoft.ir/d.zip
http[:]//vihansoft.ir/k.exe
http[:]//vihansoft.ir/d.zip
https[:]//vihansoft.ir/Hostx.zip
http[:]//vihansoft.ir/p.zip
https[:]//vihansoft.ir/k.exe
https[:]//vihansoft.ir/Agentx.zip
https[:]//vihansoft.ir/vhost.tar.gz
https[:]//vihansoft.ir/P.zip
https[:]//github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true
https[:]//vihanSoft.ir/Agent.zip
https[:]//vihanSoft.ir/host.zip
ftp[:]//145.239.225.15/armv.tar.gz
ftp[:]//145.239.225.15/linux-os.tar.gz
ftp[:]//145.239.225.15/linuxservice.tar.gz
ftp[:]//145.239.225.15/osx.tar.gz
ftp[:]//145.239.225.15/vhost.tar.gz
ftp[:]//145.239.225.15/xmr.tar.gz
ftp[:]//145.239.225.15/arm.tar.gz
Md5
c79d08c7a122f208edefdc3bea807d64
6bcc710ba30f233000dcf6e0df2b4e91
ac72e18ad3d55592340d7b6c90732a2e
6c929565185c42e2e635a09e7e18fcc8
04612ddd71bb11069dd804048ef63ebf
68206d23f963e61814e9a0bd18a6ceaa
a5adecd40a98d67027af348b1eee4c45
c417197bcd1de05c8f6fcdbfeb6028eb
76c266d1b1406e8a5e45cfe279d5da6a
605b858b0b16d4952b2a24af3f9e8c8e
c3b16228717983e1548570848d51a23b
c10b1c31cf7f1fcf1aa7c79a5529381c
391694fe38d9fb229e158d2731c8ad7c
5d457156ea13de71c4eca7c46207890d
f1cd388489270031e659c89233f78ce9
54b14b1aa92f8c7e33a1fa75dc9ba63d
f9e91a21d4f400957a8ae7776954bd17
61a17390c68ec9e745339c1287206fdb
f13540e6e874b759cc3b51b531149003
2915f1f58ea658172472b011667053df
3cb03c04a402a57ef7bb61c899577ba4
f2d0b646b96cba582d53b788a32f6db2
5eaa3c2b187a4fa71718be57b0e704c9
8cf543527e0af3b0ec11f4a5b5970810
36254048a516eda1a13fab81b6123119
0a8aac558c77f9f49b64818d7ab12000
59beb43a9319cbc2b3f3c59303989111
ce8fdec586e258ef340428025e4e44fa
e4284f80b9066adc55079e8e564f448c
2f402cde33437d335f312a98b366c3c8
25a579dcc0cd6a70a56c7a4a0b8a1198
2d1159d7dc145192e55cd05a13408e9b
2dd8a0213893a26f69e6ae56d2b58d9d
0d8838116a25b6987bf83214c1058aad
0c883e5bbbbb01c4b32121cfa876d9d6
2d26ecc1fdcdad62e608a9de2542a1a6
27c91887f44bd92fb5538bc249d0e024
96b0f85c37c1523f054c269131755808
028f24eb796b1bb20b85c7c708efa497
门罗币钱包:
49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk
498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh
请登录后发表评论
注册