DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

敛财百万的挖矿蠕虫HSMiner活动分析

09-18 WEB安全

永恒之蓝漏洞自从2017年4月NSA黑客工具公布之后,越来越多被用于非法网络活动。从勒索病毒WannaCry、NotPetya,到挖矿病毒Powershell Miner、NrsMiner无不利用这一工具大肆活动。
而在近日,360企业安全天擎团队监测到一种新的利用NSA黑客工具进行传播的挖矿病毒(挖取XMR/门罗币),该病毒家族在最近两个月内进行了疯狂传播,数月时间就通过挖矿获利近百万人民币。因其挖矿安装模块名称为hs.exe,我们将其命名为HSMiner,该病毒主要利用永恒之蓝、永恒浪漫漏洞进行传播,除具有挖矿功能外,还具备远控木马功能:

敛财百万的挖矿蠕虫HSMiner活动分析


样本分析
360企业安全天擎团队对该样本进行了详细分析,样本功能主要分为传播、挖矿和远控三大模块。病毒会通过判断运行时的本地互联网出口IP所在地区来获取攻击者事先准备好的对应地区的IP地址列表进行SMB漏洞利用传播,并开启挖矿(XMR/门罗币)和远控功能以实现敛财和长期控制受害者电脑的目的。
传播模块
病毒的传播模块在运行时,通过访问 获取本地互联网出口IP所在地区,根据IP所在地复制事先准备好的全国按地区划分的IP地址表(见图1),比如IP所在地是北京(见图2),则拷贝北京的IP地址列表至待扫描目标地址表。然后依次扫描这些地址的445端口,对445开放的主机进行攻击,攻击工具为2017年4月泄露的 NSA永恒之蓝、永恒浪漫黑客工具,攻击成功的计算机将被安装后门,最后通过该后门加载Payload下载安装挖矿程序包。

敛财百万的挖矿蠕虫HSMiner活动分析


图1 按地区划分IP地址列表

敛财百万的挖矿蠕虫HSMiner活动分析


图2 北京地区部分IP地址列表

敛财百万的挖矿蠕虫HSMiner活动分析


图3永恒之蓝、永恒浪漫攻击脚本
永恒之蓝、永恒浪漫攻击成功后会植入一个payload模块,该模块将被注入在系统lsass.exe进程中运行,部分代码如下:

敛财百万的挖矿蠕虫HSMiner活动分析


图4 漏洞植入Payload 代码
该代码主要用于下载病毒完整程序包,下载文件随后更名为”C:\qwa.exe” 并运行安装,简单粗暴。
传播模块最终采用 Windows第三方服务管理工具被安装成为一个系统服务常驻系统运行:

敛财百万的挖矿蠕虫HSMiner活动分析


图5 安装传播服务模块
挖矿模块
挖矿模块的安装包是一个Winrar自解压程序,文件名称为hs.exe。解压包内容如下:

敛财百万的挖矿蠕虫HSMiner活动分析


图6 HSMiner挖矿自解压程序
自解压后执行脚本wx.bat:

敛财百万的挖矿蠕虫HSMiner活动分析


图7 安装HSMiner挖矿服务
如上图所示,通过第三方服务管理工具windows.exe将挖矿程序iexplorer.exe以服务形式安装在计算机中。
我们在分析中还发现该家族存在多个变种,其中部分变种有黑吃黑现象,也即这些变种在挖矿前,会将其他挖矿、勒索、木马等病毒来一次大扫荡,以便于自身不被其他病毒影响从而更好地利用系统资源进行挖矿,如下图所示为部分脚本:

敛财百万的挖矿蠕虫HSMiner活动分析


图8 清理其他挖矿、勒索、木马等病毒
挖矿程序本身是在开源程序xmrig基础上编译而来,如下图所示为程序命令行参数说明:

敛财百万的挖矿蠕虫HSMiner活动分析


远控木马
HSMiner带了一个远控木马,该木马采用 VC 编写,运行后释放一个 DLL 文件,并将该DLL注册为系统服务运行。
从资源释放一个DLL文件:

敛财百万的挖矿蠕虫HSMiner活动分析


敛财百万的挖矿蠕虫HSMiner活动分析


通过读取注册表判断是否安装有360安全卫士:

敛财百万的挖矿蠕虫HSMiner活动分析


如果安装有360安全卫士则退出执行,否则调用WinExec来运行rundll32.exe,通过这种方式加载运行dll:

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//web/113.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 698415访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X