WannaMiner挖礦木馬不光擅長黑吃黑,最新變種還會過河拆橋

一、概述
近日，騰訊御見威脅情報中心發現了WannaMiner挖礦木馬的新變種，該挖礦木馬在挖取XMR（門羅幣）同時還會下載遠程控制木馬，為了獨佔系統資源，這個WannaMiner挖礦木馬的最新變種會查殺其他挖礦木馬。同時，該變種在入侵成功後會關閉高危埠，避免其他挖礦木馬入侵，其目的同樣是保證獨享挖礦資源。

此外，經過分析發現，該變種除了跟友商發布的MsraMiner家族在漏洞利用和惡意基礎設施上高度一致，跟友商今年六月爆出的另一個家族HSMiner如出一轍。因此我們判斷，WannaMiner、MsraMiner、HSMiner實際為同一家族的不同命名，背後為同一黑產團夥。

WannaMiner新變種具有如下特點：

冒充微軟系統文件，關閉Windows防火牆，添加任務自啟動；

釋放NSA攻擊工具套件（永恆之藍），掃描內網445埠橫向擴散；

釋放遠程控制木馬java.exe(文件名偽裝)，該遠控木馬具有系統最高權限，可實現竊取隱私及一切遠程管理任務；

釋放挖礦模塊we32.exe，這個挖礦模塊除了會結束其他挖礦木馬進程，還會在安裝好自身之後，關閉系統的135、137、138、139、445埠，避免這臺機器被其他入侵者控制。木馬這樣做的目的是確保只有自己獨享挖礦資源。

通過同源性分析，發現該木馬與HSMiner挖礦木馬高度相似，該木馬下載了和HSMiner挖礦木馬一樣的遠程控制模塊。

通過比對以往的威脅情報，發現該木馬使用的C2伺服器與HSMiner挖礦木馬有相關性。

同樣，通過溯源分析，發現WannaMiner挖礦木馬與MsraMiner挖礦木馬同樣相似度級高，C2伺服器也存在復用。

通過5，6，7的分析，御見威脅情報中心判斷不同安全團隊報告的WannaMiner、MsraMiner與HSMiner背後的控制者為同一團夥。此前，MsraMiner挖礦木馬曾在大型殭屍網絡Mining Botnet上運行，通過NSA武器庫和自帶Web Server進行傳播，30000臺主機受到感染。

眾所周知，當木馬開始挖礦時，系統資源消耗就會迅速上升。如果一臺電腦被多個挖礦木馬入侵，系統卡慢的情況就會更為嚴重。為了避免被用戶發現，已有相當多的挖礦木馬會控制資源消耗，避免很快被用戶發現後查殺。

網絡黑產之間的競爭也日趨激烈，騰訊御見威脅情報中心已經多次通報有挖礦木馬運行時會殺掉競爭對手，獨享挖礦資源。WannaMiner挖礦木馬除了會結束其他挖礦木馬進程，還會在自己完成入侵之後，將135，139，445等網絡埠關閉，阻止其他木馬利用漏洞入侵。木馬使用這種過河拆橋的戰術，作者也算是煞費苦心了。

二、樣本分析
WannaMiner木馬依然分為三個部分：傳播模塊、挖礦模塊、遠控模塊。

1、傳播模塊分析（32ja.exe）
32ja.exe為自解壓SFX文件，執行腳本會解壓釋放到「%windir%\IME\Microsofts」文件夾下，關閉防火牆，並隱藏文件，設置任務啟動。

以服務執行的spoolsv.exe會釋放NSA利用組件，並且掃描內網445埠開放的主機寫入配置文件中，並利用永恆之藍進行攻擊。並且spoolsv.exe執行步驟會發送回C2伺服器d.drawal.dk。

釋放的NSA漏洞利用組件：

發送執行信息到目標C2：

payload繼續下載32ja.exe和we32.exe：

32ja.exe除了會釋放漏洞利用部分spoolsv.exe外，同時還會釋放一個遠控java.exe。

2、遠控模塊分析（java.exe）
該遠控和之前友商的HSMiner報告中的遠控一致，不再繼續展開。釋放的遠控木馬具有系統最高權限，可實現竊取隱私及一切遠程管理任務；

遠控中遍歷的安全軟體：

3、挖礦模塊分析（we32.exe）
We32.exe也是SFX自解壓文件，解壓後腳本執行cls.bat。

Cls.bat會將釋放在同一文件夾下的的spoolsv.exe和windows.exe(礦機)啟動，spoolsv.exe實際上為NSSM，NSSM是一個服務封裝程序，它可以將普通exe程序封裝成服務，使之像windows服務一樣運行。

腳本會利用spoolsv.exe（NSSM）安裝windows.exe，讓windows.exe以服務啟動。啟動後，腳本會繼續關閉135，137，138，139，445等埠，避免被其他挖礦木馬入侵佔用。

礦機windows.exe為github上源碼修改重新編譯。由於使用代理礦池https://udns.duckdns.org，無法獲取錢包地址。

代理礦池訪問：

三、關聯分析
1、從代碼來看，該木馬跟HSMiner的代碼高度相似，而樣本的pdb信息也一致。
該木馬payload下載代碼：

友商報告中的payload下載代碼：

pdb信息：

其次，該木馬都下載了和HSMiner一樣的遠控，且都是利用NSSM來安裝服務。

最後，使用御見威脅情報中心查詢，該C2下的樣本均被打上了HSMiner的標籤：

2、和MsraMiner的關係
值得關注的是此次捕獲樣本WannaMiner變種的漏洞利用模塊，該模塊在漏洞攻擊代碼與MsraMiner對NSA組件利用代碼高度相似，並且c2伺服器復用了MsraMiner的惡意基礎設施。
左邊為MsraMiner傳播模塊利用代碼，右邊為spoolsv.exe傳播利用代碼：

C2：d.drawal.tk，該域名同樣出現在友商的MsraMiner的分析報告中。

MsraMiner今年三月份同樣被友商發現公布，MsraMiner之前曾運行在大型殭屍網絡Mining Botnet上，通過NSA武器庫和自帶Web Server進行傳播，傳播範圍達到30000臺主機。此次發現的變種在利用代碼和基礎設施上與MsraMiner高度一致。

3、結論：

通過分析發現，MsraMiner和WannaMiner實際為統一家族的不同命名，而該家族和另一家族HSMiner背後的黑產團夥是統一團夥。

四、安全建議

1、安裝永恆之藍漏洞補丁，手動下載請訪問以下頁面：
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

其中WinXP，Windows Server 2003用戶請訪問：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

2、企業用戶建議全網安裝御點終端安全管理系統
（https://s.tencent.com/product/yd/index.html）。御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控，以及策略管控等全方位的安全管理功能，可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。

3、個人用戶推薦使用騰訊電腦管家，攔截此類病毒攻擊，也可使用騰訊電腦管家修補系統漏洞。

IOCs
url：

d.drawal.tk
hxxp://dwn.rundll32.ml:88/32ja.exe
hxxp://dwn.rundll32.ml/we64.exe
hxxp://dwn.rundll32.ml:88/1433.exe
hxxp://dwn.rundll32.ml:88/w.exe
hxxp://dwn.rundll32.ml:88/xe64.exe
hxxp://dwn.rundll32.ml/w.exe
hxxp://dwn.rundll32.ml/dll.exe
hxxp://dwn.rundll32.ml:88/java.exe
hxxp://dwn.rundll32.ml:88/0812.exe
hxxps://udns.duckdns.org

PDB:

E:\有用的\Projects\Dllhijack\Dllhijack\Release\Dllhijack.pdb

MD5:

403ac5415063143617f8e594747518d5
03672abddf9e28c1af41ffbe67c875ae
b765383df88bbb0a08416344f332a159
c6384e0bd8be4083d2709ac5d7b712b9
ea4b4b671439697a57f46293fa66d8e2
70a4c47870a8988927342d31f32472e1
8cdbddc66dd270f01029f21716e547a6
67e7b9d9b39bca0e27087fcf9fe95535

參考連結：

騰訊御見：WannaMiner挖礦木馬攻擊事件通報

了解騰訊企業級安全產品

騰訊御見威脅情報中心誠邀各路英豪加盟