蠕蟲病毒"RoseKernel"迅速蔓延 政企單位網路易被攻擊
感謝火絨安全的投遞
近期,火絨安全團隊截獲蠕蟲病毒"RoseKernel"。該病毒可通過遠端暴力破解密碼等多種手段全網傳播。病毒入侵電腦後,會同時執行"挖礦"(門羅幣)、破壞Windows簽名校驗機制、傳播後門病毒等系列惡意行為。
一、 概述
由於病毒會對同一網段的終端同時暴力破解密碼,對區域網等機構使用者(政府、企業、學校、醫院)危害極大,截至到發稿前,已有數萬臺電腦被感染。目前"火絨產品(個人版、企業版)"最新版即可查殺該病毒。
該蠕蟲病毒通過移動外設(U盤等)、劫持 Office 快捷方式傳播、遠端暴力破解密碼三類方式進行傳播:
1、通過外設傳播時,病毒會將外設內的原有檔案隱藏,並建立一個與隱藏檔案完全相同的快捷方式,誘導使用者點選後,病毒會立即執行;
2、通過劫持Office快捷方式傳播後,病毒會劫持Word和Excel快捷方式,讓使用者新建的文件帶有病毒程式碼。當用戶將這些文件傳送給其他使用者時,病毒也隨之傳播出去;
3、通過遠端暴力破解密碼傳播。病毒入侵電腦後,還會對其同一個網段下的所有終端同時暴力破解密碼,繼續傳播病毒。
由於病毒通過文件、外設等企業常用辦公工具傳播,加上病毒入侵電腦後會對其同一個網段下的所有終端同時暴力破解密碼,因此政府、企業、學校、醫院等區域網機構面臨的威脅最大。
病毒入侵電腦後,會竊取數字貨幣錢包,還會利用本地計算資源進行"挖礦"(門羅幣),並結束其它挖礦程式,以讓自己獨佔計算機資源,使"挖礦"利益最大化。此外,病毒會破壞 Windows 簽名校驗機制,致使無效的簽名驗證通過,迷惑使用者,提高病毒自身的隱蔽性。"RoseKernel"病毒還帶有後門功能,病毒團伙可通過遠端 伺服器 隨時修改惡意程式碼,不排除未來下發其它病毒模組到本地執行。
建議受威脅較大的機構使用者儘快使用"火絨企業版"(可免費試用3個月)進行全盤掃描,檢查企業內終端是否受到病毒攻擊。
二、 樣本分析
火絨近期截獲到一組蠕蟲病毒樣本,該病毒通過暴力破解方式遠端建立WMI指令碼,病毒中含有遠控功能,可以下發任意模組到本地執行,目前危害有:竊取數字貨幣錢包,利用本地計算資源進行挖礦(門羅幣),不排除未來下發其他病毒模組到本地執行的可能性。病毒模組及功能,如下圖所示:
模組介紹
在這裡將該病毒分為rknrl.vbs模組和DM6331.TMP 模組來分別敘述。
rknrl.vbs模組
rknrl.vbs可以看做是一個載入器,DM6331.TMP是經過加密的VBS程式碼,它會讀取DM6331.TMP後執行,經過解密後DM6331.TMP是病毒的主要功能模組,該模組功能會在後邊詳細敘述。如圖所示,解密後的"aB"函式是病毒的主要解密函式,大部分被加密的字串都會使用該函式進行解密,後文不再贅述。在這裡病毒作者將載入器和被加密的病毒程式碼分為2個檔案目的是為了躲避殺軟的特徵查殺。解密流程,如下圖所示:
程式碼解密
DM6331.TMP模組
DM6331.TMP模組是該病毒的主要模組,由於功能較多,將會分成9個部分介紹:後門程式碼、元件升級、隱藏挖礦、盜竊數字貨幣錢包、簽名重用攻擊、結束其他挖礦程式、劫持Office元件快捷方式、U盤感染、遠端暴力破解建立WMI指令碼。
後門程式碼
首先呼叫"Getini"函式獲取一個可用的C&C 伺服器地址,該 網站 內包含:病毒和挖礦程式的下載地址、礦池錢包地址、還有遠控C&C伺服器地址。在獲取網站內容後它會呼叫"chkorder"執行遠控命令。"chkorder"函式包含下載、上傳、刪除任意檔案,當前指令碼環境中執行任意vbs程式碼,啟動cmd並獲取回顯,獲取程序列表資訊,結束任意程序等功能。相關程式碼,如下圖所示:
獲取遠控地址
遠端後門指令
遠控功能程式碼
元件升級
DM6331.TMP 模組會在WMI中註冊名為"rknrlmon"的指令碼,該指令碼每間隔8秒會啟動執行一次,用來獲取C&C伺服器遠控指令,獲取的內容經過解析後用作病毒和挖礦程序升級使用。相關程式碼,如下圖所示:
版本升級
隱藏挖礦
"rknrlmon"指令碼還會檢視當前環境中是否存在工作管理員,如果存在,則結束挖礦程式,反之執行,從而可以提高病毒的隱蔽性。相關程式碼,如下圖所示:
隱藏挖礦程式
盜竊數字貨幣錢包
DM6331.TMP 中的病毒程式碼在執行後會遍歷受害者磁碟目錄,用來偷取數字貨幣錢包,感染使用者網站首頁檔案,但是會繞過系統目錄和360目錄。在遍歷目錄時發現資料夾下的檔名中包含"wallet"、"electrum"、".keys關鍵字,且檔案大小小於183600個位元組,則會將所對應的檔案上傳。如果發現檔名中包含"default.html"、"index.asp"等與網站預設頁面相關的檔名時,會在頁面中插入帶有病毒程式碼的JavaScript指令碼標籤,經過解密後的JavaScript程式碼內包含一個指向病毒C&C伺服器的連結,該連結目前已無法訪問,被感染的網頁檔案內會被新增"//v|v\\"字串,作為被感染的標記。相關程式碼,如下圖所示:
遍歷使用者目錄
竊取數字貨幣和感染網站首頁
簽名重用攻擊
該病毒通過更改Windows 登錄檔方式,破壞Windows簽名校驗機制,從而使其無效的"Microsoft Windows"數字簽名驗證通過。相關程式碼,如下圖所示:
破壞Windows簽名校驗機制
感染病毒前後文件數字簽名信息,如下圖所示:
感染前後病毒檔案數字簽名信息
結束其他挖礦程式
在啟動挖礦程式後,還會通過WMI遍歷當前程序列表,如果存在"xmrig"、"xmrig-amd"等含有礦工名稱的程序時會結束對應程序。目的是為了獨佔計算機資源進行挖礦,擴大挖礦收益。相關程式碼,如下圖所示:
結束其他挖礦程式
劫持Office快捷方式
DM6331.TMP 在執行後會將帶有巨集的Word文件(rknrl.TMP1)和Excel文件(rknrl.TMP2)拷貝到Office目錄下,然後遍歷桌面目錄,在Word與Excel辦公軟體的快捷方式新增命令列引數。相關程式碼,如下所示:
劫持Word和Excel快捷方式
被篡改後的快捷方式引數及其解釋,如下圖所示:
當啟動被劫持的快捷方式後,會呼叫帶有病毒程式碼的文件檔案,病毒程式碼執行後會在Temp目錄下釋放rknrl.vbs和DM6331.TMP並註冊病毒WMI指令碼。因為啟動引數為基於病毒文件開啟,所以當用戶將新建的文件儲存後,文件中也會帶有病毒程式碼,如果使用者將帶有病毒程式碼的文件傳送給其他使用者,就會幫助病毒進行傳播。病毒巨集程式碼,如下圖所示:
釋放病毒
U盤傳播
該病毒會在移動儲存裝置中建立與根目錄中資料夾名近乎相同的病毒快捷方式(如果該資料夾名長度不等於一,那麼該病毒會刪除原始檔名最後一個字元,然後以這個名字建立快捷方式),同時將真實的資料夾隱藏,誘導使用者點選執行病毒。相關程式碼,如下圖所示:
U盤傳播程式碼
被感染的U盤
WMI弱口令暴力破解
該病毒還可以通過弱口令暴力破解方式遠端建立WMI指令碼進行傳播,傳播物件不僅限於區域網還會攻擊網際網路上存在的任意主機。首先會獲取本地IP,之後對同一網段除廣播地址外所有主機進行暴力破解攻擊。之後病毒還會隨機生成一個IP地址,通過同樣的攻擊方式進行外網傳播。相關程式碼,如下圖所示:
生成隨機IP地址
WMI弱口令暴力破解
三、 附錄
樣本SHA256