你还在关注勒索病毒?别人已经转行挖矿!

导语

近日,腾讯游戏安全中心捕获一款网吧内传播的恶意软件。原以为是常规的网吧盗号木马,但详细分析之后发现并非如此。经证实该恶意软件是目前发现的首款利用 Windows SMB 漏洞传播,释放虚拟货币矿机挖矿的肉鸡集群。

0x01 来源

2017 年 7 月 10 日左右,由腾讯网吧守护 TSPN 和顺网联合团队在某网吧内发现异常的 svchost.exe 进程,以及与之相关 spoolsv.exe 进程,遂提取样本到安全中心进行人工核实。

0x02 真身

拿到样本后从外观看与系统自带的进程无异,但查看属性发现 spoolsv.exe 是一个压缩文件,于是开始产生警觉。

尝试使用 7zip 解压此文件后,发现了惊天大秘密——NSA 攻击工具包。从字面上我们可以看到永恒之蓝、永恒冠军字样的攻击配置文件。同时我们在解压之后的文件中也找到了与样本同名的两个可执行体,以及同名的 xml 配置文件。

打开 svchost.xml 查看一下,发现正式永恒之蓝的攻击配置文件。

打开 spoolsv.xml 查看一下,发现了另一个 NSA 工具 DoublePulsar 的攻击配置文件。

于是猜测压缩包内的 svchost.exe 是 EternalBlue 攻击程序,压缩包内的 spoolsv.exe 则是 DoublePulsar 后门。

尝试手工运行这两个可执行文件,发现的确是命令行工具,只是配置文件不正确,无法完成攻击。

0x03 毒手

了解到样本的真身之后,我们开始认为这是一个和 WannaCry 一样的勒索病毒,但是仔细想一下发现样本并没有造成网吧电脑的大规模爆发,也没有业主有反馈,于是怀疑这并非是一起简单的勒索病毒事件。

深入分析后发现初始的 spoolsv.exe(我们称之为母体)并非简简单单的释放攻击包,其自身在释放攻击载荷之后,还会开启对局域网络 445 端口的疯狂扫描,一旦发现局域网内开放的 445 端口,就会将目标 IP 地址及端口写入 EternalBlue 的配置文件中,然后启动 svchost.exe 进行第 1 步溢出攻击。第 1 步攻击的结果会记录在 stage1.txt 中,攻击完成后,母体会检查攻击是否成功,若攻击成功,则继续修改 DoublePulsar 的配置文件,并启动 spoolsv.exe(压缩包内的 DoublePulsar,并非母体)在目标计算机安装后门,此称之为第 2 步攻击,结果会记录在 stage2.txt 中。

这就完了吗?仅此而已吗?那这玩意儿到底是为了啥?这不科学,没有病毒仅仅是为了传播儿传播,但是此时我们的样本在实验室内已经不再继续工作了。于是我们在网吧中继续抓取到这东西的精彩后续:被安装了 DoublePulsar 后门的计算机中 lsass.exe 进程被注入了一段 shellcode,这和外网公布的 DoublePulsar 的行为一模一样,但样本中的这段 shellcode 利用 lsass.exe 进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件,而这个文件正是我们样本中一直没有提到的 svchost.exe(与母体在同一目录下)。

而这个 svchost.exe 可不是 EternalBlue。那么它是啥?通过仔细的分析,我们发现它会做三件事情:

第一,先把自己添加到计划任务的一个不起眼的地方,让人感觉是一个合法的任务,从而达到自启动的目的。

第二,在局域网其他电脑上下载一个母体文件,以便于二次传播。

第三,释放一个 ServicesHost.exe 进程并以指定的参数执行这个进程。

继续跟踪这个 ServicesHost.exe 以及启动参数,发现了一个惊天大秘密,也就是整套传播机制的终极目的——挖矿。

从此程序的启动参数中我们看到了一个敏感的域名"xmr.pool.minergate.com",Google 一下发现这是一个国外各种数字货币的矿池,网站提供了各种数字货币的矿池地址,只要在网站注册账户,就可以利用矿机参与挖矿。而我们的样本中的矿机则是一款 GITHUB 上的开源矿机xmrig,挖矿的账户则是 **dashcoin@protonmail.com**这个账户,挖的正式一种不是很常见的数字货币——门罗币。

0x04 横财

说道门罗币我们也要看一下这东西到底值多少钱,随便找了个交易平台看了一下,实时价格约人民币 277 元,价值虽然没有 BTC 那么高,但也不低,挖矿收益应该不少。

0x05 总结

总体来看,恶意软件的释放、执行流程比较传统,但利用的攻击和漏洞相对比较新,在 SMB 漏洞被广泛利用到勒索软件的时候,作者却开启了另一扇淘金的大门。下面为大家图示总结一下此款恶意软件的传播和执行流程。

从 VDC 管家平台上看,此木马的传播量呈逐日上升阶段,还需要持续关注打击。在发文时,此款木马已经能够被腾讯电脑管家识别,并有效清除。

最后,提醒各位玩家及网吧业主应该及时更新操作系统补丁,避免被多次割韭菜,导致 WannaCry 伤疤未愈,僵尸矿机又来撒盐!

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

腾讯游戏安全中心的专栏

1 篇文章1 人订阅

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

WiFi联盟宣布WPA3协议已最终完成 安全性增加

WiFi联盟(Wi-Fi Alliance)周一宣布WPA3协议已最终完成,这是WiFi连接的新标准。

542
来自专栏企鹅号快讯

《网络战争》第59期:暗网暴露 14 亿明文密码库,或成史上最大规模数据泄露案

据外媒报道,美国一家网络情报公司 4iQ 于 12 月 5 日在暗网社区论坛上发现了一个大型汇总数据库,其中包含了 14 亿明文用户名和密码组合,牵涉 Link...

4158
来自专栏java达人

浅谈加密这把双刃剑

来源:http://blog.csdn.net/ouyang_peng/article/details/50983574(点击文末阅读原文前往) 加密是一个基本...

1957
来自专栏区块链大本营

15岁少年黑了比特币钱包后,奉上了这篇诚意满满的破译教程

3499
来自专栏FreeBuf

只用一台笔记本发动DDoS攻击,就能让大型服务器下线

最近有研究人员发现了一种被称为BlackNurse的简单攻击方式,能够让独立入侵者能用有限的资源(一个有15Mbps带宽的笔记本)驱动大规模DDoS攻击,直接将...

22210
来自专栏漏斗社区

专属| 这是一个能降级HTTPS的恶意软件

今天是高考的最后一天啦!许多可爱的小萌新们将踏上一段新的人生旅程。多年的友情与青春终究在一次次相聚与别离中散场,各奔东西,未来的时光愿各自安好!愿放榜的日子里,...

1115
来自专栏信安之路

APT-RAT(Poison ivy ) 攻击模拟及监测口令提取

APT:高级持续性威胁,APT 攻击主要是指针对特定组织、特定领域或个人进行的蓄谋已久的攻击。如:针对一个国家的基础设施的破坏,针对国防、航空航天、医疗、军民融...

1160
来自专栏工科狗和生物喵

【图】深度优先算法(DFS)

1095
来自专栏DHUtoBUAA

通过ODBC接口访问人大金仓数据库

  国产化软件和国产化芯片的窘境一样,一方面市场已经存在性能优越的同类软件,成本很低,但小众的国产化软件不仅需要高价买入版权,并且软件开发维护成本高;另一方面,...

1210
来自专栏汇智网教程

原 EOS主网上线,背后公司Block.

1423

扫码关注云+社区