背景
永恒之蓝漏洞自从2017年4月NSA黑客工具公布之后,越来越多被用于非法网络活动。从勒索病毒WannaCry、NotPetya,到挖矿病毒Powershell Miner、NrsMiner无不利用这一工具大肆活动。
而在近日,360企业安全天擎团队监测到一种新的利用NSA黑客工具进行传播的挖矿病毒(挖取XMR/门罗币),该病毒家族在最近两个月内进行了疯狂传播,数月时间就通过挖矿获利近百万人民币。因其挖矿安装模块名称为hs.exe,我们将其命名为HSMiner,该病毒主要利用永恒之蓝、永恒浪漫漏洞进行传播,除具有挖矿功能外,还具备远控木马功能:
样本分析
360企业安全天擎团队对该样本进行了详细分析,样本功能主要分为传播、挖矿和远控三大模块。病毒会通过判断运行时的本地互联网出口IP所在地区来获取攻击者事先准备好的对应地区的IP地址列表进行SMB漏洞利用传播,并开启挖矿(XMR/门罗币)和远控功能以实现敛财和长期控制受害者电脑的目的。
传播模块
病毒的传播模块在运行时,通过访问 http://2017.ip138.com/ic.asp 获取本地互联网出口IP所在地区,根据IP所在地复制事先准备好的全国按地区划分的IP地址表(见图1),比如IP所在地是北京(见图2),则拷贝北京的IP地址列表至待扫描目标地址表。然后依次扫描这些地址的445端口,对445开放的主机进行攻击,攻击工具为2017年4月泄露的 NSA永恒之蓝、永恒浪漫黑客工具,攻击成功的计算机将被安装后门,最后通过该后门加载Payload下载安装挖矿程序包。
图1 按地区划分IP地址列表
图2 北京地区部分IP地址列表
图3永恒之蓝、永恒浪漫攻击脚本
永恒之蓝、永恒浪漫攻击成功后会植入一个payload模块,该模块将被注入在系统lsass.exe进程中运行,部分代码如下:
图4 漏洞植入Payload 代码
该代码主要用于下载病毒完整程序包,下载文件随后更名为”C:\qwa.exe” 并运行安装,简单粗暴。
传播模块最终采用 Windows第三方服务管理工具被安装成为一个系统服务常驻系统运行:
图5 安装传播服务模块
挖矿模块
挖矿模块的安装包是一个Winrar自解压程序,文件名称为hs.exe。解压包内容如下:
图6 HSMiner挖矿自解压程序
自解压后执行脚本wx.bat:
图7 安装HSMiner挖矿服务
如上图所示,通过第三方服务管理工具windows.exe将挖矿程序iexplorer.exe以服务形式安装在计算机中。
我们在分析中还发现该家族存在多个变种,其中部分变种有黑吃黑现象,也即这些变种在挖矿前,会将其他挖矿、勒索、木马等病毒来一次大扫荡,以便于自身不被其他病毒影响从而更好地利用系统资源进行挖矿,如下图所示为部分脚本:
图8 清理其他挖矿、勒索、木马等病毒
挖矿程序本身是在开源程序xmrig基础上编译而来,如下图所示为程序命令行参数说明:
远控木马
HSMiner带了一个远控木马,该木马采用 VC 编写,运行后释放一个 DLL 文件,并将该DLL注册为系统服务运行。
从资源释放一个DLL文件:
通过读取注册表判断是否安装有360安全卫士:
如果安装有360安全卫士则退出执行,否则调用WinExec来运行rundll32.exe,通过这种方式加载运行dll:
调试查看实际运行命令行:
命令行如下:
rundll32 "C:\windows\kuai4394495.dll",ServiceMain
释放的 DLL 是木马母体程序。该DLL程序首先解密自身数据,如下是部分截图:
接着注册一个svchost共享进程服务:
最终该服务在注册表中效果如下:
接着分析服务入口主程序ServiceMain:
首先创建线程,遍历进程是否有DSMain.exe(进程名以倒序排列,该进程为360安全卫士在查杀病毒时启动的杀毒模块),如果发现该进程,样本会删除自身创建的服务注册表:
接着解密自身一段数据:
wxlinux.top 即是该木马通讯的 C2 服务器,尝试连接C2服务器:
成功连接服务器后,则会创建线程与服务器进行通讯:
当与服务器建立通讯后,会尝试获取计算机配置信息,包括处理器核心数、cpu频率、内存使用百分比等,并且会尝试遍历进程,查询是否有杀软进程或者指定的进程:
将数据发送给服务器:
设置全局钩子, 用来记录键盘输入数据:
将数据进行异或加密后保存到指定的文件:
木马采用tcpip协议与服务器进行通讯,当接收到数据后,会进行解密,然后根据命令执行对应的功能,限于篇幅,各功能这里不一一分析,以下列出该木马命令协议:
溯源分析
测试样本
通过360威胁情报中心的大数据分析平台,我们关联到一个攻击者的测试样本:
样本MD5
65b148ac604dfdf66250a8933daa4a29
PDB路径 E:\有用的\Projects\Dllhijack\Dllhijack\Release\Dllhijack.pdb
之所以说是测试的样本,是因为该DLL加载入口处包含MessageBox函数:
该测试样本的编译时间为:2017年6月23日:
同源样本
360威胁情报中心根据该测试样本的静态特征继续关联到了600多个同源样本(MD5见IOC节)。经过分析鉴定发现这批同类样本应该是利用生成工具,使用配置器修改生成的:
一致的代码结构和字符串信息:
目标和受害者分析
攻击时间
根据360网络研究院的全网数据抽样统计,对攻击者挖矿的矿池域名a.wxkuangji.com 的大量访问主要集中在2018年5月和6月,也就是说该病毒家族在最近两个月进行了疯狂的传播并大肆敛财:
挖矿统计
该挖矿病毒在不同变种中使用了多个钱包,如下为部分钱包地址:
钱包地址
其中一个地址很活跃,以下是最近一个月的挖矿统计:
截至目前,以上钱包累计挖矿近 882 XMR,加上其他钱包共约 1000 XMR。查看最新的XMR/门罗币价格可以推算,该团伙在数个月内就疯狂敛财至少近百万人民币:
地域分布
继续基于本次挖矿病毒访问的矿池地址a.wxkuangji.com域名解析数据统计结果进行分析,分析结果显示全国多个地区均被感染了该类病毒,并且江苏和广东这两大发达地区是本次攻击的重点区域:
总结及建议
由上述分析可见,HSMiner挖矿病毒采用简单有效的方式进行传播,并附带了成熟完备的远控木马,从分析可见该病毒背后团伙应该是国内近段时间较为活跃某黑产组织。其挖矿获利已经接近1000XMR(近百万人民币),值得我们提高警惕,防患以未然。
目前360安全卫士/天擎都能对本次攻击中使用的恶意代码进行查杀,360威胁情报中心提醒各企业用户,尽可能安装企业版杀毒软件,如有需要,企业用户可以建设态势感知,完善资产管理及持续监控能力,并积极引入威胁情报,以尽可能防御此类攻击。360企业安全的天眼高级威胁检测系统、NGSOC及态势感知系统已能全面基于威胁情报发现企业网络中历史上已发生或进行中的这波攻击,如发现被攻击的迹象请立即启动应急预案或联系360安服团队协助处置。