借鸡生蛋！“驱动人生”挖矿木马使用Outlaw僵尸网络模块进行广泛传播

近日，深信服威胁情报团队监测到“驱动人生”挖矿木马再次进行了大版本的更新，针对Windows、Linux平台都引入了新的攻击模块，并在企业、政府、能源和科研教育等行业进行广泛传播。

“驱动人生”挖矿木马，也被称为永恒之蓝木马下载器、蓝茶、黑球、DTLMiner、LemonDuck等，其自2018年12月的供应链攻击事件以来，一直保持着很高的活跃度，并不断优化更新免杀手段、攻击手法和传播方式，成为最活跃的挖矿家族之一。本次更新中Linux挖矿模块引用了大量Outlaw僵尸网络的代码，同时新增使用WebLogic未授权命令执行漏洞（CVE-2020-14882/14883）攻击模块（从2020年12月份已更新），其整体的攻击及传播能力得到明显的提升。值得一提的是，在分析过程中还发现病毒作者的开发环境疑似被Ramnit家族感染，部分模块中还包含Ramnit感染代码。

从近期的几次更新中不难看出，“驱动人生”挖矿木马一直在不断完善其针对Linux系统的挖矿模块，从去年6月份新增SSH和Redis未授权访问漏洞，到后来8月份又加入Hadoop Yarn未授权访问漏洞，到如今加入WebLogic未授权命令执行漏洞利用模块，并且引用成熟的Outlaw僵尸网络模块，说明长期以来背后的攻击者一直在关注最新的攻击手法并且不断优化恶意程序的功能模块，持续寻找挖掘财富密码的“矿机”。

1.新增WebLogic漏洞利用模块

该木马通过扫描内外网主机，当扫描到某目标主机开放了7001端口（WebLogic默认端口）并且没有开放65529端口（感染标记）时，便通过执行函数LogicExec利用WebLogic漏洞来实现横向传播。

函数LogicExec先判断目标主机当前WebLogic版本是否为受影响版本，当为受影响版本时，便组合使用CVE-2020-14882（权限绕过）和CVE-2020-14883（远程代码执行）在未授权的情况下实现远程代码执行。

攻击成功后，针对Windows目标主机下载执行logic/logico.jsp；针对Linux目标主机下载执行core.png，从而实现横向传播。

2.修改永恒之蓝漏洞利用的Payload

修改Python打包程序20.dat中永恒之蓝漏洞利用的Payload，从之前的shellcode变为PE文件如下图。但经分析其实现的功能基本一致，功能如下：

1.下载执行PowerShell代码gim.jsp；

2.修改administrator账户登陆密码为n8d3j9SjfS7（上一版本为k8d3j9SjfS7）；

3.修改防火墙策略，开放55529端口作为感染标记（上一版本为65529）。

3.被迫新增Ramnit感染功能

在分析Python打包程序20.dat时，意外发现该文件已被Ramnit家族感染，经解包分析后，发现解包后的Python模块也同样被Ramnit家族感染过，并且传播古老的Ramnit感染型样本对“驱动人生”挖矿木马本身来说并没有什么实际的意义，因此可以推断大概率是病毒作者的开发环境被感染了。所以本次更新中也被迫加入了Ramnit感染功能，解包后的Python模块区段如图所示：

 “驱动人生”挖矿木马的传播模块在利用各种方式入侵Linux服务器成功后，会执行命令下载执行http[:]//t.netcatkit.com/ln/core.png，该文件实际是shell脚本，添加定时任务实现持久化，下载执行a.asp脚本。

a.asp同样是shell脚本，会从down.sqlnetcat.com下载dota3.tar.gz，并执行其中的initall脚本。

dota3.tar.gz与Outlaw僵尸网络母体名称相同，内部文件大部分命名相同，且代码相似度也很高。

“驱动人生”挖矿木马老版本的a.asp代码被拆分，放在了a目录的init0和c目录下的t文件中。

对比Outlaw僵尸网络的母体，“驱动人生”挖矿木马的矿机程序为a目录下的wanwakuang，替换掉了Outlaw僵尸网络的kswapd0。b目录进行解码运行Shellbot木马及创建SSH后门。c目录剔除了部分功能代码，并加入扫描传播模块。

有意思的是，分析“驱动人生”挖矿木马和Outlaw僵尸网络的历史C2和样本，并未有任何相似之处，而且“驱动人生”挖矿木马的清除其它挖矿程序脚本init0中，包含了Outlaw僵尸网络的挖矿进程。

对此，我们可以猜测，“驱动人生”挖矿木马跟Outlaw僵尸网络背后不是同一个犯罪团伙，也不存在合作关系，只是“驱动人生”挖矿木马单方面使用Outlaw僵尸网络的模块，并玩了一手“过河拆桥”！

“驱动人生”挖矿木马其他核心模块之前也已经做过多次分析，其模块根据不同功能拆分成了多个PowerShell模块，下面只针对部分核心模块进行介绍。

上述文件都是通过不同方式入侵到目标主机的原始执行文件，文件内容完全一样，文件名表明其入侵成功的方式。如文件名mail.jsp就表明是通过钓鱼邮件入侵进来的，文件名带o是表示通过外网主机入侵成功的，而不带o代表是通过内网主机入侵成功的。

卸载杀软

去除混淆后，入侵母体文件先通过WMI来检测杀软，当发现杀软便将其卸载。

持久化

然后会创建4个计划任务和4个WMI事件订阅，来实现持久化。其中名为BlackBall的计划任务和WMI事件订阅均为感染标志，并没有实际操作；另外的3个随机命名的计划任务和WMI订阅事件，分别从如下的3个域名中下载a.jsp来执行。

计划任务和WMI事件订阅下载执行a.jsp代码如下所示：

设置感染标记

修改防火墙设置：

1.开放65529端口(作为感染标记)；

2.设置DNS端口转发；

3.关闭445(SMB)、135端口（RPC）。

If.bin去混淆后，得到一个长达1万多行的PowerShell脚本，其定义了多达244个函数，包含了所有主流横向传播的代码，来进行横向传播， 其横向传播手段有：

针对Windows目标主机的攻击方式：

1. 除自带的字典外，还会下载使用Mimikatz窃取账户密码，来进行SMB、MSSQL、RDP、NTLM、SSH弱口令爆破。

2. 永恒之蓝漏洞利用（MS17-010）。

3. SMBGhost远程代码执行漏洞利用（CVE-2020-0796）。

4. “震网三代”Lnk远程代码执行漏洞利用（CVE-2017-8464），感染U盘和网络驱动设备。

5. WebLogic未授权命令执行漏洞（CVE-2020-14882/14883）。

针对Linux目标主机的攻击方式：

1. SSH弱口令爆破。

2. Hadoop Yarn未授权访问漏洞。

3. Redis未授权访问漏洞。

4. WebLogic未授权命令执行漏洞（CVE-2020-14882/14883）。

ode.bin下载执行20.dat，并将其以随机名保存到临时目录下。20.dat是Python打包的可执行程序，其主要功能为利用永恒之蓝漏洞攻击，SMB、MSSQL弱口令爆破等手法进行横向传播，当其攻击成功后下载执行gim.jsp。

首先获取Outlook应用程序中邮箱联系人。

钓鱼邮件的内容预设了9个具有诱导性的热门话题（如新冠肺炎COVID-19），从中随机选择进行发送，各主题名如下：

钓鱼邮件的恶意附件有两个版本，也是从中随机选择发送。第一个版本为命名成readme.doc的带有CVE-2017-8570漏洞的rtf文档；另一个版本为命名为readme.zip的js脚本。它们的执行结果都是下载执行mail.jsp。

通过深信服安全云脑平台监控发现，“驱动人生”挖矿木马变种在前两周仍然处于活跃状态，并在最近一段时间内有增长趋势。

从深信服安全设备拦截到的恶意流量数据来看，企业、政府、能源、科研教育和制造业行业是主要受攻击群体。 

Windows

1.检查是否安装MS17-010漏洞补丁，下载地址：

https://docs.microsoft.com/zh-cn/securityupdates/securitybulletins/2017/ms17-010

检查是否安装CVE-2019-0708 RDP服务远程代码执行漏洞补丁，下载地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

检查是否安装CVE-2017-8464 LNK 远程执行代码漏洞补丁，下载地址：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464

检查是否安装CVE-2017-8570 Office漏洞补丁，下载地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

检查是否安装CVE-2020-0796 SMBGhost利用补丁，下载地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

针对CVE-2020-14882/14883漏洞的补丁，请受影响用户持有Oracle正版软件的许可账号，使用该账号登陆https://support.oracle.com后，可以下载最新补丁。

2.电脑账户密码可能已经泄露，最好修改密码，并排查电脑账户，若被添加未知账户，需要及时删除。

3.安装有MSSQL数据库的计算机，需要检查MSSQL账户密码强度，使用高强度密码。

Linux

1.修复Hadoop Yarn未授权访问漏洞和Redis未授权访问漏洞。

针对CVE-2020-14882/14883漏洞的补丁，请受影响用户持有Oracle正版软件的许可账号，使用该账号登陆https://support.oracle.com后，可以下载最新补丁。

2.使用高强度的SSH密码，并定期进行更换。

Domain

URL

1.深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品，已集成了SAVE人工智能引擎，均能有效检测防御此恶意软件，已经部署相关产品的用户可以进行安全扫描，检测清除此恶意软件，如图所示：

2. 深信服安全感知平台、下一代防火墙、EDR用户，建议及时升级最新版本，并接入安全云脑，使用云查服务以及时检测防御新威胁；

3. 深信服安全产品继承深信服SAVE安全智能检测引擎，拥有对未知病毒的强大泛化检测能力，能够提前精准防御未知病毒；

4. 深信服推出安全运营服务，通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。