WannaMiner挖礦木馬不光擅長黑吃黑,最新變種還會過河拆橋

2021-02-14 騰訊安全威脅情報中心

一、概述
近日,騰訊御見威脅情報中心發現了WannaMiner挖礦木馬的新變種,該挖礦木馬在挖取XMR(門羅幣)同時還會下載遠程控制木馬,為了獨佔系統資源,這個WannaMiner挖礦木馬的最新變種會查殺其他挖礦木馬。同時,該變種在入侵成功後會關閉高危埠,避免其他挖礦木馬入侵,其目的同樣是保證獨享挖礦資源。

此外,經過分析發現,該變種除了跟友商發布的MsraMiner家族在漏洞利用和惡意基礎設施上高度一致,跟友商今年六月爆出的另一個家族HSMiner如出一轍。因此我們判斷,WannaMiner、MsraMiner、HSMiner實際為同一家族的不同命名,背後為同一黑產團夥。

WannaMiner新變種具有如下特點:

冒充微軟系統文件,關閉Windows防火牆,添加任務自啟動;

釋放NSA攻擊工具套件(永恆之藍),掃描內網445埠橫向擴散;

釋放遠程控制木馬java.exe(文件名偽裝),該遠控木馬具有系統最高權限,可實現竊取隱私及一切遠程管理任務;

釋放挖礦模塊we32.exe,這個挖礦模塊除了會結束其他挖礦木馬進程,還會在安裝好自身之後,關閉系統的135、137、138、139、445埠,避免這臺機器被其他入侵者控制。木馬這樣做的目的是確保只有自己獨享挖礦資源。

通過同源性分析,發現該木馬與HSMiner挖礦木馬高度相似,該木馬下載了和HSMiner挖礦木馬一樣的遠程控制模塊。

通過比對以往的威脅情報,發現該木馬使用的C2伺服器與HSMiner挖礦木馬有相關性。

同樣,通過溯源分析,發現WannaMiner挖礦木馬與MsraMiner挖礦木馬同樣相似度級高,C2伺服器也存在復用。


通過5,6,7的分析,御見威脅情報中心判斷不同安全團隊報告的WannaMiner、MsraMiner與HSMiner背後的控制者為同一團夥。此前,MsraMiner挖礦木馬曾在大型殭屍網絡Mining Botnet上運行,通過NSA武器庫和自帶Web Server進行傳播,30000臺主機受到感染。

眾所周知,當木馬開始挖礦時,系統資源消耗就會迅速上升。如果一臺電腦被多個挖礦木馬入侵,系統卡慢的情況就會更為嚴重。為了避免被用戶發現,已有相當多的挖礦木馬會控制資源消耗,避免很快被用戶發現後查殺。

網絡黑產之間的競爭也日趨激烈,騰訊御見威脅情報中心已經多次通報有挖礦木馬運行時會殺掉競爭對手,獨享挖礦資源。WannaMiner挖礦木馬除了會結束其他挖礦木馬進程,還會在自己完成入侵之後,將135,139,445等網絡埠關閉,阻止其他木馬利用漏洞入侵。木馬使用這種過河拆橋的戰術,作者也算是煞費苦心了。

二、樣本分析
WannaMiner木馬依然分為三個部分:傳播模塊、挖礦模塊、遠控模塊。

1、傳播模塊分析(32ja.exe)
32ja.exe為自解壓SFX文件,執行腳本會解壓釋放到「%windir%\IME\Microsofts」文件夾下,關閉防火牆,並隱藏文件,設置任務啟動。

以服務執行的spoolsv.exe會釋放NSA利用組件,並且掃描內網445埠開放的主機寫入配置文件中,並利用永恆之藍進行攻擊。並且spoolsv.exe執行步驟會發送回C2伺服器d.drawal.dk。

釋放的NSA漏洞利用組件:

發送執行信息到目標C2:

payload繼續下載32ja.exe和we32.exe:

32ja.exe除了會釋放漏洞利用部分spoolsv.exe外,同時還會釋放一個遠控java.exe。

2、遠控模塊分析(java.exe)
該遠控和之前友商的HSMiner報告中的遠控一致,不再繼續展開。釋放的遠控木馬具有系統最高權限,可實現竊取隱私及一切遠程管理任務;

遠控中遍歷的安全軟體:

3、挖礦模塊分析(we32.exe)
We32.exe也是SFX自解壓文件,解壓後腳本執行cls.bat。

Cls.bat會將釋放在同一文件夾下的的spoolsv.exe和windows.exe(礦機)啟動,spoolsv.exe實際上為NSSM,NSSM是一個服務封裝程序,它可以將普通exe程序封裝成服務,使之像windows服務一樣運行。

腳本會利用spoolsv.exe(NSSM)安裝windows.exe,讓windows.exe以服務啟動。啟動後,腳本會繼續關閉135,137,138,139,445等埠,避免被其他挖礦木馬入侵佔用。

礦機windows.exe為github上源碼修改重新編譯。由於使用代理礦池https://udns.duckdns.org,無法獲取錢包地址。

代理礦池訪問:

三、關聯分析
1、從代碼來看,該木馬跟HSMiner的代碼高度相似,而樣本的pdb信息也一致。
該木馬payload下載代碼:

友商報告中的payload下載代碼:

pdb信息:

其次,該木馬都下載了和HSMiner一樣的遠控,且都是利用NSSM來安裝服務。

最後,使用御見威脅情報中心查詢,該C2下的樣本均被打上了HSMiner的標籤:

2、和MsraMiner的關係
值得關注的是此次捕獲樣本WannaMiner變種的漏洞利用模塊,該模塊在漏洞攻擊代碼與MsraMiner對NSA組件利用代碼高度相似,並且c2伺服器復用了MsraMiner的惡意基礎設施。
左邊為MsraMiner傳播模塊利用代碼,右邊為spoolsv.exe傳播利用代碼:

C2:d.drawal.tk,該域名同樣出現在友商的MsraMiner的分析報告中。

MsraMiner今年三月份同樣被友商發現公布,MsraMiner之前曾運行在大型殭屍網絡Mining Botnet上,通過NSA武器庫和自帶Web Server進行傳播,傳播範圍達到30000臺主機。此次發現的變種在利用代碼和基礎設施上與MsraMiner高度一致。

3、結論:

通過分析發現,MsraMiner和WannaMiner實際為統一家族的不同命名,而該家族和另一家族HSMiner背後的黑產團夥是統一團夥。

四、安全建議

1、安裝永恆之藍漏洞補丁手動下載請訪問以下頁面:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

其中WinXP,Windows Server 2003用戶請訪問:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

2、企業用戶建議全網安裝御點終端安全管理系統
(https://s.tencent.com/product/yd/index.html)。御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。

3、個人用戶推薦使用騰訊電腦管家,攔截此類病毒攻擊,也可使用騰訊電腦管家修補系統漏洞。

IOCs
url:

d.drawal.tk
hxxp://dwn.rundll32.ml:88/32ja.exe
hxxp://dwn.rundll32.ml/we64.exe
hxxp://dwn.rundll32.ml:88/1433.exe
hxxp://dwn.rundll32.ml:88/w.exe
hxxp://dwn.rundll32.ml:88/xe64.exe
hxxp://dwn.rundll32.ml/w.exe
hxxp://dwn.rundll32.ml/dll.exe
hxxp://dwn.rundll32.ml:88/java.exe
hxxp://dwn.rundll32.ml:88/0812.exe
hxxps://udns.duckdns.org


PDB:

E:\有用的\Projects\Dllhijack\Dllhijack\Release\Dllhijack.pdb



MD5:

403ac5415063143617f8e594747518d5
03672abddf9e28c1af41ffbe67c875ae
b765383df88bbb0a08416344f332a159
c6384e0bd8be4083d2709ac5d7b712b9
ea4b4b671439697a57f46293fa66d8e2
70a4c47870a8988927342d31f32472e1
8cdbddc66dd270f01029f21716e547a6
67e7b9d9b39bca0e27087fcf9fe95535


參考連結:

騰訊御見:WannaMiner挖礦木馬攻擊事件通報

了解騰訊企業級安全產品

騰訊御見威脅情報中心誠邀各路英豪加盟

相關焦點

  • KoiMiner挖礦木馬再度活躍 控制者來自某黑客論壇
    netxmr4.0.exe,由於挖礦木馬netxmr解密代碼後以模塊名「koi」加載,因此騰訊御見威脅情報中心將其命名為KoiMiner。2018年11月15日騰訊御見威脅情報中心發現KoiMiner挖礦木馬變種,該變種的挖礦木馬netxmr升級到6.0版。木馬作者對部分代碼加密的方法來對抗研究人員調試分析,木馬專門針對企業SQL Server 伺服器的1433埠爆破攻擊進行蠕蟲式傳播。
  • WatchBogMiner木馬利用漏洞攻擊傳播,已控制上萬臺Linux伺服器挖礦
    木馬通過第三方網站Pastebin保存惡意代碼以躲避檢測,並且通過各類方法進行持久化,定期拉取挖礦木馬加載到內存執行,同時會在啟動後刪除木馬文件以達到「隱身」目的。和其他挖礦木馬類似,WatchBogMiner木馬挖礦時,會清除其他挖礦木馬以獨佔伺服器。
  • 騰訊御見:WannaMiner挖礦木馬攻擊事件通報
    0x1 概述  近期,騰訊御見威脅情報中心監控到有攻擊者利用「永恆之藍」漏洞,傳播一種門羅幣挖礦木馬
  • WannaMiner挖礦木馬更新基礎設施 新手法已大賺17萬
    為了隱藏其惡意行為,WannaMine還會通過WMI類屬性存儲shellcode, 並使用「永恆之藍」漏洞攻擊武器以及「Mimikatz+WMIExec」攻擊組件進行橫向滲透。近期騰訊安全御見威脅情報中心檢測到該挖礦殭屍網絡更新了基礎設施,啟用了新的C2地址存放惡意代碼,並且通過Powershell內存注入挖礦和釋放PE木馬挖礦兩種形式來增大挖礦程序執行成功概率。
  • WMI無文件挖礦變種病毒新增SSH爆破
    近日,亞信安全監測到WMI無文件挖礦病毒變種文件,此次變種的無文件攻擊模塊新增SSH爆破功能,攻擊Linux系統,實現雙平臺挖礦,本文對此病毒進行詳細分析並給出防禦建議
  • 騰訊安全截獲TeamTNT挖礦木馬最新變種,失陷主機被安裝IRC後門,攻擊者可實現任意目的
    騰訊安全2020年11月25日曾發布文章介紹TeamTNT挖礦家族利用Docker remote api未授權訪問漏洞(https://mp.weixin.qq.com/s/Bw8_zNBwpL1eTZZ0dxXQQw)。顯然,本次騰訊安全捕獲的TeamTNT最新變種表明,該團夥控制殭屍網絡的能力已得到提升,失陷伺服器的風險或損失更大了。
  • 警惕:NSABuffMiner挖礦木馬對企業內網的攻擊正在增長
    經過現場收集證據以及大數據溯源,我們發現這是NSABuffMiner的新變種,該變種已然成為了一個精心設計挖礦殭屍網絡。雖然早在2018年9月份,騰訊安全官網已有相關披露,但是該病毒家族仍在持續更新活躍。通過騰訊安圖可以發現該挖礦木馬的感染量在持續增長,如下圖所示。
  • 「匿影」挖礦木馬持續活躍,入侵某旅遊網站做病毒下載伺服器
    長按二維碼關注御見威脅情報中心騰訊安全威脅情報中心檢測到「匿影」挖礦木馬變種攻擊該變種木馬依然利用永恆之藍漏洞進行攻擊傳播,通過計劃任務、WMI後門進行本地持久化,然後在攻陷機器下載XMRig礦機挖礦門羅幣、下載nbminer礦機挖礦HNS(Handshake),還會利用regsvr32.exe加載執行DLL形式的木馬程序,匿影木馬新變種在已安裝騰訊電腦管家等數款安全軟體的電腦上不運行,試圖避免被安全廠商檢測到。
  • RunMiner挖礦團夥新增漏洞武器:利用Weblogic反序列化漏洞(CVE-2017-10271)攻擊主機挖礦
    :利用weblogic反序列化漏洞(CVE-2017-10271)對雲主機發起攻擊,攻擊得手後,會下載、執行惡意腳本嘗試對Linux、Windows雙平臺植入挖礦木馬,進行門羅幣挖礦操作。RunMiner挖礦木馬挖礦前會嘗試卸載雲主機安裝的防護軟體,並嘗試結束其他佔系統資源較高的進程,以清除可能存在的挖礦木馬競爭對手。RunMiner挖礦木馬團夥的攻擊活動會嚴重影響雲主機性能,幹擾政企機構正常業務運行。
  • 挖礦木馬SysupdataMiner利用多個漏洞同時攻擊Windows、Linux
    該挖礦木馬利用SSH免密登錄的漏洞在內網傳播,然後利用掃描工具掃描外網Redis伺服器並進行弱口令爆破攻擊。在感染的機器上,SysupdataMiner會檢測阿里雲騎士和騰訊雲鏡並進行卸載,會通過多種特徵檢測其他挖礦木馬並進行清除,然後下載門羅幣挖礦木馬sysupdata並啟動。
  • 「美人蠍」挖礦木馬再度來襲,利用Windows系統組件啟動惡意腳本
    該挖礦木馬延續「美人蠍」礦工木馬的部分特點,如從下載的圖片中獲取惡意代碼,通過多種礦機挖取多種數字加密貨幣,同時也有若干新特性。「美人蠍」挖礦木馬變種採用的新特性包括:白利用winrm.vbs啟動powershell腳本,或通過NSSM將powershell腳本安裝為服務,多次將惡意代碼通過內存注入系統白進程來減少文件落地從而躲避系統安全功能或殺毒軟體的攔截。
  • 騰訊雲防火牆成功阻斷BuleHero挖礦蠕蟲攻擊,該變種具有8個漏洞利用和2個弱口令爆破能力
    騰訊安全專家對該事件進一步分析後發現,此次攻擊屬於BuleHero挖礦蠕蟲病毒,且該變種版本新增了SMBGhost(CVE-2020-0796)漏洞利用代碼。此外還會利用永恆之藍漏洞、$IPC和MSSQL弱口令爆破等等攻擊手法,攻擊成功後,會在目標機器植入門羅幣挖礦木馬和遠控木馬。
  • 永恆之藍下載器最新變種重啟EXE文件攻擊,新變種已感染1.5萬臺伺服器
    長按二維碼關注騰訊安全威脅情報中心騰訊安全威脅情報中心檢測到永恆之藍下載器木馬再次出現新變種,此次變種利用Python打包EXE可執行文件進行攻擊,該組織曾在2018年底使用過類似手法。騰訊安全大數據監測數據顯示,永恆之藍下載器最新變種出現之後便迅速傳播,目前已感染約1.5萬臺伺服器,中毒系統最終用於下載運行門羅幣挖礦木馬。永恆之藍下載器木馬在不斷演進更新過程中,曾將EXE攻擊方式逐步切換到利用Powershell腳本實現無文件攻擊。
  • 【每日安全資訊】2018網絡安全大事件盤點 | 數據洩露史無前例,勒索軟體改行挖礦
    因此本次變種開始改行挖礦,不僅可以穩定的獲得收入,還可以避免很快的暴露(由於挖礦除了會讓機器稍微卡慢一點,給用戶的其他感官不強,因此一般用戶很難察覺到被挖礦)。2018年9月1、不法黑客通過1433埠爆破入侵SQL Server伺服器,植入遠程控制木馬並安裝為系統服務,然後利用遠程控制木馬進一步加載挖礦木馬進行挖礦。
  • 永恆之藍木馬下載器發起 「黑球」行動,新增SMBGhost漏洞檢測能力
    長按二維碼關注御見威脅情報中心騰訊安全威脅情報中心檢測到永恆之藍下載器木馬出現最新變種病毒還會安裝沒有實際功能的計劃任務blackball(「黑球」),因此將此次攻擊命名為「黑球」行動。同時還會釋放JS文件readme.js,通過偽裝的文件在被誤點擊時感染病毒。
  • Mykings殭屍網絡新變種通過PcShare遠程控制,已感染超5萬臺電腦挖礦
    長按二維碼關注騰訊安全威脅情報中心騰訊安全威脅情報中心檢測到Mykings挖礦殭屍網絡變種木馬Mykings殭屍網絡木馬還會關閉Windows Defender、檢測卸載常見殺毒軟體;卸載競品挖礦木馬和舊版挖礦木馬;下載「暗雲」木馬感染硬碟主引導記錄(MBR)實現長期駐留;通過計劃任務、添加啟動項等實現開機自動運行等行為。
  • 警惕「偽裝者」木馬攻擊,會將遠控木馬和挖礦木馬裝在電腦上
    病毒執行後釋放VBS腳本,連接伺服器下載另一段腳本代碼執行,並通過腳本下載安裝DarkComet木馬對電腦進行遠程控制,同時植入門羅幣挖礦木馬。通過關聯分析還發現木馬下載伺服器傳播的另一個樣本,該樣本會利用瀏覽器登錄密碼搜集工具WebBrowserPassView搜集用戶密碼,保存到文件並上傳至伺服器。
  • 騰訊主機安全截獲TOPMiner挖礦木馬,受害伺服器約1.5萬臺,作者稱「12小時掃描全球」
    TopMiner近期攻擊十分活躍,該木馬通過SSH弱口令爆破進行攻擊入侵,會清除競品挖礦木馬,同時會使用爆破工具在內網橫向傳播。根據其挖礦錢包收益估算,約有1.5萬臺伺服器被該團夥控制挖礦。由於其使用的挖礦木馬名為top,騰訊安全將其命名為TopMiner挖礦木馬。TopMiner挖礦團夥針對SSH弱口令進行爆破攻擊,成功後執行命令下載惡意shell腳本,並將啟動腳本寫入crontab定時任務進行持久化,shell腳本繼續下載挖礦木馬nginx、top啟動挖礦。
  • 快Go礦工(KuaiGoMiner)控制數萬電腦挖礦,釋放遠控木馬竊取機密
    長按二維碼關注御見威脅情報中心一、背景騰訊安全御見威脅情報中心檢測到「快Go」(KuaiGoMiner)挖礦木馬攻擊該木馬利用NSA武器中的「雙脈衝星」、「永恆浪漫」、「永恆之藍」攻擊工具針對網際網路上的機器進行掃描攻擊,並在攻擊成功後植入挖礦和遠控木馬,已控制數萬臺電腦。因其使用的C2域名中包含「kuai-Go」,御見威脅情報中心將其命名為「快Go礦工」(KuaiGoMiner)。
  • 永恆之藍捲土重來,新變種已感染1.5萬臺伺服器
    騰訊安全威脅情報中心檢測到永恆之藍下載器木馬再次出現新變種,此次變種利用Python打包EXE可執行文件進行攻擊,該組織曾在2018年底使用過類似手法