跨平台挖矿木马MrbMiner已控制上千台服务器 – 作者:腾讯电脑管家

一、背景

腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner，黑客通过SQL Server服务器弱口令爆破入侵，爆破成功后在目标系统释放C#语言编写的木马assm.exe，进一步通过该木马与C2服务器通信，然后下载门罗币挖矿木马并维持挖矿进程。挖矿木马文件通过ZIP解压缩得到，并且会伪装成各类Windows系统服务。由于该挖矿木马的C2地址、矿池账号和文件信息均包含特征字符“MRB”，腾讯安全威胁情报中心将其命名为“MrbMiner“。

MrbMiner入侵后会释放另外两个下载器installerservice.exe、PowerShellInstaller.exe，下载器会将挖矿木马安装为系统服务以实现持久化运行，同时会搜集中招系统信息（包括CPU型号、CPU数量、.NET版本信息），关闭Windows升级服务以及在Windows系统中添加后门账号以方便继续入侵控制。

MrbMiner挖矿木马会小心隐藏自身，避免被管理员发现。木马会监测任务管理器进程，当用户启动“任务管理器”进程查看系统时，挖矿进程会立刻退出，并删除相关文件。

腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件，推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据，MrbMiner挖矿木马已控制上千台服务器组网挖矿。

腾讯安全系列产品已支持检测、清除MrbMiner挖矿木马。

二、详细分析

黑客通过批量扫描和爆破SQL Server服务，执行shellcode下载assm.exe到服务器一下位置，并启动assm.exe：

c:/program files/microsoft sql server/mssql**.mssqlserver/mssql/data/sqlmanagement/assm.exe

c:/windows/temp/sqlmanagement/assm.exe

assm.exe采用C#编写，执行后首先杀死已有挖矿进程，并删除文件。

然后向服务器vihansoft.ir:3341发送上线信息“    StartProgram    ok”

从服务器mrbfile[.]xyz下载门罗币挖矿木马压缩包文件sqlServer.dll。

对下载得到的文件进行Zip解压缩。

挖矿木马文件名伪装成与Windows正常服务相似的文件名：

Microsoft Media Service.exe

Microsoft Agent System.exe

WindowsSecurityService.exe

WindowsAgentService.exe

WindowsHostService.exe

Windows Desktop Service.exe

Windows Host Management.exe

Windows Update Service.exe

SecurityService.exe

InstallWindowsHost.exe

SystemManagement.exe

文件描述也使用类似的伪装手法：

Services

Service-Mrb

WindowsSecurityService

MrbMngService

SetAllconfig()设置挖矿配置文件，首先向服务器发送消息“getConfig”获取配置文件，然后将得到的配置文件中的“rig-id”由“MRB_ADMIN”替换为“MrbAdmin-ProcessorCount”，ProcessorCount为当前机器CPU数量。

同时根据环境下不同的CPU数量设置不同的挖矿端口，默认端口为3333：

CPU：1，port:3331

CPU：2，port:3332

CPU：4，port:3334

CPU：8，port:3338

默认挖矿配置参数：

一旦检测到挖矿进程退出，则重新启动。

一旦检测到“taskmgr”进程存在，则退出挖矿进程，并删除相关文件。（非常狡猾的设计，如果用户发现系统异常，准备打开任务管理器检查时，挖矿进程就结束，并删除文件）

私有矿池：mrbpool.xyz:443

公有矿池：pool.supportxmr.com:3333

门罗币钱包：

49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk

目前该钱包的收益为7个XMR，其私有矿池收益无法查询，而挖矿木马收益主要来源于私有矿池，因此该挖矿木马的实际收益会远远超过当前数额。

分析发现，黑客入侵后释放的另外两个下载器installerservice.exe、PowerShellInstaller.exe，下载门罗币挖矿木马之后，还会将其安装服务进行持久化，服务名为”Microsoft Agent Service”、”Windows Host Service”。

添加Windows账号”Default”，密码：”@fg125kjnhn987″，以便后续入侵系统。

执行Powershell命令，关闭系统升级服务：

获取系统内存信息：

获取IP地址：

获取CPU名称：

获取CPU数量：

获取.NET Framework版本信息：

此外，腾讯安全专家在攻击者的FTP服务器ftp[:]//145.239.225.15上，还发现了基于Linux平台和ARM平台的挖矿木马：

Linux和ARM平台挖矿使用矿池：pool.supportxmr.com:80

钱包：

498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh

该钱包目前收益3.38个XMR。

IOCs

IP

145.239.225.15

145.239.225.18

Domain

mrbfile.xyz

vihansoft.ir

C&C

vihansoft.ir:3341

URL

http[:]//mrbfile.xyz/Hostz.zip

http[:]//mrbfile.xyz/PowerShellInstaller.exe

http[:]//mrbfile.xyz/sql/SqlServer.dll

http[:]//mrbfile.xyz/Agentz.zip

http[:]//mrbfile.xyz/Agenty.zip

http[:]//mrbfile.xyz/sql/syslib.dll

http[:]//mrbfile.xyz/sys.dll

http[:]//mrbfile.xyz/35/sys.dll

http[:]//mrbfile.xyz/Hosty.zip

http[:]//vihansoft.ir/sys.dll

https[:]//vihansoft.ir/Sys.dll

http[:]//vihansoft.ir/Agentx.zip

https[:]//vihansoft.ir/d.zip

http[:]//vihansoft.ir/k.exe

http[:]//vihansoft.ir/d.zip

https[:]//vihansoft.ir/Hostx.zip

http[:]//vihansoft.ir/p.zip

https[:]//vihansoft.ir/k.exe

https[:]//vihansoft.ir/Agentx.zip

https[:]//vihansoft.ir/vhost.tar.gz

https[:]//vihansoft.ir/P.zip

https[:]//github.com/farzadbehdad/poiuytrewq/blob/master/Sys.dll?raw=true

https[:]//vihanSoft.ir/Agent.zip

https[:]//vihanSoft.ir/host.zip

ftp[:]//145.239.225.15/armv.tar.gz

ftp[:]//145.239.225.15/linux-os.tar.gz

ftp[:]//145.239.225.15/linuxservice.tar.gz

ftp[:]//145.239.225.15/osx.tar.gz

ftp[:]//145.239.225.15/vhost.tar.gz

ftp[:]//145.239.225.15/xmr.tar.gz

ftp[:]//145.239.225.15/arm.tar.gz

Md5

c79d08c7a122f208edefdc3bea807d64

6bcc710ba30f233000dcf6e0df2b4e91

ac72e18ad3d55592340d7b6c90732a2e

6c929565185c42e2e635a09e7e18fcc8

04612ddd71bb11069dd804048ef63ebf

68206d23f963e61814e9a0bd18a6ceaa

a5adecd40a98d67027af348b1eee4c45

c417197bcd1de05c8f6fcdbfeb6028eb

76c266d1b1406e8a5e45cfe279d5da6a

605b858b0b16d4952b2a24af3f9e8c8e

c3b16228717983e1548570848d51a23b

c10b1c31cf7f1fcf1aa7c79a5529381c

391694fe38d9fb229e158d2731c8ad7c

5d457156ea13de71c4eca7c46207890d

f1cd388489270031e659c89233f78ce9

54b14b1aa92f8c7e33a1fa75dc9ba63d

f9e91a21d4f400957a8ae7776954bd17

61a17390c68ec9e745339c1287206fdb

f13540e6e874b759cc3b51b531149003

2915f1f58ea658172472b011667053df

3cb03c04a402a57ef7bb61c899577ba4

f2d0b646b96cba582d53b788a32f6db2

5eaa3c2b187a4fa71718be57b0e704c9

8cf543527e0af3b0ec11f4a5b5970810

36254048a516eda1a13fab81b6123119

0a8aac558c77f9f49b64818d7ab12000

59beb43a9319cbc2b3f3c59303989111

ce8fdec586e258ef340428025e4e44fa

e4284f80b9066adc55079e8e564f448c

2f402cde33437d335f312a98b366c3c8

25a579dcc0cd6a70a56c7a4a0b8a1198

2d1159d7dc145192e55cd05a13408e9b

0d8838116a25b6987bf83214c1058aad

0c883e5bbbbb01c4b32121cfa876d9d6

2d26ecc1fdcdad62e608a9de2542a1a6

27c91887f44bd92fb5538bc249d0e024

96b0f85c37c1523f054c269131755808

028f24eb796b1bb20b85c7c708efa497

门罗币钱包：

49Bmp3SfddJRRGNW7GhHyAA2JgcYmZ4EGEix6p3eMNFCd15P2VsK9BHWcZWUNYF3nhf17MoRTRK4j5b7FUMA9zanSn9D3Nk

498s2XeKWYSEhQHGxdMULWdrpaKvSkDsq4855mCuksNL6ez2dk4mMQm8epbr9xvn5LgLPzD5uL9EGeRqWUdEZha1HmZqcyh

来源：freebuf.com 2020-09-03 16:05:15 by: 腾讯电脑管家