DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

利用网游加速器隧道传播挖矿蠕虫事件分析报告

09-18 WEB安全

2017底至2018年初,最火爆的游戏是“吃鸡”,最受关注的互联网技术则是区块链。这两个热门话题在各自领域内承担流量和关注指数,相互之间基本没有联系。然而2018年5月某一天,360 MeshFire Team在日常安全运营中发现了两者之间的偶发关联,也发现了攻击者在两个热门话题之间新攻击手法的尝试。2018年5月,安全分析人员在日常运营工作中发现了针对测试环境的永恒之蓝漏洞攻击,经过对网络协议还原和主机的溯源分析,发现攻击原始流量来源于一款网游加速器的加速节点,进一步分析,我们认为,这是一起攻击者通过控制吃鸡游戏玩家广泛使用的某游戏加速器加速节点,利用终端电脑与加速节点构建的GRE隧道发动永恒之蓝攻击,传播挖矿蠕虫的供应链攻击事件。鉴于加速器软件常常在终端杀软的白名单列表中,GRE隧道流量也因为NIDS可能无法完整进行协议识别而容易绕过传统的IDS监测的现状,攻击者构造的攻击环境是非常隐蔽的。由于国内“吃鸡”庞大的玩家群体和他们对加速器的硬性需求,也使得通过控制加速节点完成攻击活动这种方式不仅隐蔽而且便于传播,对潜在终端用户造成较大的威胁。我们希望基于捕获到的公开样本和数据,还原攻击事件的监测和分析过程,帮助更多的企业防御者以借鉴和排查这种基于网游加速器隧道攻击的手法,并根据自身对各种加速器软件的调研结果,协助加速服务商和更多个人用户排除威胁。
 
事件概述
2018年5月17日,安全分析人员在团队自研的宙合大数据威胁检测平台产生的告警,但流量源目IP并不属于公司IP规划范围,IP显示的为10.2.93.0/24的内网网段。通过进一步分析网络协议的解析字段,我们确认该告警是隧道内的两端IP地址,并由此定位到隧道外真实的物理地址,告警流量IP异常情况的出现是因为早些时候内网的主机和外网IP地址106.3.xxx.18建立了GRE隧道。

利用网游加速器隧道传播挖矿蠕虫事件分析报告


利用网游加速器隧道传播挖矿蠕虫事件分析报告


通过对相应的主机进行实地取证和流量日志回溯,发现早在3月28日,该内网主机和外网IP建立VPN连接的记录。结合应用程序安装记录,锁定了一个游戏加速软件。

利用网游加速器隧道传播挖矿蠕虫事件分析报告


利用网游加速器隧道传播挖矿蠕虫事件分析报告


打开加速器,运行程序,加速节点选择吃鸡亚服节点,监控程序和流量,发现加速器建立GRE隧道,连接VPN,并在当日晚23点前后发现了永恒之蓝的攻击数据包的行为。由于该主机已修复ms17-010漏洞,所以攻击者未能成功入侵,也没有发生内网横向移动的情况出现(后续选择了其他的加速节点,发现隧道建立的IP为同一地址)。

利用网游加速器隧道传播挖矿蠕虫事件分析报告


为了捕获攻击载荷,我们在网络隔离区域搭建了一台未修复ms17-010漏洞的主机。通过安装加速器并开启加速模式,我们捕获到了攻击载荷。

利用网游加速器隧道传播挖矿蠕虫事件分析报告


通过对样本进行行为分析,最终确定,攻击者通过GRE隧道传递而来的,是一个利用NSA永恒之蓝漏洞利用工具包进行传播的挖矿蠕虫。对样本特点和行为进行关联分析,我们认为,此次捕获的样本应当属于MsraMiner家族,是一个利用永恒之蓝漏洞进行传播挖矿蠕虫家族。根据360安全研究院对该家族早期版本的梳理,以及样本的时间戳等信息,我们认为样本应该是一个较新的变种。
 
样本分析
一. Spoolsv.exe
文件名称:    spoolsv.exe
文件大小:    396 KB (406,016 字节)
文件时间:    2009-07-14 09:14:41
时 间 戳:    5AEA7D64->2018-05-03 11:09:24
文件 MD5:    F4086A395A13D689E5FF98E4D447589B
Spoolsv.exe的主要功能有:释放永恒之蓝漏洞利用工具套件和DoublePulsar后门,并启动相应工具,同时获取终端内网地址,扫描内网,确定新的感染目标。下图为Spoolsv.exe的核心代码:

利用网游加速器隧道传播挖矿蠕虫事件分析报告


样本首先会创建一个名为“F5175396-40C2-0218-278D6EE”的互斥量,保证唯一实例运行。然后会创建多个线程,完成主要功能。经过分析,其主要功能如下:
释放自身资源,并命名为Crypt。然后将Crypt解压到C://Windows/SpeechTracing/Windows目录当中,并删除Crypt文件。经过分析,发现解压后的文件为NSA ToolKit。

利用网游加速器隧道传播挖矿蠕虫事件分析报告


通过读取svchost.xml和spoolsv.xml配置文件可以得知,两者分别为永恒之蓝攻击套件和DoublePulsar后门的配置文件。

利用网游加速器隧道传播挖矿蠕虫事件分析报告

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com//web/110.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 722652访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X