近日,瑞星安全專家率先監測到挖礦木馬病毒“DTLMiner”最新變種,新版本病毒更換了IP和域名,並且增加了一個挖礦模塊,新版挖礦模塊會下載顯卡驅動,利用顯卡進行挖礦,大幅提升挖礦速度的同時會導致系統卡頓,顯卡發熱。目前,瑞星雲安全系統顯示,已有數千用戶感染該挖礦病毒。
下載後文件名 MD5 功能
%appdata%\Microsoft\cred.ps1 E05827E44D487D1782A32386123193EF Powershell攻擊模塊 %temp%\mn.exe 66EA09330BEE7239FCB11A911F8E8EA3
挖礦模塊 %temp%\4-8個字符的隨機名稱 CDF6384E4CD8C20E7B22C2E8E221F8C8 python編寫的攻擊模塊
%temp%\ddd.exe 8A2042827A7FCD901510E9A21C9565A8 新增挖礦模塊
表:病毒下載的各模塊
新版挖礦木馬病毒“DTLMiner”不僅會導致中毒機器CPU佔用率過高,機器卡頓,同時還會導致顯卡佔用率過高,顯卡發熱等現象,嚴重影響用戶正常工作。目前瑞星ESM已能成功查殺該病毒的最新版本。
圖:瑞星ESM查殺截圖
“DTLMiner”挖礦木馬的黑歷史:
2018年12月,“驅動人生”的升級模塊被不法分子利用傳播挖礦木馬病毒“DTLMiner”,短期內感染數萬臺計算機。
2019年2月、3月又分別進行了更新,增加了數字簽名與弱口令攻擊,攻擊面進一步增大,同時又躲避查殺。
此次瑞星截獲的“DTLMiner”已經是第5次變種。
針對該木馬病毒對企業網絡安全帶來的潛在威脅,瑞星安全專家建議:
1.安裝永恆之藍漏洞補丁,防止病毒通過漏洞植入;
2.系統和數據庫不要使用弱口令賬號密碼;
3.多臺機器不要使用相同密碼,病毒會抓取本機密碼,攻擊局域網中的其它機器;
4.安裝殺毒軟件,保持防護開啟。
技術分析
新版挖礦木馬病毒“DTLMiner”通過漏洞和弱口令攻擊植入,創建快捷方式開機自啟動。
圖:病毒創建的快捷方式
快捷方式運行之後,執行flashplayer.tmp。此文件是一個腳本,使用JS 調用PowerShell腳本下載。
圖:flashplayer.tmp 內容
下載的文件就是下載模塊,此模塊會下載攻擊模塊和挖礦模塊。下載模塊使用多層混淆。
圖:多層混淆的下載模塊
最終解密出下載腳本,腳本運行後首先獲取本機網卡mac地址,獲取本機安裝的殺毒軟件信息。
圖:獲取本機網卡和殺軟信息
之後隨機延時一段時間。
圖:延時一段時間
判斷配置文件是否存在,如果不存在則下載對應樣本。
圖:根據配置文件下載對應樣本
1)如果配置文件k1.log不存在,則創建計劃任務持久駐留。
根據用戶權限不同,創建的計劃任務不同,如果當前用戶是管理員權限則訪問:http://v.y6h.net/g?h + 當前日期,如果當前用戶非管理員權限則訪問:http://v.y6h.net/g?l + 當前日期。
圖:下載更新腳本
計劃任務的功能是訪問此網址,使用PowerShell執行獲取到的內容。目前此網址處於無法訪問狀態,攻擊者隨時可以開啟,下發任意腳本。
2)如果配置文件kkkk2.log不存在,則下載new.dat保存為cred.ps1,內容是混淆的PowerShell腳本。
圖:下載cred.ps1
判斷文件大小是否正確,如果正確則創建計劃任務定時執行cred.ps1。
圖:執行cred.ps1
cred.ps1 腳本被多層混淆。
圖:多層混淆的cred.ps1腳本
解密後可以看到,此版本是V5。
圖:病毒版本
此模塊主要還是為了攻擊。
圖:cred.ps1腳本主要功能
調用永恆之藍漏洞攻擊。
圖:永恆之藍漏洞攻擊
eb7函數針對win7和win2008。
圖:eb7函數
eb8函數針對win8和win2012。
圖:eb8函數
SMB弱口令攻擊。
圖:SMB弱口令
完整的密碼列表如下,如果使用以下密碼,建議儘快修改。
圖:cred.ps1攻擊模塊內置的弱口令列表
攻擊成功後,調用CopyRun函數,將 FlashPlayer.lnk和flashplayer.tmp植入被攻擊機器,被攻擊機器又會開始新的一輪循環,下載病毒攻擊其它機器。
圖:植入病毒
3)如果配置文件333.log不存在,則下載mn.dat,命名為mn.exe,此模塊就是之前的挖礦模塊。
圖:下載mn.exe
4)如果配置文件kk4.log不存在,則下載ii.da,並使用4-8位隨機字母命名,例如hjqgbs.exe,此模塊就是之前的攻擊模塊,使用Python開發,使用pyinstaller打包。
圖:下載ii.dat並隨機命名
判斷下載的文件大小是否正確,如果正確則創建計劃任務運行此exe,根據不同的權限使用不同的方法運行,如果是管理員權限,直接創建計劃任務運行此exe。
圖:運行下載的exe
如果非管理員權限,則釋放run.vbs腳本,將run.vbs腳本設置為計劃任務,通過腳本運行此exe。
圖:調用vbs腳本運行下載的exe
釋放的run.vbs腳本。
圖:vbs腳本內容
此exe仍然使用竊取的數字簽名。
圖:竊取的數字簽名
解包後可以看到Python腳本。
圖:Python腳本
腳本使用了base64編碼。
圖:base64編碼的腳本
解碼後得到病毒的Python代碼,代碼中的關鍵字符串也進行了混淆。
圖:混淆的代碼
圖:混淆的代碼
去混淆後,可以看到最終的病毒代碼,病毒最開始會通過內存映射,檢測當前版本。首先打開內存映射讀取內容,如果沒有獲取到映射的內存,則創建內存映射將自身的路徑+“**”+當前版本號+“$$”寫入到新創建的內存映射中。
圖:內存映射
如果獲取到內存映射,則解析映射中的版本號和內存映射中的文件路徑,計算MD5。如果當前程序的MD5和內存映射中路徑對應的文件MD5相同,則不執行操作。
圖:計算MD5
否則判斷當前版本是否大於內存映射中的版本,如果大於結束之前版本的進程,當前程序複製過去。
圖:判斷版本
之後就是攻擊傳播的部分,病毒內置的攻擊IP段、弱口令賬號密碼列表。
圖:弱口令列表
弱口令密碼又進行了擴充,完整的密碼如下,如果當前計算機或者數據庫軟件使用了此列表中的密碼,建議儘快修改密碼。
圖:Python攻擊模塊內置的密碼列表
病毒仍然會抓取密碼,因此局域網中多臺機器使用相同密碼,一臺機器中毒,也會導致其它機器被攻擊。
圖:抓取密碼
永恆之藍漏洞攻擊。
圖:永恆之藍漏洞
開啟共享,將病毒發送過去。
圖:發送病毒
SMB弱口令攻擊。
圖:SMB弱口令攻擊
MS SQL數據庫弱口令攻擊。
圖:MS SQL弱口令攻擊
5)如果配置文件kk5.log不存在,則下載ddd.dat,命名為ddd.exe,此模塊為新版挖礦模塊,會下載顯卡挖礦相關的驅動。
圖:下載挖礦模塊ddd.exe
挖礦模塊運行後界面。
圖:挖礦模塊界面
挖礦模塊除了使用CPU挖礦之外,還會下載顯卡挖礦相關的驅動,使用顯卡進行挖礦。
圖:下載的顯卡驅動
6)最後訪問控制服務器,將本機狀態信息信息上傳到控制服務器,便於統計感染狀態。
統計的信息包括本地網卡mac地址、安裝的殺毒軟件、系統版本、感染標誌、當前用戶組、當前用戶名等。
圖:統計信息
IOC
md5:
17891737D9970812FE875D0B955B0E15
7441A59ABB6B4C96D0EAC70D884E8008
8A2042827A7FCD901510E9A21C9565A8
CDF6384E4CD8C20E7B22C2E8E221F8C8
E05827E44D487D1782A32386123193EF
3E96A29E82513C5859D5E508A75FA974
66EA09330BEE7239FCB11A911F8E8EA3
Domain:
mm.abbny.com
mm.beahh.com
lplp.beahh.com
lplp.abbny.com
lpp.beahh.com
lpp.abbny.com
ip:
128.199.64.236
27.102.107.137
27.102.118.147
閱讀更多 A1d2m3i4n5 的文章