赤豹安全實驗室:Trojan.Miner.gbq挖礦病毒分析
江民科技 2019/1/29
1 病毒概況
2018年12月一款通過驅動人生升級通道下發傳播的木馬爆發,該木馬同時利用了永恆之藍高危漏洞進行傳播,僅2個小時受攻擊的用戶就高達10萬,造成了嚴重的危害。
2019年1月24日,赤豹安全實驗室發現攻擊者通過雲控指令對該木馬又進行了新的更新,更新檔下載URL:http[:]//dl.haqo.net/updater.exe,MD5:59b18d6146a2aa066f661599c496090d,下載到本地保存的路徑為:C:\Windows\temp\updater.exe,該惡意程式碼執行後便會將自身移動到系統關鍵目錄並釋放多個檔執行,上傳主機的相關資訊並從指定的惡意功能變數名稱查詢指令,根據雲端指令執行惡意行為,當前雲端的指令僅僅是控制感染主機進行挖礦操作,後續攻擊者可以根據需要改變雲端指令,從而控制感染主機執行更加危險的操作。
2 病毒資訊
病毒名稱:Trojan.Miner.gbq。
病毒類型:挖礦程式,後門,蠕蟲。
MD5: 59b18d6146a2aa066f661599c496090d。
SHA1: 48a3046381a963a2471875ef67886e35b90e8541。
檔案類型:PE EXE。
文件大小:201,776 位元組。
傳播途徑:通過驅動人生的升級通道下發。
影響系統:安裝了受影響的驅動人生程式的Windows系統,內網中未打MS17-010系統補丁且開啟445埠的Windows系統。
3 病毒危害
感染主機將接受惡意攻擊者下發的任意指令執行惡意操作,當前下發的指令是控制感染主機進行挖礦操作,影響使用者的主機性能,同時下載永恆之藍利用工具實現內網的感染操作,從而實現組建僵屍網路的目的。
4 文件行為
1). 下載保存檔到c:\windows\temp\updater.exe,執行後移動到其他位置;
2). 移動文件到c:\windows\system32\svhost.exe,並設置隱藏屬性;
3). 拷貝檔到c:\windows\system32\drivers\svchost.exe,並設置隱藏屬性;
4). 釋放檔到c:\windows\system32\drivers\taskmgr.exe,並設置隱藏屬性;
5). 釋放檔到c:\windows\system32\wmiex.exe,並設置隱藏屬性;
6). 下載檔案到c:\windows\temp\svchost,此檔為永恆之藍漏洞利用工具;
7). 釋放檔到c:\windows\temp\m.ps1,此檔為mimikatz密碼hash提取工具;
8). 釋放檔到c:\windows\temp\mkatz.ini,此檔包含提取本機用戶的hash值;
注:在Windows64位元系統中c:\windows\system32替換為c\windows\SysWOW64;
5 登錄檔行為
1). 添加登錄檔項:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
6 網路行為
1). 嘗試上傳主機資訊到http[:]//i.haqo.net;
2). 嘗試上傳主機資訊到http[:]//p.abbny.com;
3). 嘗試上傳主機資訊到http[:]//o.beahh.com;
4). 嘗試上傳主機資訊到http[:]//ii.haqo.net;
5). 嘗試上傳主機資訊到http[:]//pp.abbny.com;
6). 嘗試上傳主機資訊到http[:]//oo.beahh.com;
7). 嘗試獲取遠控指令資訊http[:]//i.haqo.net/i.png;
8). 嘗試獲取遠控指令資訊http[:]//p.abbny.com/im.png;
9). 嘗試獲取遠控指令資訊http[:]//o.beahh.com/i.png;
10). 嘗試獲取遠控指令資訊http[:]//ii.haqo.net/u.png;
11). 嘗試獲取遠控指令資訊http[:]//pp.abbny.com/u.png;
12). 嘗試獲取遠控指令資訊http[:]//oo.beahh.com/u.png;
7 手工清除方法
1). 刪除計畫任務,結束病毒進程並刪除服務:
Ÿ 刪除名為Ddrivers和WebServers的計畫任務;
Ÿ 結束名為wmiex.exe進程以及描述為“svchost”的svchost進程;(注:通常正常的svchost進程描述為“Windows服務主進程”);
Ÿ 刪除名為Ddriver和WebServers的服務項;
2). 刪除下載和釋放的病毒檔,路徑如下:
Ÿ c:\windows\temp\updater.exe
Ÿ c:\windows\system32\svhost.exe
Ÿ c:\windows\system32\drivers\svchost.exe
Ÿ c:\windows\system32\drivers\taskmgr.exe
Ÿ c:\windows\system32\wmiex.exe
Ÿ c:\windows\temp\svchost
Ÿ c:\windows\temp\m.ps1
Ÿ c:\windows\temp\mkatz.ini
3). 刪除病毒創建的登錄檔項:
Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver
Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
4). 刪除病毒設置的防火牆欄目:
Ÿ 刪除入站規則名為UDP,開放65532埠的規則;
Ÿ 刪除入站規則名為UDP2,開放65531埠的規則;
Ÿ 刪除入站規則名為ShareService,開放65533埠的規則;
5). 刪除病毒設置的埠轉發的設置
CMD管理員執行如下命令:
Ÿ netsh interface portproxy delete v4tov4 listenport=65531
Ÿ netsh interface portproxy delete v4tov4 listenport=65532
8 應對措施及建議
1). 卸載老版本的驅動人生程式或者更新至最新版防止攻擊者下發新的惡意程式碼;
2). 內網使用共用的主機打上MS17-010漏洞補丁,防止利用此漏洞的橫向攻擊;
3). 安裝好防毒軟體並及時更新病毒庫以抵抗惡意程式碼的攻擊;
Bye! |