欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

ShadowMiner:传说中的闷声发大财?

来源:本站整理 作者:佚名 时间:2018-09-07 TAG: 我要投稿

一、简述
深信服EDR安全团队追踪到一个新型的挖矿病毒,深信服安全专家研究发现,此挖矿病毒构造复杂,善于伪装,像影子般依附到系统环境。
目前该病毒已挖得3350个门罗币,获利约合人民币268万人民币,但令人惊讶的是,目前仍然未被发现(闷声发大财的典型代表),深信服已将其命名为ShadowMiner,并制定了相关的应对措施。

下图,是收集到的五个相关样本。

二、病毒分析
2.1 病毒流程
病毒的整体流程如下,其中病毒母体为x1.exe,WmiApSvr.exe为开源的挖矿软件XMRig。

2.2. 病毒母体分析
病毒母体x1.exe主要有四个主要的恶意行为:注册服务、释放文件、下载文件、创建进程

2.2.1. 注册服务
检查服务clr_optimization_v3.0.50727_32是否存在,没有则创建该服务。

服务对应的文件为C:\Windows\Microsoft.NET\Framework\mscorsvw.exe,此时该文件还未创建,所以服务也处于停止状态。

服务运行的参数为aspnet_wp.exe。

2.2.2. 释放文件
病毒母体通过Trigger+函数地址的方式进行API的动态调用,这大大增加了逆向者的分析难度。什么是Trigger呢?Trigger就像一个装载器,将函数参数和要调用的函数地址传给它,它就能自动进行函数调用。如下是病毒使用该方法进行创建文件、修改文件属性、查询文件,经过这轮操作,文件mscorsvw.exe、aspnet_wp.exe、MpMgSvc.dll被创建。

我们后续发现,这个mscorsvw.exe是个合法软件,原名叫srvany.exe,srvany.exe是Microsoft Windows Resource Kits工具集的一个实用的小工具,用于将任何EXE程序作为Windows服务运行。也就是说srvany只是其注册程序的服务外壳,真正运行的是恶意文件aspnet_wp.exe。

2.2.3. 下载文件
下载http://122.49.66.39/11.exe,重命名为本地的C:\windows\ime\64.exe。

2.2.4. 创建恶意进程
创建进程aspnet_wp.exe。

aspnet_wp.exe运行后拉起了一个svchost.exe后便退出了。

下载完64.exe后,便调用CreateProcess执行了它。

64.exe的行为跟aspnet_wp.exe的很像,都是拉起了一些进程后退出。

最后,系统中只剩下恶意进程svchost.exe和WmiApSvr.exe,我们也可以看到WmiApSvr.exe已经开始挖矿了。

2.3.  aspnet_wp分析
从上文我们得知aspnet_wp.exe的恶意行为就是拉起svchost.exe然后退出,按照病毒的常规操作,它退出前会将恶意代码注入到svchost.exe中,所以分析aspnet_wp时我们重点关注进程注入操作。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载