概况
近期,毒霸安全团队通过“捕风”系统监测到一款在内网中传播的挖矿病毒,该病毒打包了方程式攻击工具包,在内网中利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)进行横向传播,被感染的电脑首先会解析特定URL上的内容,然后进行挖矿(门罗币、BEAM币)、对抗杀软等操作,最终组成其僵尸网络中的一员。
门罗币通常是挖矿病毒的首选,但此次发现的挖BEAM币的病毒,还尚属首例,BEAM主网于北京时间2019年1月3日上线,而这个挖BEAM币的病毒1月10日上线,相差大约了1周的时间,看来黑产也时刻关心着币圈的动态。
不同于以往的僵尸网络,该病毒的C&C服务器,需要通过EmerDNS、Namecoin这类基于区块链的加密货币进行转换,进而得到真实的地址信息,由于这类区块链去中心化、匿名等特点,导致它们无法被某个机构统一关停,危害较大。并且病毒运行中所需要的文件下载、感染上报统计等内容,均由公用网盘(upload.ee)、匿名网盘(anonfiles.com)、图床(thyrsi.com)提供,而非某个固定的IP地址,因而也提升了安全分析人员和自动化分析系统反查的难度。据EmerDNS官网的介绍显示,其宣传自己“完全去中心化,不受任何审查影响。没有人可以修改你的记录,只有记录创建者才能操作记录内容。”
综上,我们给这个病毒命名为“匿影”病毒
技术分析
该病毒关键部分的代码使用了Themida和VMP保护,提高了研究人员逆向分析的难度,所涉及到的域名和服务器均由第三方服务商提供,病毒作者可谓真正做到了零成本的挖矿。
整个病毒的感染运行流程如下:
该病毒变种众多,我们以其中一个样本为例,首先,被感染电脑的进程会被注入,然后下载以下文件执行:
下载地址 | 文件名 |
---|---|
http://thyrsi.com/t6/673/1550933430×1822614074.jpg | smyy.exe |
http://thyrsi.com/t6/661/1548166332×1822614266.jpg | nvidia.exe |
nvida.exe是一个挖矿程序,挖的是BEAM币,挖矿指令如下:
C:\Windows\nvidia.exe --server beam.sparkpool.com:2222--key 1b31325a82ad21a39b32944d8099e98c3c3e25c74ec713840bc9b1f24af9fe5efbb
该矿池(星火矿池)钱包地址的收益如下,总共80个BEAM币,目前单个币的价格是5.4元,算下来目前一共收益432元:
smyy.exe是一个自解压程序,运行后会释放方程式攻击工具包到C:\ProgramData下,接着从中运行端口扫描工具,扫描局域网中开放了445端口且存在MS17-010漏洞的电脑,最后利用双脉冲星(DoublePulsar)上传植入后门程序x64.dll到目标电脑:
x64.dll做为内网间初始的攻击载荷,运行后会加载自身的模块(资源名称102,文件名称spoolsv.exe),然后去下载chrome.exe执行,chrome.exe执行后又会去访问hxxps://www.upload.ee/files/9524426/6.txt.html,此处的主要目的为统计感染量,之后释放出以下4个文件:
文件名 | 用途 |
---|---|
kuaizip.ini | RC4加密的文件 |
kuaizipUpdateChecker.exe | 解密执行kuaizip.ini |
lasss.exe | the Non-Sucking Service Manager 2.24 |
cty.ini | 统计文件 |
文件释放完成后,chrome.exe利用lasss.exe,往系统中添加、启动服务kuaizipUpdate,主要目的为确保每次开机时都能运行kuaizipUpdateChecker.exe:
kuaizipUpdateChecker.exe运行后,会去解密运行kuaizip.ini,该文件为RC4加密,解密秘钥为:uwrhftyuyjfhgdfsdrtyuyuiyw5erdsf8oyukjg,解密运行的文件又会释放出以下3个文件:
文件名 | 用途 |
---|---|
retboolDriver.sys | 对抗杀软,结束进程 |
chromme.exe | 门罗币挖矿程序 |
svchost.exe | 注入svchost,下载文件 |
其中retboolDriver.sys这个驱动的主要目的是根据指令,结束杀软的进程,保护程序不被杀软所查杀,以下是被针对结束的杀软进程列表:
结束完杀软进程后,svchost.exe会打开以下网页,读取上面加密保存的配置信息,用于后续挖矿所需要的配置和注入所用:
https://explorer.emercoin.com/nvs//abcxmr//25/1/1
https://explorer.emercoin.com/nvs//abcxzz//25/1/1
https://namecha.in/name/d/abcxmr
https://namecha.in/name/d/abcxzz
https://namecoin.cyphrs.com/name/d/abcxmr
https://namecoin.cyphrs.com/name/d/abcxzz
每一次的修改,都会留下历史记录,从记录上来看,作者也是经常变换信息,而这些留下的历史记录,反而很好的保留了每一次修改的配置信息:
接下来,chromme.exe则开始根据上边页面上的指令,进行门罗币的挖矿,本样本的挖矿指令如下:
C:\ProgramData\chromme.exe -a cryptonight -o stratum+tcp://xmr-eu1.nanopool.org:14444-u47MaAgoAgcB6RuwSZSjYWFVncdhjSQ82s4fyepLQJ92qQHXrpoRSBDGTAtxf12VAYeZ2fiY6vqpZqfx2tpeN2HtjAJX56Ak-p x
作者之所以在不断的更换矿池地址,是因为部分矿池会检测、封禁使用僵尸网络来进行挖矿的账户,例如作者曾使用的minexmr矿池就因这个原因封禁了他的账户:
目前更换的新矿池是nanopool,截止目前(2月28日)收益并不高,只有0.6XMR(约合202元人民币):
最后,svchost.exe会打开并注入一个指定的系统进程,会被注入的进程有:svchost、cmd、mstsc、wscript、write、notepad。注入完成后,就又回到了最开始的步骤,重复着在局域网中相互传播开,至此,整个的感染和传播过程完毕。
下图为被感染的用户反馈:
对于该病毒的手工清理方式,主要为:
1、系统服务里找到KuaizipUpdate这一项,然后删掉它
2、C:\Windows\Temp目录下删除retboolDriver.sys和svchost.exe
3、C:\ProgramData下,删除除文件夹外的所有文件
4、删除C:\ProgramData\storage目录
5、删除C:\ProgramData\Resources目录
6、删除C:\ProgramData\dll目录
7、安装修复MS17-010补丁
IOC:
MD5:
b4068638ed47a2c994429e8db528f753
d0912abc4fbf574590d48224c5f9e635
658969a89744da2fc6b74c8c67075610
b17a89181b34cd70323dd089ea803b69
4334e755126f36f9dad072ed1274081a
f1882b580abe5d880209bbf7e55c699a
175c9886e781fa1985fe086bd4968b9b
6edccdbb82f0b62bb3c84a79931a7ffe
346ea38247bbee7184a46fdb68f84e1e
51976485610903e4c01dbdea617ca341
URL:
https://www.upload.ee/files/9520065/6.txt.html
http://thyrsi.com/t6/668/1549457447×2890202791.jpg
http://thyrsi.com/t6/667/1549340535×2890202785.jpg
https://anonfiles.com/O4idO4s2be/yyy_jpg
http://thyrsi.com/t6/661/1548168297×1729546401.jpg
https://anonfiles.com/s4x8k6qdb2/A_JPG
https://www.upload.ee/files/9407375/A.JPG.html
https://www.upload.ee/files/9407094/nvidia.jpg.html
https://anonfiles.com/x9Gcj6q8b4/nvidia_jpg
http://thyrsi.com/t6/661/1548166332×1822614266.jpg
https://www.upload.ee/files/9524558/yyy.jpg.html
https://www.upload.ee/files/9627074/33.txt.html
https://www.upload.ee/files/9627079/33.txt.html
https://anonfiles.com/w060Rfu8bd/yhzl_jpg
https://www.upload.ee/files/9612530/yhzl.jpg.html
https://anonfiles.com/afybRbufb7/8888_jpg
https://anonfiles.com/x9Gcj6q8b4/nvidia_jpg
https://www.upload.ee/files/9407094/nvidia.jpg.html
http://thyrsi.com/t6/673/1550933430×1822614074.jpg
http://thyrsi.com/t6/673/1550932553×2728294202.jpg
PDB信息:
D:\正在测试的\最新开发版\永恒之蓝完整包城通网盘版\C++DLL释放运行EXEBAK支持64位\C++DLL释放运行EXEBAK\Release\x64\RunResExe.pdb
来源:freebuf.com 2019-02-28 12:02:00 by: 安全豹
请登录后发表评论
注册