“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

  • A+
所属分类:安全新闻
背景概述

近日,深信服安全团队通过深信服安全设备发现一起安全事件,感染主机引发了下载恶意Powershell脚本(160001) 的安全告警。

经过研究发现该病毒名为“匿影”木马,主要目的是进行挖矿,并在内网使用永恒之蓝进行横向传播,感染后在本机创建计划任务、WMI等进行持久化,通过组建大量僵尸网络、多个钱包并行挖矿以提高收益。


母体脚本分析与溯源

1. 安全事件告警相关信息:

url均为http://mywebsaat.xyz/kp.txt,

下载的ip地址为:172.67.216.77、104.27.190.32,

从不同的目的主机下载的恶意文件的MD5不同。

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


2. 通过访问:

http://app.mywebsaat.xyz:8175/kill.txt

获取要关闭的进程的。进程列表如下:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


先停止进程,然后再进行删除:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


3. 通过http://ip.tool.chinaz.com网站查询受害主机的公网ip地址。然后通过正则表达式,获取页面中的ip地址:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


4. 获取进程的路径和进程执行的命令,操作系统的版本,内存的信息以及CPU的信息:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


5. 用公网ip地址,本地IP地址,系统版本号,CPU利用率命名文件名。

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


6. 通过ftp协议上传系统信息的文件到182.16.63.149,

用户名为:liujunbd;

密码为:hxlj19760304

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


7. 通过链接:

http://www.worldyou.top/images/5555.jpg 

下载恶意伪造文件 5555.jpg 放在

C:UsersPublicwindesktopggh.dll;

文件的sha256为:

9d5ab1547ac84d2e94647b430be3feb97b89a70ea993a42c04db8290848bf3c1

下载该文件,在沙箱中运行,为伪造的PE文件。并存在恶意行为:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


8. 运行挖矿程序;

其挖矿的地址为:

hns.f2pool.com:6000,

钱包为:

hs1qu8xtcklt3mujrcw2er785jelk22udgpkxq0qjx。

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


https://www.f2pool.com/网站 通过其钱包查询其挖矿情况:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


计算每天的收益,约为68人民币

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


另一个xmr 的钱包:

456jdPdTxbuixumJ2NiDhYgRs2GSBAFwa2hkYu1gpPHtRhz3mnJigeqWW1dRTeSiHBbHc2f18vc5VgiX9ofccGDQ6NVVkVV,每天收益大概在62人民币。

目前来看,其每天的总收益在130左右,一个月的收益在3900左右。

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


9. 访问其ftp的地址:182.16.63.149,可以发现其作案证据。里面约有3500个的记录信息文件。日期从2020-06-05开始:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

并且在其收集的信息中,发现还有其他的钱包地址:hs1qqx8dlhtxqnny4a8jdkxge9u7qu5er4j863d5x2

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


10. 其中还是以powershell作为主要的工具。其中每80分钟会去下载一次病毒样本:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


11. 通过永恒之蓝在内网进行横向传播

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


12. 发现一个boss.txt命名的文件,里面存放两个ip地址,均为河北保定的。

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


13. 查询该钱包的收益

hs1qqx8dlhtxqnny4a8jdkxge9u7qu5er4j863d5x2,发现最早收益的日期为2020-03-28。

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

从目前已知的钱包的收益记录中,发现该病毒最早在2020-03-28就已经开始进行挖矿活动。


windesktopggh.dll分析

1、windesktopggh是母体脚本加载运行的功能dll文件,会先检验自身后缀是否为HLP,INI:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

 

2、解密出一个PE文件,据悉:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

 

3、创建新cmd进程,写入解密的PE文件并进行调用:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

 

4、恶意文件中的API都是通过即时获取地址的方式进行调用:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


5、检测是否存在C:ProgramDatagooglp.txt文件:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

如不存在该文件,则弹出报错窗口,结束进程:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

如存在则继续,注册一个窗口类,创建Windows窗口,利用Windows消息机制调用消息处理函数,执行恶意代码:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


6、再次创建cmd进程进行注入,根据系统选择注入x64还是x86的PE文件:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


7、在新进程中再次使用创建Windows窗口利用消息处理机制调用恶意代码:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

 

8、创建服务相关注册表键值

SYSTEMCurrentControlSetServicesFileDriver.sys,

并设置各项相关值:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


9、创建服务,Image Path对应释放的恶意驱动文件,恶意驱动用于实现Rootkit功能:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

 

10、读取自身母体到内存:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


11、向驱动程序发送指令:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


深信服安全产品解决方案

1. 深信服EDR、安全感知平台、下一代防火墙用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁:

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金


2. 深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀;

“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


3. 深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;

4. 深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。


基础加固建议

1. 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

2. 使用高强度的主机密码和数据库密码,并避免多台设备使用相同密码,尽量关闭不必要的共享;

3. 定期检测系统漏洞并且及时进行补丁修复,常见易被木马家族利用进行横向传播的漏洞补丁包括MS17-010、MS08-067等。



“匿影”木马升级Rootkit驻留,发展僵尸网络挖矿捞金
深信服千里目安全实验室
扫描关注我们

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: