WannaMine僵而不死:假装被美国土安全局查封 – 作者:Threatbook

概要

WannaMine是一个以挖取门罗币为目的的僵尸网络,最早于2017年10月被国外网络安全厂 商曝光,因同样使用永恒之蓝(EternalBlue)漏洞进行扩散(与Wannacry相似)而得名。据微 步在线黑客画像系统和狩猎系统监测发现,WannaMine在近一年时间中活动频繁,而其木马存 放站点近日竟出现被美国国土安全局查封的字样,为查明原委,微步在线对WannaMine分析如下:

除保持挖矿“主业”外,WannaMine目前已增加DDoS、“抓鸡”等多种“业务”。

WannaMine利用漏洞自动化在Windows和Linux两种环境抓取“肉鸡”,危害程度日益增加。

WannaMine组织架构不断完善,功能模块独立化,每个模块在攻击流程中都具备明确角色和任务。

自2018年9月起开始使用新的木马存放节点(cache.windowsdefenderhost.com)和C&C服务器(online.srentrap.com)。

恶意站点“掩耳盗铃”式的伪装成被美国国土安全局接管状态,以期干扰安全人员的分析判断。

详情

监测发现,WannaMine自2017年底出现以来,功能架构不断完善,攻击流程日趋复杂: 由早期利用“永恒之蓝”(EternalBlue)漏洞进行扩散,逐步增加通过ssh/telnet暴力破解,利用CVE-2017-0213、CVE-2016-5195等漏洞辅助入侵提升控制权限;功能模块独立化,每个模块 在攻击流程中都具备明确角色和任务,有效避免单个组织功能模块被关联分析;攻击目标方 向由Windows系统扩展至Linux环境,危害程度日益增加。

样本分析

本报告分析的样本捕获于2018年9月,样本基本信息如下表所示:

文件类型 PE32 executable (console) Intel 80386, for MS Windows
文件大小 139264
MD5 2058516a54e9ccd9cc1556d67a7ccbc3
SHA1 c8aa652f6fbbba9723bde99d4a97b8b592853047
SHA256 018dcbf3d26eafaad1b2cca3608af9faf38fa8281b2e3c8d5ad4c89bc2d7e1b8
时间戳 1992-06-19 22:22:17
涉及URL http://cache.windowsdefenderhost.com/linux/shell 
http://cache.windowsdefenderhost.com/windows/recentfileprogrom.exe 
http://cache.windowsdefenderhost.com/windows/w_download.exe 
http://cache.windowsdefenderhost.com/linux/udp
http://cache.windowsdefenderhost.com/windows/res.exe 
http://cache.windowsdefenderhost.com/windows/tor.exe 
http://cache.windowsdefenderhost.com/linux/dc_elf_32 
http://cache.windowsdefenderhost.com/linux/fs_elf_64 
http://cache.windowsdefenderhost.com/windows/config.json
C&C 185.128.43.58、111.90.159.149

以该样本为例,分析发现WannaMine目前的架构下图所示:

image1.png

图 1 WannaMine 组织结构图

图 1具体过程为:

1、WannaMine首先通过“永恒之蓝”漏洞入侵向Windows系统并植入w_download.exe,下载相关 木马组件RecentFileProgrom.exe、res.exe、tor.exe。

image2.png2、RecentFileProgrom.exe主要实现的是向被感染设备内/网进行“永恒之蓝”漏洞扫描。一旦感染了RecentFileProgrom.exe首先会自动枚举探测/扫描内网IP,并注入感染木马payload。

image3.png3、Tor.exe是Trojan[DDoS]/Win32.Nitol.A木马,实现的是寄生在Windows环境的DDoS木马。其CC为online.srentrap.com:8080。

image4.png

 图 4 Nitol.A 首包

4、Res.exe为自压缩文件,主要是实现自解压释放提权和挖矿等功能模块组件。其中1505132/64.exe、1603232/64.exe、170213.exe为CVE-2015-1701本地提权载荷,170213.exe为CVE-2017-0213本地载荷,为有关木马提高权限;testuac.exe获取本地系统配置信息;exp.exe释 放m5VWc67.bat实现探测网络状态和删除res.exe母体样本;svchost-1.exe、login.jpg、register.jpg是执行挖矿的主体木马。

image5.png

 图 5 m5VWc67.bat 批处理命令

5、svchost.exe访问http://cache.windowsdefenderhost.com/windows/config.json,获取矿池地址和钱包地址信息,根据获取到多个矿池信息,使挖矿木马能以任务队列方式获取挖矿任务,减少设备闲置时间。同时,WannaMine木马还可以通过修改config.json配置文件实现对矿池、钱包等 实时自定义增删改;访问 http://cache.windowsdefenderhost.com:80/windows/yesir.txt获取挖矿任 务。而login.jpg、register.jpg是挖矿执行组件,为了躲避杀毒工具检测,样本伪装成jpg图片文件。

image6.png

   图 6 获取矿池+钱包等信息 

image7.png

 图 7 获取挖矿任务

6、WannaMine还通过对ssh/telnet远程爆破等手段向Linux设备注入名为udp、dc_elf_32、fs_elf_64等文件。Udp文件是Trojan[DDoS]/Linux.Setag(又名BillGates)家族木马,主要是实现DDoS功能,其C&C为online.srentrap.com:8443(与上述Nitol.A木马相同)和uk.7h4uk.com:6001。

image8.png

 图 8 Setag 首包

7、dc_elf_32、fs_elf_64都是CVE-2016-5195本地提权漏洞的攻击载荷,负责为udp木马提高执行权限。

关联分析

有趣的是,WannaMine木马存放代理站点cache.windowsdefenderhost.com和d4uk.7h4uk.com均存在正常网页,均显示为已被美国国土安全局接管,如下图所示:

image9.png

 图 9 伪造界面

但是该站点实际仍在对外提供木马样本下载,因此判断该图片系攻击者刻意为之,营造出该网站已被美国政府部门接管,现为“无害”状态,以干扰安全人员分析判断。

相关IOC请访问链接:https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=802

*本文作者:Threatbook,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-10-26 08:00:54 by: Threatbook

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论