挖礦木馬“DTLMiner” 中毒後彷彿聞到了燒顯示卡的味道
近日,瑞星安全專家率先監測到挖礦木馬病毒“DTLMiner”最新變種,新版本病毒更換了IP和域名,並且增加了一個挖礦模組,新版挖礦模組會下載顯示卡驅動,利用顯示卡進行挖礦,大幅提升挖礦速度的同時會導致系統卡頓,顯示卡發熱。目前,瑞星雲安全系統顯示,已有數千使用者感染該挖礦病毒。
| 下載後文件名 | MD5 | 功能 |
|---|---|---|
| %appdata%\Microsoft\cred.ps1 | E05827E44D487D1782A32386123193EF | Powershell攻擊模組 |
| %temp%\mn.exe | 66EA09330BEE7239FCB11A911F8E8EA3 | 挖礦模組 |
| %temp%\4-8個字元的隨機名稱 | CDF6384E4CD8C20E7B22C2E8E221F8C8 | python編寫的攻擊模組 |
| %temp%\ddd.exe | 8A2042827A7FCD901510E9A21C9565A8 | 新增挖礦模組 |
表:病毒下載的各模組
新版挖礦木馬病毒“DTLMiner”不僅會導致中毒機器CPU佔用率過高,機器卡頓,同時還會導致顯示卡佔用率過高,顯示卡發熱等現象,嚴重影響使用者正常工作。目前瑞星ESM已能成功查殺該病毒的最新版本。
圖:瑞星ESM查殺截圖
“DTLMiner”挖礦木馬的黑歷史:
2018年12月,“驅動人生”的升級模組被不法分子利用傳播挖礦木馬病毒“DTLMiner”,短期內感染數萬臺計算機。
2019年2月、3月又分別進行了更新,增加了數字簽名與弱口令攻擊,攻擊面進一步增大,同時又躲避查殺。
此次瑞星截獲的“DTLMiner”已經是第5次變種。
針對該木馬病毒對企業網路安全帶來的潛在威脅,瑞星安全專家建議:
1.安裝永恆之藍漏洞補丁,防止病毒通過漏洞植入; 2.系統和資料庫不要使用弱口令賬號密碼; 3.多臺機器不要使用相同密碼,病毒會抓取本機密碼,攻擊區域網中的其它機器; 4.安裝防毒軟體,保持防護開啟。
技術分析
新版挖礦木馬病毒“DTLMiner”通過漏洞和弱口令攻擊植入,建立快捷方式開機自啟動。
圖:病毒建立的快捷方式
快捷方式執行之後,執行flashplayer.tmp。此檔案是一個指令碼,使用JS 呼叫PowerShell指令碼下載。
圖:flashplayer.tmp 內容
下載的檔案就是下載模組,此模組會下載攻擊模組和挖礦模組。下載模組使用多層混淆。
圖:多層混淆的下載模組
最終解密出下載指令碼,指令碼執行後首先獲取本機網絡卡mac地址,獲取本機安裝的防毒軟體資訊。
圖:獲取本機網絡卡和殺軟資訊
之後隨機延時一段時間。
圖:延時一段時間
判斷配置檔案是否存在,如果不存在則下載對應樣本。
圖:根據配置檔案下載對應樣本
1)如果配置檔案k1.log不存在,則建立計劃任務持久駐留。
根據使用者許可權不同,建立的計劃任務不同,如果當前使用者是管理員許可權則訪問: http://v.y6h.net/g?h + 當前日期,如果當前使用者非管理員許可權則訪問: http://v.y6h.net/g?l + 當前日期。
圖:下載更新指令碼
計劃任務的功能是訪問此網址,使用PowerShell執行獲取到的內容。目前此網址處於無法訪問狀態,攻擊者隨時可以開啟,下發任意指令碼。
2)如果配置檔案kkkk2.log不存在,則下載new.dat儲存為cred.ps1,內容是混淆的PowerShell指令碼。
圖:下載cred.ps1
判斷檔案大小是否正確,如果正確則建立計劃任務定時執行cred.ps1。
圖:執行cred.ps1
cred.ps1 指令碼被多層混淆。
圖:多層混淆的cred.ps1指令碼
解密後可以看到,此版本是V5。
圖:病毒版本
此模組主要還是為了攻擊。
圖:cred.ps1指令碼主要功能
呼叫永恆之藍漏洞攻擊。
圖:永恆之藍漏洞攻擊
eb7函式針對win7和win2008。
圖:eb7函式
eb8函式針對win8和win2012。
圖:eb8函式
SMB弱口令攻擊。
圖:SMB弱口令
完整的密碼列表如下,如果使用以下密碼,建議儘快修改。
圖:cred.ps1攻擊模組內建的弱口令列表
攻擊成功後,呼叫CopyRun函式,將 FlashPlayer.lnk和flashplayer.tmp植入被攻擊機器,被攻擊機器又會開始新的一輪迴圈,下載病毒攻擊其它機器。
圖:植入病毒
3)如果配置檔案333.log不存在,則下載mn.dat,命名為mn.exe,此模組就是之前的挖礦模組。
圖:下載mn.exe
4)如果配置檔案kk4.log不存在,則下載ii.da,並使用4-8位隨機字母命名,例如hjqgbs.exe,此模組就是之前的攻擊模組,使用Python開發,使用pyinstaller打包。
圖:下載ii.dat並隨機命名
判斷下載的檔案大小是否正確,如果正確則建立計劃任務執行此exe,根據不同的許可權使用不同的方法執行,如果是管理員許可權,直接建立計劃任務執行此exe。
圖:執行下載的exe
如果非管理員許可權,則釋放run.vbs指令碼,將run.vbs指令碼設定為計劃任務,通過指令碼執行此exe。
圖:呼叫vbs指令碼執行下載的exe
釋放的run.vbs指令碼。
圖:vbs指令碼內容
此exe仍然使用竊取的數字簽名。
圖:竊取的數字簽名
解包後可以看到Python指令碼。
圖:Python指令碼
指令碼使用了base64編碼。
圖:base64編碼的指令碼
解碼後得到病毒的Python程式碼,程式碼中的關鍵字串也進行了混淆。
圖:混淆的程式碼
圖:混淆的程式碼
去混淆後,可以看到最終的病毒程式碼,病毒最開始會通過記憶體對映,檢測當前版本。首先開啟記憶體對映讀取內容,如果沒有獲取到對映的記憶體,則建立記憶體對映將自身的路徑+“**”+當前版本號+“$$”寫入到新建立的記憶體對映中。
圖:記憶體對映
如果獲取到記憶體對映,則解析對映中的版本號和記憶體對映中的檔案路徑,計算MD5。如果當前程式的MD5和記憶體對映中路徑對應的檔案MD5相同,則不執行操作。
圖:計算MD5
否則判斷當前版本是否大於記憶體對映中的版本,如果大於結束之前版本的程序,當前程式複製過去。
圖:判斷版本
之後就是攻擊傳播的部分,病毒內建的攻擊IP段、弱口令賬號密碼列表。
圖:弱口令列表
弱口令密碼又進行了擴充,完整的密碼如下,如果當前計算機或者資料庫軟體使用了此列表中的密碼,建議儘快修改密碼。
圖:Python攻擊模組內建的密碼列表
病毒仍然會抓取密碼,因此區域網中多臺機器使用相同密碼,一臺機器中毒,也會導致其它機器被攻擊。
圖:抓取密碼
永恆之藍漏洞攻擊。
圖:永恆之藍漏洞
開啟共享,將病毒傳送過去。
圖:傳送病毒
SMB弱口令攻擊。
圖:SMB弱口令攻擊
MS SQL資料庫弱口令攻擊。
圖:MS SQL弱口令攻擊
5)如果配置檔案kk5.log不存在,則下載ddd.dat,命名為ddd.exe,此模組為新版挖礦模組,會下載顯示卡挖礦相關的驅動。
圖:下載挖礦模組ddd.exe
挖礦模組執行後介面。
圖:挖礦模組介面
挖礦模組除了使用CPU挖礦之外,還會下載顯示卡挖礦相關的驅動,使用顯示卡進行挖礦。
圖:下載的顯示卡驅動
6)最後訪問控制伺服器,將本機狀態資訊資訊上傳到控制伺服器,便於統計感染狀態。
統計的資訊包括本地網絡卡mac地址、安裝的防毒軟體、系統版本、感染標誌、當前使用者組、當前使用者名稱等。
圖:統計資訊
IOC
md5:
17891737D9970812FE875D0B955B0E15 7441A59ABB6B4C96D0EAC70D884E8008 8A2042827A7FCD901510E9A21C9565A8 CDF6384E4CD8C20E7B22C2E8E221F8C8 E05827E44D487D1782A32386123193EF 3E96A29E82513C5859D5E508A75FA974 66EA09330BEE7239FCB11A911F8E8EA3
Domain:
mm.abbny.com mm.beahh.com lplp.beahh.com lplp.abbny.com lpp.beahh.com lpp.abbny.com
ip:
128.199.64.236 27.102.107.137 27.102.118.147
*本文作者:瑞星,轉載請註明來自FreeBuf.COM