你还在关注勒索病毒?别人已经转行挖矿!

导语

近日,腾讯游戏安全中心捕获一款网吧内传播的恶意软件。原以为是常规的网吧盗号木马,但详细分析之后发现并非如此。经证实该恶意软件是目前发现的首款利用 Windows SMB 漏洞传播,释放虚拟货币矿机挖矿的肉鸡集群。

0x01 来源

2017 年 7 月 10 日左右,由腾讯网吧守护 TSPN 和顺网联合团队在某网吧内发现异常的 svchost.exe 进程,以及与之相关 spoolsv.exe 进程,遂提取样本到安全中心进行人工核实。

0x02 真身

拿到样本后从外观看与系统自带的进程无异,但查看属性发现 spoolsv.exe 是一个压缩文件,于是开始产生警觉。

尝试使用 7zip 解压此文件后,发现了惊天大秘密——NSA 攻击工具包。从字面上我们可以看到永恒之蓝、永恒冠军字样的攻击配置文件。同时我们在解压之后的文件中也找到了与样本同名的两个可执行体,以及同名的 xml 配置文件。

打开 svchost.xml 查看一下,发现正式永恒之蓝的攻击配置文件。

打开 spoolsv.xml 查看一下,发现了另一个 NSA 工具 DoublePulsar 的攻击配置文件。

于是猜测压缩包内的 svchost.exe 是 EternalBlue 攻击程序,压缩包内的 spoolsv.exe 则是 DoublePulsar 后门。

尝试手工运行这两个可执行文件,发现的确是命令行工具,只是配置文件不正确,无法完成攻击。

0x03 毒手

了解到样本的真身之后,我们开始认为这是一个和 WannaCry 一样的勒索病毒,但是仔细想一下发现样本并没有造成网吧电脑的大规模爆发,也没有业主有反馈,于是怀疑这并非是一起简单的勒索病毒事件。

深入分析后发现初始的 spoolsv.exe(我们称之为母体)并非简简单单的释放攻击包,其自身在释放攻击载荷之后,还会开启对局域网络 445 端口的疯狂扫描,一旦发现局域网内开放的 445 端口,就会将目标 IP 地址及端口写入 EternalBlue 的配置文件中,然后启动 svchost.exe 进行第 1 步溢出攻击。第 1 步攻击的结果会记录在 stage1.txt 中,攻击完成后,母体会检查攻击是否成功,若攻击成功,则继续修改 DoublePulsar 的配置文件,并启动 spoolsv.exe(压缩包内的 DoublePulsar,并非母体)在目标计算机安装后门,此称之为第 2 步攻击,结果会记录在 stage2.txt 中。

这就完了吗?仅此而已吗?那这玩意儿到底是为了啥?这不科学,没有病毒仅仅是为了传播儿传播,但是此时我们的样本在实验室内已经不再继续工作了。于是我们在网吧中继续抓取到这东西的精彩后续:被安装了 DoublePulsar 后门的计算机中 lsass.exe 进程被注入了一段 shellcode,这和外网公布的 DoublePulsar 的行为一模一样,但样本中的这段 shellcode 利用 lsass.exe 进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件,而这个文件正是我们样本中一直没有提到的 svchost.exe(与母体在同一目录下)。

而这个 svchost.exe 可不是 EternalBlue。那么它是啥?通过仔细的分析,我们发现它会做三件事情:

第一,先把自己添加到计划任务的一个不起眼的地方,让人感觉是一个合法的任务,从而达到自启动的目的。

第二,在局域网其他电脑上下载一个母体文件,以便于二次传播。

第三,释放一个 ServicesHost.exe 进程并以指定的参数执行这个进程。

继续跟踪这个 ServicesHost.exe 以及启动参数,发现了一个惊天大秘密,也就是整套传播机制的终极目的——挖矿。

从此程序的启动参数中我们看到了一个敏感的域名"xmr.pool.minergate.com",Google 一下发现这是一个国外各种数字货币的矿池,网站提供了各种数字货币的矿池地址,只要在网站注册账户,就可以利用矿机参与挖矿。而我们的样本中的矿机则是一款 GITHUB 上的开源矿机xmrig,挖矿的账户则是 **dashcoin@protonmail.com**这个账户,挖的正式一种不是很常见的数字货币——门罗币。

0x04 横财

说道门罗币我们也要看一下这东西到底值多少钱,随便找了个交易平台看了一下,实时价格约人民币 277 元,价值虽然没有 BTC 那么高,但也不低,挖矿收益应该不少。

0x05 总结

总体来看,恶意软件的释放、执行流程比较传统,但利用的攻击和漏洞相对比较新,在 SMB 漏洞被广泛利用到勒索软件的时候,作者却开启了另一扇淘金的大门。下面为大家图示总结一下此款恶意软件的传播和执行流程。

从 VDC 管家平台上看,此木马的传播量呈逐日上升阶段,还需要持续关注打击。在发文时,此款木马已经能够被腾讯电脑管家识别,并有效清除。

最后,提醒各位玩家及网吧业主应该及时更新操作系统补丁,避免被多次割韭菜,导致 WannaCry 伤疤未愈,僵尸矿机又来撒盐!

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

腾讯游戏安全中心的专栏

1 篇文章1 人订阅

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

Linux恶意软件简史

? ——那些年困扰Linux的蠕虫、病毒和木马 虽然针对Linux的恶意软件并不像针对Windows乃至OS X那样普遍,但是近些年来,Linux面临的安全威...

3727
来自专栏FreeBuf

一款玩俄罗斯轮盘的勒索程序:TeslaWare

据Emsisoft的安全研究员xXToffeeXx介绍,一款名为TeslaWare的勒索程序正被黑客在网上进行推广和出售。xXToffeeXx告诉我们,他已经获...

2734
来自专栏FreeBuf

Java官网曝本地文件包含(LFI)漏洞,可读取超过460位Oracle公司员工邮箱

微信号:freebuf 意大利安全研究人员Christian Galeone最近发现一枚Java官网存在的重大安全漏洞,该漏洞可读取网站敏感数据,包括超过460...

16910
来自专栏FreeBuf

10万WordPress网站沦陷:恶意软件SoakSoak来了

WordPress是一款使用PHP语言开发的博客平台,用户架设属于自己的博客,也可以把 WordPress当作一个内容管理系统(CMS)来使用。近几个月,Wor...

1797
来自专栏FreeBuf

深度追踪WannaCry源头轶事

注1:基于隐私问题,本文中隐去黑客相关信息,如有关部门需要,请与腾讯反病毒实验室联系。 注2:自WannaCry爆发以来,腾讯反病毒实验室一直在深入跟进整体传播...

2086
来自专栏FreeBuf

微软Office Powerpoint遭遇0day漏洞攻击

黑客们对0day漏洞的攻击利用似乎永无止境。微软公司之前已经修复了Windows上三个0day漏洞,而现在又发现了一个新的PPT 0day漏洞(编号CVE-20...

1797
来自专栏信安之路

网页表单钓鱼以外的钓鱼方法

可以看出,钓鱼攻击并不是一种完全随缘的攻击方法。关键在于是否成功伪装成了受害者信任的目标。

720
来自专栏ChaMd5安全团队

永恒之石,你怕了吗?

永恒之石,你怕了吗? From ChaMd5安全团队核心成员 逍遥自在 这个五月,我们经历了感染了7万5千台电脑的WannaCry,没有了紧急开关的 Wanna...

3478
来自专栏黑白安全

思科发布安全公告披露高危漏洞,Cisco DNA Center 软件受到影响

据外媒报道,思科于本周三发布了 16 项安全警告,其中包括 3 个 CVSSv3 严重程度评分为满分 10 分的高危漏洞,根据思科介绍,这 3 个漏洞分别是思科...

763
来自专栏FreeBuf

传播恶意软件最有效帮手:超95%的PowerShell脚本都是恶意脚本

对很多IT专业人士来说,Powershell的确是Windows系统中一个相当强大的工具,而且微软也有意将PowerShell作为Windows系统的默认命令行...

1846

扫码关注云+社区