你还在关注勒索病毒?别人已经转行挖矿!

导语

近日,腾讯游戏安全中心捕获一款网吧内传播的恶意软件。原以为是常规的网吧盗号木马,但详细分析之后发现并非如此。经证实该恶意软件是目前发现的首款利用 Windows SMB 漏洞传播,释放虚拟货币矿机挖矿的肉鸡集群。

0x01 来源

2017 年 7 月 10 日左右,由腾讯网吧守护 TSPN 和顺网联合团队在某网吧内发现异常的 svchost.exe 进程,以及与之相关 spoolsv.exe 进程,遂提取样本到安全中心进行人工核实。

0x02 真身

拿到样本后从外观看与系统自带的进程无异,但查看属性发现 spoolsv.exe 是一个压缩文件,于是开始产生警觉。

尝试使用 7zip 解压此文件后,发现了惊天大秘密——NSA 攻击工具包。从字面上我们可以看到永恒之蓝、永恒冠军字样的攻击配置文件。同时我们在解压之后的文件中也找到了与样本同名的两个可执行体,以及同名的 xml 配置文件。

打开 svchost.xml 查看一下,发现正式永恒之蓝的攻击配置文件。

打开 spoolsv.xml 查看一下,发现了另一个 NSA 工具 DoublePulsar 的攻击配置文件。

于是猜测压缩包内的 svchost.exe 是 EternalBlue 攻击程序,压缩包内的 spoolsv.exe 则是 DoublePulsar 后门。

尝试手工运行这两个可执行文件,发现的确是命令行工具,只是配置文件不正确,无法完成攻击。

0x03 毒手

了解到样本的真身之后,我们开始认为这是一个和 WannaCry 一样的勒索病毒,但是仔细想一下发现样本并没有造成网吧电脑的大规模爆发,也没有业主有反馈,于是怀疑这并非是一起简单的勒索病毒事件。

深入分析后发现初始的 spoolsv.exe(我们称之为母体)并非简简单单的释放攻击包,其自身在释放攻击载荷之后,还会开启对局域网络 445 端口的疯狂扫描,一旦发现局域网内开放的 445 端口,就会将目标 IP 地址及端口写入 EternalBlue 的配置文件中,然后启动 svchost.exe 进行第 1 步溢出攻击。第 1 步攻击的结果会记录在 stage1.txt 中,攻击完成后,母体会检查攻击是否成功,若攻击成功,则继续修改 DoublePulsar 的配置文件,并启动 spoolsv.exe(压缩包内的 DoublePulsar,并非母体)在目标计算机安装后门,此称之为第 2 步攻击,结果会记录在 stage2.txt 中。

这就完了吗?仅此而已吗?那这玩意儿到底是为了啥?这不科学,没有病毒仅仅是为了传播儿传播,但是此时我们的样本在实验室内已经不再继续工作了。于是我们在网吧中继续抓取到这东西的精彩后续:被安装了 DoublePulsar 后门的计算机中 lsass.exe 进程被注入了一段 shellcode,这和外网公布的 DoublePulsar 的行为一模一样,但样本中的这段 shellcode 利用 lsass.exe 进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件,而这个文件正是我们样本中一直没有提到的 svchost.exe(与母体在同一目录下)。

而这个 svchost.exe 可不是 EternalBlue。那么它是啥?通过仔细的分析,我们发现它会做三件事情:

第一,先把自己添加到计划任务的一个不起眼的地方,让人感觉是一个合法的任务,从而达到自启动的目的。

第二,在局域网其他电脑上下载一个母体文件,以便于二次传播。

第三,释放一个 ServicesHost.exe 进程并以指定的参数执行这个进程。

继续跟踪这个 ServicesHost.exe 以及启动参数,发现了一个惊天大秘密,也就是整套传播机制的终极目的——挖矿。

从此程序的启动参数中我们看到了一个敏感的域名"xmr.pool.minergate.com",Google 一下发现这是一个国外各种数字货币的矿池,网站提供了各种数字货币的矿池地址,只要在网站注册账户,就可以利用矿机参与挖矿。而我们的样本中的矿机则是一款 GITHUB 上的开源矿机xmrig,挖矿的账户则是 **dashcoin@protonmail.com**这个账户,挖的正式一种不是很常见的数字货币——门罗币。

0x04 横财

说道门罗币我们也要看一下这东西到底值多少钱,随便找了个交易平台看了一下,实时价格约人民币 277 元,价值虽然没有 BTC 那么高,但也不低,挖矿收益应该不少。

0x05 总结

总体来看,恶意软件的释放、执行流程比较传统,但利用的攻击和漏洞相对比较新,在 SMB 漏洞被广泛利用到勒索软件的时候,作者却开启了另一扇淘金的大门。下面为大家图示总结一下此款恶意软件的传播和执行流程。

从 VDC 管家平台上看,此木马的传播量呈逐日上升阶段,还需要持续关注打击。在发文时,此款木马已经能够被腾讯电脑管家识别,并有效清除。

最后,提醒各位玩家及网吧业主应该及时更新操作系统补丁,避免被多次割韭菜,导致 WannaCry 伤疤未愈,僵尸矿机又来撒盐!

原创声明,本文系作者授权云+社区-专栏发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

腾讯游戏安全中心的专栏

1 篇文章1 人订阅

我来说两句

3 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

Office Macro virus病毒现升级版本

研究人员表示,1990年代后期专门感染微软Office文件的Macro virus病毒这几个月又开始出现了。 Macro viru...

2685
来自专栏信安之路

金融黑客的惯用手段 MITB

所谓的 MITB 技术就是 man-in-the-browser 的简称,也就是浏览器中间人攻击方式。我们先来回顾一下经典的中间人攻击方式。

720
来自专栏FreeBuf

微软:暴力破解面前,增强密码复杂性基本没用

我们都痛恨密码,然而不幸的是在当下及可以看见的未来里,账户登录等在线认证操作的主要方法还是需要使用密码的。密码认证有时确实比较烦人,尤其是一些网站为了密码安全性...

1836
来自专栏云加新鲜事儿

云+社区的使用说明及规范

每篇文章都会有若干个标签,这些标签用来表征该文章的主要内容,同时还可以用来对文章进行归类。

11.8K13
来自专栏Zchannel

《绝地求生》Xbox One版 v0.5.29更新:补丁容量3.5G,新增自动奔跑

531
来自专栏FreeBuf

关于弱密码摄像头被入侵实验

前不久,央视曝光大量摄像头存在弱密码被黑客入侵后,信息叫卖的情况,为了学习研究弱密码摄像头的危害性,我们打算对此进行复现。 证实可行 首先,根据网上的资料,我们...

3516
来自专栏小白课代表

《经验之谈》—— 如何保护个人信息安全?

2018年上半年中国移动互联网关键字中,“安全”处于第一位!除了我们的人身安全,网络安全也是重中之重。

983
来自专栏非著名程序员

爆:谷歌为移动应用(App)发布顶级域名,这一次别再错过了

今天,我们(谷歌)发布 . app,Google 注册表中最新的顶级域名(TLD)。

653
来自专栏FreeBuf

看我如何研究并发现了洛比机器人的漏洞

上个月末,我们的实验室迎来了一个非常重要的“人”:Robi机器人(他有一个摄像头和一个扬声器!)。我们有幸组装了它,然后让它跳起了舞。与此同时,我们对未知领域的...

24710
来自专栏FreeBuf

NSA工具DoublePulsar已入侵数万Windows设备,来看你是否也在其中?

背景 Shadow Brokers黑客组织上周泄露了NSA方程式组织的一些工具,其中名为DoublePulsar的后门程序可利用部分Windows系统(Wind...

20010

扫码关注云+社区