DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

快速进击的挖矿僵尸网络:单日攻击破10万次

09-17 DDOS防御

2017年9月,360互联网安全中心首家发现了利用msSQL进行大规模入侵并释放挖矿木马的僵尸网络。木马先期通过永恒之蓝漏洞进行传播,后期转为对msSQL进行弱口令攻击传播,入侵成功后释放挖矿木马,获利达数百万之多。相关分析详见2017年发布的报告:《悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币》。
近日,360互联网安全中心又发现了一批使用msSQL进行传播的挖矿木马的新型变种。此次木马攻击主要利用“白利用”这一通常出现在远控或盗号木马上的隐藏手段,说明此类木马已经具有了与安全软件对抗的意识。并且利用自身在扩散形式上的优势快速传播,出现仅6天,单日攻击次数就突破了10万次。另外,该木马早期曾出现过一个仅攻击一次就自我退出的版本,但该版本在大量传播之后便消失,我们怀疑这是一个作者早期用于验证程序功能的测试版。

快速进击的挖矿僵尸网络:单日攻击破10万次


图1
样本分析

快速进击的挖矿僵尸网络:单日攻击破10万次


图2
DLL模块被命名为active_desktop_render.dll,其导出表如下

快速进击的挖矿僵尸网络:单日攻击破10万次


图3
执行逻辑
exe启动后会加载active_desktop_render模块,调用其导出函数SetDesktopMonitorHook,实际样本中直接调用了king1函数。king1函数首先判断当前模块名称,不同的文件名称则执行的流程也会不同,例如当
前名称为assist.exe时,则下载l.txt并内存加载执行,其他如下图所示:

快速进击的挖矿僵尸网络:单日攻击破10万次


图4
之后根据系统版本调整当前工作目录(用于后续文件落地时使用),其中不高于xp版本的位于根目录下/Docume~1/AllUse~1/Applic~1/,否则为/Users/Public/,同时间隔10分钟尝试下载a-n.txt名称的文件,其中大部分文件以插件形式内存加载执行。

快速进击的挖矿僵尸网络:单日攻击破10万次


图5
插件模块及域名生成算法
通过上文可以知道,该dll的行为实则类似于插件管理器,其大多数情况下通过远程下载模块并自行加载,下图是样本模块加载流程示意图。

快速进击的挖矿僵尸网络:单日攻击破10万次


图6
插件模块的加载
down_memLoader函数通过死循环等待文件下载成功,

快速进击的挖矿僵尸网络:单日攻击破10万次


图7

快速进击的挖矿僵尸网络:单日攻击破10万次


图8
域名生成算法(DGA)
样本下拉插件模块的服务器域名并不固定,而是通过前缀后缀方式拼接而成,其中前缀生成算法如下

快速进击的挖矿僵尸网络:单日攻击破10万次


图9
后缀从如下列表中获取

快速进击的挖矿僵尸网络:单日攻击破10万次


图10
通过简化之后其域名生成算法如下:

快速进击的挖矿僵尸网络:单日攻击破10万次


知道域名后,再拼接插件名称得到下载地址,但访问时服务器会检测当前请求的UA部分,样本内嵌的UA名称为onlyme。
d与l模块
d模块延迟十分钟后结束如下进程,其中 manager.exe和diagnosis.exe分别为m和n模块(未获取到),a.exe是提权用到的程序。

快速进击的挖矿僵尸网络:单日攻击破10万次


图11
l模块负责结束上述进程并重新启动help.exe,间隔时间为10小时。
p模块
p模块在启动后,首先判断当前进程是否拥有管理员权限,若有则创建(已有则打开)名称为helpsys的服务,其二进制文件路径指向自身help.exe程序,如果权限不够,则远程拉取远端tqdll.txt和tq.txt文件,通过名称可以猜测其主要功能为提权,若成功,则在下次运行时即可创建服务,保证自身持久化驻留服务器。

快速进击的挖矿僵尸网络:单日攻击破10万次


图12
b模块
b模块是x64环境下使用到的,其部署64位环境下exe(repair.txt)和dll模块(64zhu.txt),所有exe和dll功能与本文分析基本一致,只不过在x64下运行。同时下拉config.json与x.png,x.png 为xmr矿机(被64zhu.txt内存加载运行),矿机配置文件config内容如下

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com//ddos1/12.html

DDOS防御

ddos防御

cc防护

web安全

高防服务器

高防cdn


QQ客服

400-0797-119

X