你还在关注勒索病毒?别人已经转行挖矿!
本帖最后由 Gslab 于 2017-7-20 14:39 编辑导语:近日,腾讯游戏安全中心捕获一款网吧内传播的恶意软件。原以为是常规的网吧盗号木马,但详细分析之后发现并非如此。经证实该恶意软件是目前发现的首款利用Windows SMB漏洞传播,释放虚拟货币矿机挖矿的肉鸡集群。0x01 来源2017年7月10日左右,由腾讯网吧守护TSPN和顺网联合团队在某网吧内发现异常的svchost.exe进程,以及与之相关spoolsv.exe进程,遂提取样本到安全中心进行人工核实。0x02 真身拿到样本后从外观看与系统自带的进程无异,但查看属性发现spoolsv.exe是一个压缩文件,于是开始产生警觉。http://gslab.qq.com/data/attachment/portal/201707/20/112548cwhihr6jn2o8izt2.png
尝试使用7zip解压此文件后,发现了惊天大秘密——NSA攻击工具包。从字面上我们可以看到永恒之蓝、永恒冠军字样的攻击配置文件。同时我们在解压之后的文件中也找到了与样本同名的两个可执行体,以及同名的xml配置文件。
http://gslab.qq.com/data/attachment/portal/201707/20/112548kz39nxk3gms9eekk.png
打开svchost.xml查看一下,发现正式永恒之蓝的攻击配置文件。
http://gslab.qq.com/data/attachment/portal/201707/20/112548vogfqrk5lliygruz.png
打开spoolsv.xml查看一下,发现了另一个NSA工具DoublePulsar的攻击配置文件。
http://gslab.qq.com/data/attachment/portal/201707/20/112548jt02rctg0c102n5r.png
于是猜测压缩包内的svchost.exe是EternalBlue攻击程序,压缩包内的spoolsv.exe则是DoublePulsar后门。尝试手工运行这两个可执行文件,发现的确是命令行工具,只是配置文件不正确,无法完成攻击。
http://gslab.qq.com/data/attachment/portal/201707/20/112548q0kao8o7kstosioi.png
0x03 毒手了解到样本的真身之后,我们开始认为这是一个和WannaCry一样的勒索病毒,但是仔细想一下发现样本并没有造成网吧电脑的大规模爆发,也没有业主有反馈,于是怀疑这并非是一起简单的勒索病毒事件。深入分析后发现初始的spoolsv.exe(我们称之为母体)并非简简单单的释放攻击包,其自身在释放攻击载荷之后,还会开启对局域网络445端口的疯狂扫描,一旦发现局域网内开放的445端口,就会将目标IP地址及端口写入EternalBlue的配置文件中,然后启动svchost.exe进行第1步溢出攻击。第1步攻击的结果会记录在stage1.txt中,攻击完成后,母体会检查攻击是否成功,若攻击成功,则继续修改DoublePulsar的配置文件,并启动spoolsv.exe(压缩包内的DoublePulsar,并非母体)在目标计算机安装后门,此称之为第2步攻击,结果会记录在stage2.txt中。
http://gslab.qq.com/data/attachment/portal/201707/20/112549i9afogkm0aiqbifo.png
http://gslab.qq.com/data/attachment/portal/201707/20/112549nmkbtkhk5qq2th0u.png
http://gslab.qq.com/data/attachment/portal/201707/20/112549mnnzdyy4sfas14pt.png
http://gslab.qq.com/data/attachment/portal/201707/20/112549p24fzt7oovieogyt.png
http://gslab.qq.com/data/attachment/portal/201707/20/112549wiw1kaq1onaw1fkf.png
这就完了吗?仅此而已吗?那这玩意儿到底是为了啥?这不科学,没有病毒仅仅是为了传播儿传播,但是此时我们的样本在实验室内已经不再继续工作了。于是我们在网吧中继续抓取到这东西的精彩后续:被安装了DoublePulsar后门的计算机中lsass.exe进程被注入了一段shellcode,这和外网公布的DoublePulsar的行为一模一样,但样本中的这段shellcode利用lsass.exe进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件,而这个文件正是我们样本中一直没有提到的svchost.exe(与母体在同一目录下)。
http://gslab.qq.com/data/attachment/portal/201707/20/112550ljobkpme7e4oqs77.png
http://gslab.qq.com/data/attachment/portal/201707/20/112550m8zad73v332ro3uv.png
而这个svchost.exe可不是EternalBlue。那么它是啥?通过仔细的分析,我们发现它会做三件事情:第一,先把自己添加到计划任务的一个不起眼的地方,让人感觉是一个合法的任务,从而达到自启动的目的。
http://gslab.qq.com/data/attachment/portal/201707/20/112550filtbplqsgsbrzvr.png
第二,在局域网其他电脑上下载一个母体文件,以便于二次传播。第三,释放一个ServicesHost.exe进程并以指定的参数执行这个进程。
http://gslab.qq.com/data/attachment/portal/201707/20/112550t696ibonn0lhkvao.png
继续跟踪这个ServicesHost.exe以及启动参数,发现了一个惊天大秘密,也就是整套传播机制的终极目的——挖矿。从此程序的启动参数中我们看到了一个敏感的域名“xmr.pool.minergate.com”,Google一下发现这是一个国外各种数字货币的矿池,网站提供了各种数字货币的矿池地址,只要在网站注册账户,就可以利用矿机参与挖矿。而我们的样本中的矿机则是一款GITHUB上的开源矿机xmrig,挖矿的账户则是dashcoin@protonmail.com这个账户,挖的正式一种不是很常见的数字货币——门罗币。
http://gslab.qq.com/data/attachment/portal/201707/20/112550l4lm44p5z9im0xpl.png
http://gslab.qq.com/data/attachment/portal/201707/20/112551u68w678b6q8p6q8e.png
http://gslab.qq.com/data/attachment/portal/201707/20/112551ijfh1130p30om50o.png
0x04 横财说道门罗币我们也要看一下这东西到底值多少钱,随便找了个交易平台看了一下,实时价格约人民币277元,价值虽然没有BTC那么高,但也不低,挖矿收益应该不少。
http://gslab.qq.com/data/attachment/portal/201707/20/112551f0kq7knptnn737oq.png
0x05 总结总体来看,恶意软件的释放、执行流程比较传统,但利用的攻击和漏洞相对比较新,在SMB漏洞被广泛利用到勒索软件的时候,作者却开启了另一扇淘金的大门。下面为大家图示总结一下此款恶意软件的传播和执行流程。
http://gslab.qq.com/data/attachment/portal/201707/20/112551e755nhkuz745oton.png
从VDC管家平台上看,此木马的传播量呈逐日上升阶段,还需要持续关注打击。在发文时,此款木马已经能够被腾讯电脑管家识别,并有效清除。
http://gslab.qq.com/data/attachment/portal/201707/20/112551swrivw2qziumuwwh.png
http://gslab.qq.com/data/attachment/portal/201707/20/112551o0uleo9u9w0fqu6e.png
http://gslab.qq.com/data/attachment/portal/201707/20/112552g7iij6nai3nnnn7a.png
http://gslab.qq.com/data/attachment/portal/201707/20/112552l4ish7fj7eb600zj.png
最后,提醒各位玩家及网吧业主应该及时更新操作系统补丁,避免被多次割韭菜,导致WannaCry伤疤未愈,僵尸矿机又来撒盐!
文章转自游戏安全实验室(gslab.qq.com) 这个是我一直的想法.... 原来奇怪怎么没人这么搞呢? NotSurprised 发表于 2018-3-17 13:28
弱弱的请教大神一下
"lsass.exe进程被注入了一段shellcode"主要是DoublePulsar后门造成的吗?
有大神知道 ...
双脉冲星利用时候可以选择 指定名称的进程,默认lsass.exe。如果指定其他进程如qq.exe则需要在进程启动才可以在meterpreter获取shell反弹。
需要配合shadowbrokers的组件和msf同时使用
文中xxx.dll则为shadowbrokers的部分组件。 {:1_921:}{:1_921:}{:1_921:}楼主厉害 楼主厉害{:1_927:} 厉害了楼主,话说楼上的图也是莫名飙车{:301_1001:} 大神啊楼主 我竟然都给看完了 最近听说矿难 1080买108023333 佩服啊大神 多谢楼主的详细分析!