欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一个利用“永恒之蓝”漏洞传播的挖矿程序分析

来源:本站整理 作者:渔村安全 时间:2017-07-27 TAG: 我要投稿

背景介绍
近日,渔村安全团队追踪到一个利用永恒之蓝漏洞传播的挖矿程序,其具备高度的模块化和较强的传播能力,在短短数日就感染了数万台用户电脑。针对该突发情况,渔村安全团队迅速组织应急工作,最终使得目前的感染情况受到控制,下文为样本分析。
感染量
从微软发布ms17-010(永恒之蓝漏洞) 的修复补丁到现在已经过去四个月了,相继爆发的利用该漏洞传播的WannaCry,Petya 勒索病毒更是给 我们 上了一课。但目前来看,还是有不少用户没有及时更新补丁或者做相应的缓解措施,同时 Shadow Brokers把从 Equation Group偷来的全套针对该漏洞的利用工具开源 ,这使得人人有了一套 核武器 ,导致发动攻击的门槛极度降低。综合上述原因,可以推测该漏洞在很长一段时间之内,还会有不同程度的活跃。目前,根据全网监控数据可知,各地区感染该例样本量占比情况如下 :

样本分析
1.感染症状
该样本分为两个模块,分别为挖矿程序与永恒之蓝攻击程序,感染后的用户机器,通常会有如下症状 :
1.  监听26571端口

2.存在C:\Windows\IME\Crypt文件夹
 

3.访问其他主机的445端口

2.传播方式

如上图所示,是整个样本的攻击流程图,受害者之间的样本投送分工为:
攻击方,挖矿程序搭建web服务器(端口 26571),等待特定的GET请求
被攻击方,payload访问攻击方提供的web服务器,通过 GET请求得到样本(含挖矿程序和永恒之蓝 EXP 程序)
3.样本特性
通过前文已知,该样本是分为挖矿程序与永恒之蓝攻击程序,下面针对不同模块进行分析。
3.1挖矿程序
挖矿程序的调用者是内核后门注入到lsass.exe中的 payload所生成并调起的。
3.1.1 创建计划任务
程序在启动时,创建计划任务,达到开机自启动的目的,命令如下:
schtasks.exe/create /TN "\Microsoft\Windows\UPnP\Services" /RU SYSTEM /TR"%WinDir%\IME\Microsoft\svchost.exe" /SC ONSTART
 

3.1.2 释放挖矿程序
创建线程,完成从资源bin中释放挖矿程序到系统根目录下功能,文件名称为 ServicesHost.exe

之后传递参数
-o stratum+tcp://xmr.pool.minergate.com:45560-u dashcoin@protonmail.com -t 1 --donate-level=1
执行,同时尝试解析系统根目录下的 settings7283.dat数据文件。
3.1.3 开启WEB服务
创建线程,搭建一个WEB服务器,提供文件下载功能,方便被攻击方快速下拉恶意代码。

其中,回调函数Url_parser只处理两种请求,分别为:
POST方式接收到的Hell World?
GET方式接收到的/dnsclientprovider_userdata.mof
当POST方法得到的请求数据是Hell World? ,则当前挖矿进程会退出,逻辑如下:


其中dnsclientprovider_userdata.mof文件目前没有捕获到,但根据之后的payload 的请求数据来看,该文件是一个 ZIP包,里面包含了挖矿程序和攻击程序,故达到了利用漏洞传播的效果。
3.1.4 执行攻击程序&攻击信息上报
开启新线程,执行C:\Windows\IME\Microsoft\spoolsv.exe,实为payload 从攻击方下拉后解压生成的攻击程序。开启新线程,每隔 900s向服务器上报信息。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载