吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 33071|回复: 76
上一主题 下一主题
收起左侧

[PC样本分析] 你还在关注勒索病毒?别人已经转行挖矿!

  [复制链接]
跳转到指定楼层
楼主
Gslab 发表于 2017-7-20 14:35 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Gslab 于 2017-7-20 14:39 编辑

导语:近日,腾讯游戏安全中心捕获一款网吧内传播的恶意软件。原以为是常规的网吧盗号木马,但详细分析之后发现并非如此。经证实该恶意软件是目前发现的首款利用Windows SMB漏洞传播,释放虚拟货币矿机挖矿的肉鸡集群。0x01 来源2017年7月10日左右,由腾讯网吧守护TSPN和顺网联合团队在某网吧内发现异常的svchost.exe进程,以及与之相关spoolsv.exe进程,遂提取样本到安全中心进行人工核实。0x02 真身拿到样本后从外观看与系统自带的进程无异,但查看属性发现spoolsv.exe是一个压缩文件,于是开始产生警觉。
尝试使用7zip解压此文件后,发现了惊天大秘密——NSA攻击工具包。从字面上我们可以看到永恒之蓝、永恒冠军字样的攻击配置文件。同时我们在解压之后的文件中也找到了与样本同名的两个可执行体,以及同名的xml配置文件。

打开svchost.xml查看一下,发现正式永恒之蓝的攻击配置文件。

打开spoolsv.xml查看一下,发现了另一个NSA工具DoublePulsar的攻击配置文件。

于是猜测压缩包内的svchost.exe是EternalBlue攻击程序,压缩包内的spoolsv.exe则是DoublePulsar后门。尝试手工运行这两个可执行文件,发现的确是命令行工具,只是配置文件不正确,无法完成攻击。

0x03 毒手了解到样本的真身之后,我们开始认为这是一个和WannaCry一样的勒索病毒,但是仔细想一下发现样本并没有造成网吧电脑的大规模爆发,也没有业主有反馈,于是怀疑这并非是一起简单的勒索病毒事件。深入分析后发现初始的spoolsv.exe(我们称之为母体)并非简简单单的释放攻击包,其自身在释放攻击载荷之后,还会开启对局域网络445端口的疯狂扫描,一旦发现局域网内开放的445端口,就会将目标IP地址及端口写入EternalBlue的配置文件中,然后启动svchost.exe进行第1步溢出攻击。第1步攻击的结果会记录在stage1.txt中,攻击完成后,母体会检查攻击是否成功,若攻击成功,则继续修改DoublePulsar的配置文件,并启动spoolsv.exe(压缩包内的DoublePulsar,并非母体)在目标计算机安装后门,此称之为第2步攻击,结果会记录在stage2.txt中。





这就完了吗?仅此而已吗?那这玩意儿到底是为了啥?这不科学,没有病毒仅仅是为了传播儿传播,但是此时我们的样本在实验室内已经不再继续工作了。于是我们在网吧中继续抓取到这东西的精彩后续:被安装了DoublePulsar后门的计算机中lsass.exe进程被注入了一段shellcode,这和外网公布的DoublePulsar的行为一模一样,但样本中的这段shellcode利用lsass.exe进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件,而这个文件正是我们样本中一直没有提到的svchost.exe(与母体在同一目录下)。


而这个svchost.exe可不是EternalBlue。那么它是啥?通过仔细的分析,我们发现它会做三件事情:第一,先把自己添加到计划任务的一个不起眼的地方,让人感觉是一个合法的任务,从而达到自启动的目的。

第二,在局域网其他电脑上下载一个母体文件,以便于二次传播。第三,释放一个ServicesHost.exe进程并以指定的参数执行这个进程

继续跟踪这个ServicesHost.exe以及启动参数,发现了一个惊天大秘密,也就是整套传播机制的终极目的——挖矿。从此程序的启动参数中我们看到了一个敏感的域名xmr.pool.minergate.com”,Google一下发现这是一个国外各种数字货币的矿池,网站提供了各种数字货币的矿池地址,只要在网站注册账户,就可以利用矿机参与挖矿。而我们的样本中的矿机则是一款GITHUB上的开源矿机xmrig,挖矿的账户则是dashcoin@protonmail.com这个账户,挖的正式一种不是很常见的数字货币——门罗币。





0x04 横财说道门罗币我们也要看一下这东西到底值多少钱,随便找了个交易平台看了一下,实时价格约人民币277元,价值虽然没有BTC那么高,但也不低,挖矿收益应该不少。



0x05 总结总体来看,恶意软件的释放、执行流程比较传统,但利用的攻击和漏洞相对比较新,在SMB漏洞被广泛利用到勒索软件的时候,作者却开启了另一扇淘金的大门。下面为大家图示总结一下此款恶意软件的传播和执行流程。



VDC管家平台上看,此木马的传播量呈逐日上升阶段,还需要持续关注打击。在发文时,此款木马已经能够被腾讯电脑管家识别,并有效清除。






最后,提醒各位玩家及网吧业主应该及时更新操作系统补丁,避免被多次割韭菜,导致WannaCry伤疤未愈,僵尸矿机又来撒盐!






文章转自游戏安全实验室(gslab.qq.com)

免费评分

参与人数 12吾爱币 +12 热心值 +9 收起 理由
NotSurprised + 1 谢谢大神分享!
felixyuan + 1 + 1 用心讨论,共获提升!
zym8058 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
mwjdyx + 1 这东西现在才出来吗?
向码农致敬 + 1 + 1 我很赞同!
昂电工 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
冰点唯银 + 1 + 1 求样本啊 - =
浪子彦 + 1 昨天在网吧上网发现QQ自动加了一个人好友,然后自动拉了这个b进了所有的QQ.
bingbing0456 + 1 + 1 我很赞同!
我为伊人KL + 1 + 1 谢谢@Thanks!
坐等红杏 + 1 现在挖矿不是找死吗?这是在找接盘侠,广大吧友且勿听信。
Guos + 2 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

  • · Aarow|主题: 988, 订阅: 304

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
liuzejian3 发表于 2017-7-20 14:51
这个是我一直的想法.... 原来奇怪怎么没人这么搞呢?
推荐
Nelson_Du 发表于 2019-4-3 16:10
NotSurprised 发表于 2018-3-17 13:28
弱弱的请教大神一下
"lsass.exe进程被注入了一段shellcode"主要是DoublePulsar后门造成的吗?
有大神知道 ...

双脉冲星利用时候可以选择 指定名称的进程,默认lsass.exe。如果指定其他进程如qq.exe则需要在进程启动才可以在meterpreter获取shell反弹。
需要配合shadowbrokers的组件和msf同时使用
文中xxx.dll则为shadowbrokers的部分组件。
沙发
kmwell 发表于 2017-7-20 14:44
3#
wsaddede 发表于 2017-7-20 14:47
楼主厉害
4#
dieqiong 发表于 2017-7-20 14:51
厉害了楼主,话说楼上的图也是莫名飙车
6#
影佑 发表于 2017-7-20 14:52
大神啊楼主
7#
WoodyC 发表于 2017-7-20 14:54
我竟然都给看完了
8#
Niuer 发表于 2017-7-20 14:55
最近听说矿难 1080买1080  23333
9#
daisy123 发表于 2017-7-20 15:03
佩服啊大神
10#
吾爱沉默 发表于 2017-7-20 15:13
多谢楼主的详细分析!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:27

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表