WannaMiner挖礦木馬不光擅長黑吃黑,最新變種還會過河拆橋
一、概述
近日,騰訊御見威脅情報中心發現了WannaMiner的新變種,該挖礦木馬在挖取XMR同時還會下載遠控木馬,和以往的版本類似,這個WannaMiner挖礦木馬的最新變種會查殺其他挖礦木馬,保證自己獨享系統資源。同時,該變種在自身入侵成功後會關閉高危埠,避免其他挖礦木馬入侵,其目的同樣是保證獨享挖礦資源。
此外,經過分析發現,該變種除了跟友商釋出的MsraMiner家族在漏洞利用和惡意基礎設施上高度一致,跟友商今年六月爆出的另一個家族HSMiner如出一轍。因此我們判斷,WannaMiner、MsraMiner、HSMiner實際為同一家族的不同命名,背後為同一黑產團伙。
WannaMiner新變種具有如下特點:
1.冒充微軟系統檔案,關閉Windows防火牆,新增任務自啟動。
2.釋放NSA攻擊工具套件(永恆之藍),掃描內網445埠橫向擴散。
3.釋放遠端控制木馬java.exe(檔名偽裝),該遠控木馬具體系統最高許可權,可實現竊取隱私及一切遠端管理任務。
4.釋放挖礦模組we32.exe,有意思的是,這個挖礦模組除了會結束其他挖礦木馬程序,還會在安裝好自身之後,會關閉系統的135、137、138、139、445埠,避免這臺機器被其他入侵者控制。
5.通過同源性分析,發現該木馬與HSMiner挖礦木馬高度相似,該木馬下載了和HSMiner挖礦木馬一樣的遠端控制模組。
6.通過比對以往的威脅情報,發現該木馬使用的C2伺服器與HSMiner挖礦木馬有相關性。
7.同樣,通過溯源分析,發現WannaMiner挖礦木馬與MsraMiner挖礦木馬同樣相似度級高,C2伺服器也存在複用。
通過5,6,7的分析,御見威脅情報中心判斷不同安全團隊報告的WannaMiner、MsraMiner與HSMiner背後的控制者為同一團伙。
二、樣本分析
WannaMiner木馬依然分為三個部分:傳播模組、挖礦模組、遠控模組。
1、傳播模組分析(32ja.exe)
32ja.exe為自解壓SFX檔案,執行指令碼會解壓釋放到“%windir%\IME\Microsofts”資料夾下,關閉防火牆,並隱藏檔案,設定任務啟動。
以服務執行的spoolsv.exe會釋放NSA利用元件,並且掃描內網445埠開放的主機寫入配置檔案中,並利用永恆之藍進行攻擊。並且spoolsv.exe執行步驟會發送回C2伺服器d.drawal.dk。
釋放的NSA漏洞利用元件:
傳送執行資訊到目標C2:
payload繼續下載32ja.exe和we32.exe:
32ja.exe除了會釋放漏洞利用部分spoolsv.exe外,同時還會釋放一個遠控java.exe。
2、遠控模組分析(java.exe)
該遠控和之前友商的HSMiner報告中的遠控一致,不再繼續展開。
如遠控中遍歷的安全軟體:
3、挖礦模組分析(we32.exe)
We32.exe也是SFX自解壓檔案,解壓後腳本執行cls.bat。
Cls.bat會將釋放在同一資料夾下的的spoolsv.exe和windows.exe(礦機)啟動,spoolsv.exe實際上為NSSM,NSSM是一個服務封裝程式,它可以將普通exe程式封裝成服務,使之像windows服務一樣執行。指令碼會利用spoolsv.exe(NSSM)安裝windows.exe,讓windows.exe以服務啟動。啟動後,指令碼會繼續關閉135,137,138,139,445等埠,避免被其他挖礦木馬入侵佔用。
礦機windows.exe為github上原始碼修改重新編譯。由於使用代理礦池 https://udns.duckdns.org ,無法獲取錢包地址。
代理礦池訪問:
三、關聯分析
1、程式碼
從程式碼來看,該木馬跟HSMiner的程式碼高度相似,而樣本的pdb資訊也一致。
該木馬payload下載程式碼:
友商報告中的payload下載程式碼:
pdb資訊:
其次,該木馬都下載了和HSMiner一樣的遠控,且都是利用NSSM來安裝服務。
最後,使用御見威脅情報中心查詢,該C2下的樣本均被打上了HSMiner的標籤:
2、和MsraMiner的關係
值得關注的是此次捕獲樣本WannaMiner變種的漏洞利用模組,該模組在漏洞攻擊程式碼與MsraMiner對NSA元件利用程式碼高度相似,並且c2伺服器複用了MsraMiner的惡意基礎設施。
左邊為MsraMiner傳播模組利用程式碼,右邊為spoolsv.exe傳播利用程式碼:
C2:d.drawal.tk,該域名同樣出現在友商的MsraMiner的分析報告中。
MsraMiner今年三月份同樣被友商發現公佈,MsraMiner之前曾執行在大型殭屍網路Mining Botnet上,通過NSA武器庫和自帶Web Server進行傳播,傳播範圍達到30000臺主機。此次發現的變種在利用程式碼和基礎設施上與MsraMiner高度一致。
3、結論
通過分析發現,MsraMiner和WannaMiner實際為統一家族的不同命名,而該家族和另一家族HSMiner背後的黑產團伙極有可能是統一團夥。
四、安全建議
1、手動安裝“永恆之藍”漏洞補丁。請訪問以下頁面:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
其中WinXP,Windows Server 2003使用者請訪問:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
2、企業使用者建議全網安裝御點終端安全管理系統
https://s.tencent.com/product/yd/index.html
御點終端安全管理系統具備終端防毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面瞭解、管理企業內網安全狀況、保護企業安全。