WannaMiner挖礦木馬不光擅長黑吃黑，最新變種還會過河拆橋

木馬 · 發表 2018-09-10 10:13:07

摘要：一、概述近日，騰訊御見威脅情報中心發現了WannaMiner的新變種，該挖礦木馬在挖取XMR同時還會下載遠控木馬，和以往的版本類似，這個WannaMiner挖礦木馬的最新變種會查殺其他挖礦木馬，保證自己獨享系統資源。同時，該變種在自身入侵成功後會關閉高危埠，避免其他挖礦木馬入侵，其目...

一、概述

近日，騰訊御見威脅情報中心發現了WannaMiner的新變種，該挖礦木馬在挖取XMR同時還會下載遠控木馬，和以往的版本類似，這個WannaMiner挖礦木馬的最新變種會查殺其他挖礦木馬，保證自己獨享系統資源。同時，該變種在自身入侵成功後會關閉高危埠，避免其他挖礦木馬入侵，其目的同樣是保證獨享挖礦資源。

此外，經過分析發現，該變種除了跟友商釋出的MsraMiner家族在漏洞利用和惡意基礎設施上高度一致，跟友商今年六月爆出的另一個家族HSMiner如出一轍。因此我們判斷，WannaMiner、MsraMiner、HSMiner實際為同一家族的不同命名，背後為同一黑產團伙。

WannaMiner新變種具有如下特點：

1.冒充微軟系統檔案，關閉Windows防火牆，新增任務自啟動。

2.釋放NSA攻擊工具套件（永恆之藍），掃描內網445埠橫向擴散。

3.釋放遠端控制木馬java.exe(檔名偽裝)，該遠控木馬具體系統最高許可權，可實現竊取隱私及一切遠端管理任務。

4.釋放挖礦模組we32.exe，有意思的是，這個挖礦模組除了會結束其他挖礦木馬程序，還會在安裝好自身之後，會關閉系統的135、137、138、139、445埠，避免這臺機器被其他入侵者控制。

5.通過同源性分析，發現該木馬與HSMiner挖礦木馬高度相似，該木馬下載了和HSMiner挖礦木馬一樣的遠端控制模組。

6.通過比對以往的威脅情報，發現該木馬使用的C2伺服器與HSMiner挖礦木馬有相關性。

7.同樣，通過溯源分析，發現WannaMiner挖礦木馬與MsraMiner挖礦木馬同樣相似度級高，C2伺服器也存在複用。

通過5，6，7的分析，御見威脅情報中心判斷不同安全團隊報告的WannaMiner、MsraMiner與HSMiner背後的控制者為同一團伙。

二、樣本分析

WannaMiner木馬依然分為三個部分：傳播模組、挖礦模組、遠控模組。

1、傳播模組分析（32ja.exe）

32ja.exe為自解壓SFX檔案，執行指令碼會解壓釋放到“%windir%\IME\Microsofts”資料夾下，關閉防火牆，並隱藏檔案，設定任務啟動。

以服務執行的spoolsv.exe會釋放NSA利用元件，並且掃描內網445埠開放的主機寫入配置檔案中，並利用永恆之藍進行攻擊。並且spoolsv.exe執行步驟會發送回C2伺服器d.drawal.dk。

釋放的NSA漏洞利用元件：

傳送執行資訊到目標C2：

payload繼續下載32ja.exe和we32.exe：

32ja.exe除了會釋放漏洞利用部分spoolsv.exe外，同時還會釋放一個遠控java.exe。

2、遠控模組分析（java.exe）

該遠控和之前友商的HSMiner報告中的遠控一致，不再繼續展開。

如遠控中遍歷的安全軟體：

3、挖礦模組分析（we32.exe）

We32.exe也是SFX自解壓檔案，解壓後腳本執行cls.bat。

Cls.bat會將釋放在同一資料夾下的的spoolsv.exe和windows.exe(礦機)啟動，spoolsv.exe實際上為NSSM，NSSM是一個服務封裝程式，它可以將普通exe程式封裝成服務，使之像windows服務一樣執行。指令碼會利用spoolsv.exe（NSSM）安裝windows.exe，讓windows.exe以服務啟動。啟動後，指令碼會繼續關閉135，137，138，139，445等埠，避免被其他挖礦木馬入侵佔用。