你还在关注勒索病毒?别人已经转行挖矿!
2017-07-28 08:51
344 查看
0×01 来源
2017年7月10日左右,由腾讯网吧守护TSPN和顺网联合团队在某网吧内发现异常的svchost.exe进程,以及与之相关spoolsv.exe进程,遂提取样本到安全中心进行人工核实。0×02 真身
拿到样本后从外观看与系统自带的进程无异,但查看属性发现spoolsv.exe是一个压缩文件,于是开始产生警觉。尝试使用7zip解压此文件后,发现了惊天大秘密——NSA 攻击工具包。从字面上我们可以看到永恒之蓝、永恒冠军字样的攻击配置文件。同时我们在解压之后的文件中也找到了与样本同名的两个可执行 体,以及同名的xml配置文件。
打开svchost.xml查看一下,发现正是永恒之蓝的攻击配置文件。
打开spoolsv.xml查看一下,发现了另一个NSA工具DoublePulsar的攻击配置文件。
于是猜测压缩包内的 svchost.exe 是 EternalBlue 攻击程序,压缩包内的 spoolsv.exe 则是 DoublePulsar 后门。
尝试手工运行这两个可执行文件,发现的确是命令行工具,只是配置文件不正确,无法完成攻击。
0×03 毒手
了解到样本的真身之后,我们开始认为这是一个和WannaCry一样的勒索病毒,但是仔细想一下发现样本并没有造成网吧电脑的大规模爆发,也没有业主有反馈,于是怀疑这并非是一起简单的勒索病毒事件。深入分析后发现初始的spoolsv.exe(我们称之为母体)并非简简单单的释放攻击包,其自身在释放攻击载荷之后,还会开启对局域网络445端口的疯狂扫描,一旦发现局域网内开放的445端口,就会将目标IP地址及端口写入EternalBlue的配置文件中,然后启动svchost.exe进行第1步溢出攻击。第1步攻击的结果会记录在stage1.txt中,攻击完成后,母体会检查攻击是否成功,若攻击成功,则继续修改DoublePulsar的配置文件,并启动spoolsv.exe(压缩包内的DoublePulsar,并非母体)在目标计算机安装后门,此称之为第2步攻击,结果会记录在stage2.txt中。
这就完了吗?仅此而已吗?那这玩意儿到底是为了啥?这不科学,没有病毒仅仅是为了传播儿传播,但是此时我们的样本在实验室内已经不再继续工作了。于是我们在网吧中继续抓取到这东西的精彩后续:被安装了DoublePulsar后门的计算机中lsass.exe进程被注入了一段shellcode,这和外网公布的DoublePulsar的行为一模一样,但样本中的这段shellcode利用lsass.exe进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件,而这个文件正是我们样本中一直没有提到的svchost.exe(与母体在同一目录下)。
而这个svchost.exe可不是EternalBlue。那么它是啥?通过仔细的分析,我们发现它会做三件事情:
第一,先把自己添加到计划任务的一个不起眼的地方,让人感觉是一个合法的任务,从而达到自启动的目的。
第二,在局域网其他电脑上下载一个母体文件,以便于二次传播。
第三,释放一个ServicesHost.exe进程并以指定的参数执行这个进程。
继续跟踪这个ServicesHost.exe以及启动参数,发现了一个惊天大秘密,也就是整套传播机制的终极目的——挖矿。
从此程序的启动参数中我们看到了一个敏感的域名“xmr.pool.minergate.com”,Google一下发现这是一个国外各种数字货币的矿池,网站提供了各种数字货币的矿池地址,只要在网站注册账户,就可以利用矿机参与挖矿。而我们的样本中的矿机则是一款GITHUB上的开源矿机xmrig ,挖矿的账户则是dashcoin@protonmail.com这个账户,挖的正式一种不是很常见的数字货币——门罗币。
0×04 横财
说道门罗币我们也要看一下这东西到底值多少钱,随便找了个交易平台看了一下,实时价格约人民币277元,价值虽然没有BTC那么高,但也不低,挖矿收益应该不少。0×05 总结
总体来看,恶意软件的释放、执行流程比较传统,但利用的攻击和漏洞相对比较新,在SMB漏洞被广泛利用到勒索软件的时候,作者却开启了另一扇淘金的大门。下面为大家图示总结一下此款恶意软件的传播和执行流程。从VDC管家平台上看,此木马的传播量呈逐日上升阶段,还需要持续关注打击。在发文时,此款木马已经能够被腾讯电脑管家识别,并有效清除。
最后,提醒各位玩家及网吧业主应该及时更新操作系统补丁,避免被多次割韭菜,导致WannaCry伤疤未愈,僵尸矿机又来撒盐!
相关文章推荐
- 因客而变,别人还在卖产品的时候,乐语已经卖起了“人心”
- 《Docker 入门与实践》 已经出版了~欢迎有需要的朋友关注。
- 博客已经整体迁移到微信公众号:citrixeric,欢迎关注
- 【PaPaPa】集成B/S主流技术的MVC5项目 - 实干派:说做就做,我们已经起航,你还在观望吗
- 时间已经过去8年了,我的博客既然还在!为CSDN点赞!
- [浙大网新易盛] 春节后面试别人的经历总结之一,好岗位分享给还在找工作中的软件开发爱好者们
- 休息的时候不要忘记:别人还在奔跑!
- 腾讯还在提高围棋AI绝艺的棋力,柯洁说已经超过当年AlphaGo
- 别人已经写好的直接拿来使用就行了,不需自己再写
- 春节后面试别人的经历总结之一,好岗位分享给还在找工作中的软件开发爱好者们【转】
- 眼球上的世界杯,你靠什么来让别人关注?
- 计算机专业英语已经出版,欢迎关注
- 别人在忙挖矿,阿里工程师却悄悄用区块链搞了件大事!
- 由Highcharts加载提示想到的:我想要的别人已经做好了
- 别人在忙挖矿,京东架构师却悄悄用区块链搞了件大事
- CocosEditor-java导入别人已经用TexturePacker产生的plist文件
- 已经存在了仓库中的文件但是现在不想让别人看到
- 点击别人的随笔的收藏,显示“已经登录,请注销”
- 如何恢复已经删除的微信聊天记录/别人的手机怎么查询
- 春节后面试别人的经历总结之一,好岗位分享给还在找工作中的软件开发爱好者们