警惕:NSABuffMiner挖矿木马变种利用NSA武器库攻击企业网络
本帖最后由 bambooslip 于 2019-4-29 16:47 编辑腾讯御见威胁情报中心接到用户反馈,企业内部大量机器均被莫名其妙创建了账户名为“mm123$”的用户。经过现场收集证据以及大数据溯源,我们发现这是NSABuffMiner的新变种,该变种已然成为了一个精心设计挖矿僵尸网络。
一、概述
近期腾讯御见威胁情报中心接到用户反馈,企业内部大量机器均被莫名其妙创建了账户名为“mm123$”的用户。经过现场收集证据以及大数据溯源,我们发现这是NSABuffMiner的新变种,该变种已然成为了一个精心设计挖矿僵尸网络。虽然早在2018年9月份,腾讯安全官网已有相关披露,但是该病毒家族仍在持续更新活跃。通过腾讯安图可以发现该挖矿木马的感染量在持续增长,如下图所示。
该病毒母体的图标与文件信息均伪装为“某安全软件防护中心模块”,使得用户相信该文件是一个安全正常文件,以便逃过手工查杀。该病毒运行之后,会上传系统相关信息,占用系统部分资源进行挖矿,部分资源用于向内网与外网同时扩散攻击,攻击成功后,将被攻陷的机器变为“肉鸡”以执行上述恶意行为,循环反复。二、样本分析由于病毒母体释放文件较多,逻辑较为复杂,因此画了一个文件关系流程图便于理解,如下所示。https://s.pc.qq.com/guanjia/images/5a/48/5a48ee6fb6fa1a54faa9aee08d08777f.png
病毒母体运行后,会释放伪装名为conhost.exe的程序与NSSM服务管理工具(伪装名为svchost.exe,以下为了方便描述,命名为svchost)、以及具有“下载器”功能的dlhost.bat到系统盘下的%SystemRoot%\Fonts目录,该目录由于其仅显示字体文件的特殊性,常被病毒用于隐藏自身。伪装名为conhost.exe的程序会通过服务的形式,由病毒母体调用svchost安装名为后拉起执行,dlhost.bat会通过“某云笔记”的共享盘下载四个病毒并执行,进而实现内网横向扩散。病毒被系统白进程cscript.exe下载下来后直接被执行起来,继续释放多个子模块,主要用于利用永恒之蓝漏洞进行内网与外网横向攻击传播,之后继续下载病毒母体或者相关模块反复执行完整的恶意逻辑,包括收集系统相关信息、独占系统资源进行挖矿、向外部机器发起攻击、清理现场痕迹防溯源等多种恶意行为。
1. 病毒母体的主要行为如下:l 创建了两个具有“进程退出则再次拉起”特性的服务,一个名为MetPipAtcivator的服务用于拉起conhost.exe,一个名为MicrosoftMysql的服务用于执行挖矿程序。l 启动MetPipAtcivator服务。l 执行dlhost.bat。l 运行tem.vbs删除母体与自身。
2. conhost.exe病毒模块充当监控者与释放者的角色,通过一个循环反复进行如下操作:l 调用taskkill命令用于结束如下相关检测工具。
https://s.pc.qq.com/guanjia/images/0f/22/0f22574db48928fc74ba9139d56687d5.png
l 将根据系统位数对应释放开源门罗币挖矿程序xmrig于%SystemRoot%\fonts\rundllhost.exe,伪装为系统名不容易被发现。l 后台一直检测如下特定进程名,如果存在则结束挖矿进程,防止被发现。https://s.pc.qq.com/guanjia/images/00/76/00763255836e59de3b7e7fa8a255c138.png
l 通过调用svchost设置名为SetPipAtcivator的服务用于常驻系统,然后启动该服务。该挖矿病毒调用了nicehash参数,用于赚取比特币。挖矿命令行参数为:-o stratum+tcp://x.csrss.website:80 -o stratum+tcp://s.csrss.website:443 -u admin -p x -k --donate-level=1 --max-cpu-usage=50 --print-time=5 --nicehash
https://s.pc.qq.com/guanjia/images/76/92/7692bb15e8875e84b2cca3c100073ce7.png
3. dlhost.bat充当下载者角色,通过修改相关组件属性以达到确保逻辑能正常完成,修改系统配置以达到独占系统资源,下载病毒,抹除痕迹。如下为该脚本主要步骤:l 启动服务MetPipAtcivator,用于拉起conhost.exe病毒模块。l 获取cscript.exe,wscript.exe 完全控制权限并且删除对应的映像劫持,确保后续正常调用脚本下载病毒。l 通过修改ipsec策略拒绝所有连接连入本地共享端口,以及通过针对市面上常见的挖矿病毒家族设置同名文件夹以占坑、删除其常驻服务、结束其进程等方式,以达到独占资源的目的。l 删除FTP组件,防止被其他病毒利用。l 调用cscript.exe下载被病毒作者恶意存储在有道云笔记中的病毒共享文件,下载dll.exe、mstsc.exe、mks.exe、0osk.exe至%SystemRoot%\temp目录下运行。l 清空事件日志中的powershell执行日志、安全日志、系统日志等,防止溯源。4. tem.vbs用于删除病毒母体以及自身。下面我们继续分析其通过“有道云笔记”共享盘下载模块的功能与逻辑:5. mstsc.exe释放多个模块用于向内网发起漏洞攻击进而扩散。l 停止删除wannacry等常见高危病毒家族相关服务与系统高危服务,确保仅有自身独占资源,相关字符串如下所示。https://s.pc.qq.com/guanjia/images/20/7f/207fafec7851923b2fe660c6d6b635d2.png
l 释放并执行conhost.exel 释放tem.vbs用于删除母体和自身l 释放free.bat用于执行完漏洞攻击工具后清理现场6. Fileftp.exe相关模块用于向内网扫描并发起攻击。l conhost.exe释放Fileftp.exe程序。Fileftp.exe会释放NSA攻击模块与tem.vbs,多线程扫描局域网内的445端口,并尝试通过NSA攻击模块对开放139或445端口的机器发起漏洞攻击。如果攻击成功,将会把x86.dll/x64.dll注入到目标系统,从而实现病毒下载。l 清空所有临时目录、IE缓存、回收站等防止被溯源。l 调用cipher实用工具使得被删除的病毒文件无法被恢复。7. x86.dll/x64.dll作为漏洞攻击工具的载荷,在目标系统执行恶意行为。l 创建一个具有管理员权限的名为“mm123$”的账户用于后续随意访问主机。l 根据系统版本的位数,从t.honker.info:8下载对应的32位程序(x86.exe、madk.exe)或64位程序(x64.exe、mask.exe)到c:\Windows,伪装名为conhost.exe与smss.exe。8. x86.exe/x64.exe用于释放恶意动态库,并使其作为服务常驻系统。l 将逆序存放的一个子PE释放随机名dll到system32目录下l 如果360tray.exe不存在,则加载该释放的dll并执行install函数,等待下次重启触发病毒主逻辑,随后自删除,否则不执行该函数并将自身改名并移动到system32下,通过设置延迟实现自删除,然后调用rundll32.exe执行随机名dll的MainThread函数,相关代码逻辑如下所示。
https://s.pc.qq.com/guanjia/images/08/91/08913618813cf1f41b3ad35f966c45d9.png
9. madk.exe是病毒母体,不再赘述。我们可以从图中看到编译时间戳为2019年4月25日。
https://s.pc.qq.com/guanjia/images/95/ef/95ef11bebd2b9089f59b9608e6ec2b97.png
10. 随机名dll,由“x86.exe”或“x64.exe”程序释放,具有多个导出函数,主要导出函数内容如下所述。l install导出函数将自身设为服务,所属组为新建的ctfmon组,然后启动服务。l MainThread导出函数,创建互斥量:“sky.hobuff.info:8007:cftmon”,将获取计算机名、CPU信息、系统版本、命中杀软名信息、已开机时间、cftmon服务安装信息等,经过简单异或相加加密后上传到sky.hobuff.info:8007,具有下载病毒的能力,具体逻辑如下图所示。https://s.pc.qq.com/guanjia/images/c1/7a/c17a804cf2d6cb090876350f29719dc4.png
11. mks.exe、0osk.exe具有相似的行为逻辑,主要功能如下。l mks.exe释放文件并实现将sethc.exe映像劫持到C:\Windows\Fonts\smss.exe,l 0osk.exe释放文件并实现将osk.exe映像劫持到C:\Windows\Fonts\lsass.exe,从目前来看,由于被释放出来的smss.exe与lsass.exe模块,均由于是个带密码的自解压包,即便通过映像劫持得到执行权仍然无法正常运行,并且由于这两个自解压包里面仅是一个txt文本,因此我们猜测后续这两个模块可以灵活调整为别的病毒模块。12. ctfmon.exe由dll.exe释放,其本身也是释放者。l 释放了NSA攻击组件、多个bat脚本与伪装名为“taskhost.exe”的端口扫描工具。l 执行了刚释放出来的%SystemRoot%\Fonts\Mysql\same.bat。13. same.bat功能如下。l 安装并启动MicrosoftMysql服务用于执行cmd.bat。l 创建了两个SYSTEM权限的任务计划,用于执行wai.bat和nei.bat。l 通过修改tasks目录下的特定文件属性,以达到禁用bulehero挖矿木马等家族并且阻止特定名称任务计划的写入。l 结束wannacry等高危病毒家族、他挖矿病毒家族的进程、自身进程(用于更新自身),以及删除对应的程序,并修改其属性与权限以禁止运行等。l 篡改hosts文件用于劫持如下矿池域名到103.18.244.217,猜测通过修改json的钱包地址用于劫持算力。
donate.v2.darks.xyzpool.minexmr.comdonate.v2.kiss58.orgdonate.v2.googel-dns.compool.bulehero.insg.minexmr.com
l 通过腾讯安图可以查到该ip指向indoneminer的域名(相关报告可以通过底部引用查看)。
https://s.pc.qq.com/guanjia/images/dc/7d/dc7d9d3a02af7990da521e8adf617f24.png
l 创建了的两个SYSTEM权限的任务计划,用于执行wai.bat和nei.batnei.bat 会调用svchost重新安装名为MicrosoftMysql用于拉起cmd.batwai.bat 会调用svchost安装名为MicrosoftMssql用于拉起bat.batcmd.bat循环调用load.bat、loab.bat、taskhost.exe等多个组件,开启450个线程向本机外网网段机器的139,445端口发起扫描,如果检测到端口开放则会调用NSA攻击模块进行攻击,攻击成功则将Doublepulsar.dll或Eternalblue.dll 注入到目标系统。bat.bat会从file.txt中包含的24450个网段信息中,随机抽取14个国家的网段,然后调用poad.bat、poab.bat、taskhost.exe等多个组件开启400个线程进行139,445端口的扫描,如果检测到端口开放则会调用NSA攻击模块进行攻击,攻击成功则将Doublepulsar2.dll或Eternalblue2.dll(实际上是上述第7点的x86.dll与x64.dll) 注入到目标系统。14. Doublepulsar.dll、Eternalblue.dll作为漏洞攻击的有效载荷,下载病毒以重复实现上述恶意逻辑。l Doublepulsar.dll主要实现下载器功能,下载病毒的地址与存放路径如下所示。
https://s.pc.qq.com/guanjia/images/38/5c/385c6abae6cdb127e9d9bd3eea64fee5.png
l Eternalblue.dll逻辑同上基本一致。
15. 上述两个dllpayload:Doublepulsar.dll、Eternalblue.dll下载的多个病毒的功能行为如下所述。l c32.exe/c64.exe 释放多个bat组件,如上述第12、13点分析一致,实现再次通过漏洞攻击进行扩散。l iexplore.exe/service.exe 创建名为clr_optimization_v4.0.30328_64服务常驻系统,挖矿命令行为:-o tgoodluck.info:1238 -o twangzhan.website:1238 -u 1 -p x -kl 32.exe/64.exe 是远控程序,创建名为RpcEpt 的服务常驻系统,收集的系统信息与上述第10点分析基本一致,并在异或相加加密之后发送至:indonesias.website:5814,具有下载病毒的功能,与上述第10点分析基本一致。三、溯源分析NSABuffMiner在最新更新的样本中,新增一个下载模块,同时下载NSABuffMiner与IndoneMiner两个家族的NSA攻击武器进行攻击,其中使用NSABuffMiner的攻击模块攻击内网IP,使用IndoneMiner的攻击模块攻击外网IP。近一步分析发现,两个家族的最早出现时间相同,都为2018年7月,且都使用了指向湖北武汉的下载地址(t.honker.info:8与indonesias.me:9998),指向韩国的矿池地址(x.csrss.website:80与indonesiasgo.website:1236),据此推测两个家族的攻击来源为同一个团伙。最新的样本中使用到两个家族的IOCs如下:1) NSABuffMiner家族:l x.csrss.website:80l s.csrss.website:443l t.honker.info:8l sky.hobuff.info:80072) IndoneMiner家族:l tgoodluck.info:1238l twangzhan.website:1238l indonesias.website:5814l indonesias.me:9998四、安全建议1、服务器关闭不必要的端口,例如139、445端口等。2. 手动安装“永恒之蓝”漏洞补丁请访问以下页面https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx其中WinXP,Windows Server 2003用户请访问https://www.catalog.update.microsoft.com/Search.aspx?q=KB40125983、推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客入侵。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
https://s.pc.qq.com/guanjia/images/a0/68/a06835bffaa8a556a922f0e3f5a40e34.png
4、企业用户建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
5、个人用户推荐使用腾讯电脑管家,拦截此类病毒攻击。
IOCs
MD5fef850e0879f373c050f717e36f0522601417e77f5b3c2a087d9dfd60dc391ed06a205a4592082bea9fd07caccec800db617461481bdb4794c7443b88fb7e0e187ce048c34cdf2ffbd5809a5197a8b49cbd07b8e2e599b3dbccd8cbaab793723adc1a322ceda56bf2bbc2c2215ee676410b1afc216476e4600cbaa07a265159c7225fdf605389403635bcbe90770a43548f7035265a2a0da4cf495275bd71cdc66b66dc0eb2437b233a8256b9a02902f984f9e187bcb1d2fa316de58cee9e578e6c31e063a18aab73a364e146eeab376762ed51daa67d2a6a4ea641ec5a5b6f336f573d24b6d67e4f641aefb642d692806795935800f54ac78527408260116e32eaa6a11f7b3562d21eee3d3f5620edad67668986f8a9869bfaa084ce16b2d77fe7d5c21a8f36159ede0571e6e9f5e8bd4cf22a20f3522b8ff428b8cfd1d546d01b103a1531d23c0f0a431b07fa2bb8b338f6ff5e687d1eec9b539057d6ab5a7dd6305f9256cc343be9efe4f43cca7c51b41317b15287ab681defabc66ef638b4c42cb692e83bb6fac57054686ba2b88ab234159a8bc206d06203086944b72c436a90b771d5eb1fc06d29377816f643e07986ecd5f759e85db37302bd0493ea4cd6fd2959b8ec762511f6c36adfb35bb7a3bc90885fb50b27cd8484104a94d2d4b0696dacce157b7b8975faa7c3ddc84b02524a0d8b9525bf0ef81c07e2788a8f79c3f723c70ef417dae9b3bce33f03c6af173d8d48da761b7f7b3ded30cb27522e1696e9adcbe6ef1a3a32fd9575c0fURLx.csrss.website:80s.csrss.website:443twangzhan.website:1238tgoodluck.info:1238indonesias.website:5814sky.hobuff.info:8007indonesias.me:9998t.honker.info:8引用
https://s.tencent.com/research/report/648.html
https://s.tencent.com/research/report/533.html
https://cloud.tencent.com/developer/news/31375 点个赞 好人一生平安啊 谢谢楼主提醒 前来看看,学习了 谢谢分享 不是很懂, 但是看起来很牛B 这是来,宣传来了。 对我们来说 太高深了 腾讯电脑管家本身就是不干淨的東西 j技术贴赞一个
页:
[1]
2