WannaMine是個“無文件”殭屍網絡,在入侵過程中無任何文件落地,僅僅依靠WMI類屬性存儲ShellCode,並通過“永恆之藍”漏洞攻擊武器以及“Mimikatz+WMIExec”攻擊組件進行橫向滲透。相比較其他挖礦殭屍網絡,WannaMine使用更為高級的攻擊手段,這也是WannaMine能夠存活至今的原因之一。WannaMine最早出現在公眾視野是2017年底,在對WannaMine的持續跟蹤中360分析人員發現,WannaMine可能已經開始為其他黑客組織提供武器。
圖1 WannaMine攻擊簡圖
自WannaMine出現到2018年3月的這段時間中,WannaMine較為沉寂,僅僅更換了幾次載荷託管地址。2018年3月起,WannaMine開始攻擊搭建於Windows操作系統上的Web服務端,包括Weblogic、PHPMyAdmin、Drupal。圖2展示了WannaMine在2018年2月到4月載荷託管地址以及攻擊目標的變化。
圖2 WannaMine在2018年2月至4月載荷託管地址與攻擊目標的變化
由於3月份的這次更新使WannaMine增加了攻擊目標,其控制的殭屍機數量也隨之大幅度增加。殭屍網絡規模的擴大使殭屍網絡控制者急於將利益最大化,果不其然,WannaMine在6月份的更新之後出現了為其他黑客組織工作的跡象,這可以從一個表格體現出來。表2展示了WannaMine自2018年2月以來的載荷託管ip地址以及當時解析到該ip地址的域名。
表2:表格按時間先後從上往下排列
從表格中不難看出,早期WannaMine所使用的載荷託管ip地址經常改變,並且通過域名反查得到的域名都是不同的,這表明WannaMine可能使用殭屍網絡中的某一臺殭屍機用於託管載荷,每次進行更新後,WannaMine就更換一臺託管載荷的殭屍機。自107.148.195.71這個ip地址之後,WannaMine使用的連續4個載荷託管地址都是域名d4uk.7h4uk.com所解析到的地址,這種情況在之前是不存在的。而這個時間正是6月份WannaMine進行更新的時間節點,這在360安全衛士每週安全形勢總結(http://www.360.cn/newslist/zxzx/bzaqxszj.html)中提到過。在這次更新中,WannaMine利用Weblogic反序列化漏洞攻擊服務器後植入挖礦木馬和DDos木馬。值得一提的是,這次WannaMine還使用了剛剛面世不久的Wmic攻擊來bypass UAC和躲避殺毒軟件的查殺。
圖3 WannaMine 6月份發動的攻擊流程
在WannaMine的這次更新中存在了多個疑點,這些疑點暗示此時的WannaMine控制者可能與之前的明顯不同:
1.WannaMine在3月份到4月份已經發起大規模針對Weblogic服務端的攻擊,殭屍網絡已經控制了許多Weblogic服務端,為何在6月份的更新之後還要對Weblogic服務端發起攻擊。
2.為何自6月份以來WannaMine的載荷託管域名都是d4uk.7h4uk.com。
通過對域名d4uk.7h4uk.com的跟蹤可以發現,該域名在2018年4月中旬開始被一個黑客組織使用,這要遠早於WannaMine對該域名的使用,而該黑客組織在攻擊手法以及目的上也與WannaMine大相徑庭。該黑客組織通過Weblogic反序列化漏洞CVE-2018-2628入侵服務器,往服務器中植入DDos木馬。DDos木馬的載荷託管地址為hxxp://d4uk.7h4uk.com/w_download.exe,這與WannaMine釋放的DDos木馬的託管地址吻合。
圖4 該黑客組織使用的攻擊代碼
雖然載荷託管地址與之後WannaMine使用的載荷託管地址相同,但是4月中旬的攻擊中所有攻擊文件都是落地的並且沒有WannaMine代碼的痕跡,其藉助sct文件實現持續駐留的方式也和WannaMine藉助WMI實現持續駐留的方式有所不同。可以斷定,這來自於與WannaMine不同的另一個黑客組織。
另外,從WannaMine 6月份更新後的代碼特徵也不難發現,其代碼進行了略微修改,加入了RunDDOS、KillBot等多個函數,這些函數被插入了之前多個版本中都未被修改過的fun模塊(fun模塊用於進行橫向滲透),並且與fun模塊的原始功能非常不搭,此外 RunDDOS中將DDos木馬直接釋放到磁盤中,這也與WannaMine風格不符。可以推斷,這次代碼的改動可能是為其他黑客組織提供一個定製化的攻擊組件。
圖5 RunDDos函數內容
通過上述分析,可以總結出WannaMine 6月份更新之後的兩個特點:1.使用一個其他黑客組織1個多月前使用過的載荷,並且此次更新使用的載荷託管地址和載荷文件都與該黑客組織有關;2.更新後加入的代碼位置、代碼內容與之前的風格不符,有臨時定製化的可能。通過這兩個特點可以推斷,WannaMine已經開始為其他黑客組織提供武器。
結語
讓控制的殭屍網絡實現更多的利益產出是每個黑客組織期望的結果,WannaMine的目的也是如此。高級殭屍網絡商業化對於防禦者而言是一種挑戰,因為防禦者將會遇到越來越多使用其高超技術的黑客組織。WannaMine的高超之處,在於其隱蔽而又有效的橫向滲透技術,這將是防禦者在對抗WannaMine乃至使用WannaMine的黑客組織需要重視的地方。
閱讀更多 360安全衛士 的文章
