欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

感染数万设备!警惕ZombieBoy挖矿木马“丧尸式”传播

来源:本站整理 作者:佚名 时间:2019-07-11 TAG: 我要投稿

近日,深信服安全团队监测到一款名为ZombieBoy的木马悄然感染了国内外各个行业的用户主机。该木马包含了内网扫描、“永恒之蓝”漏洞利用、“双脉冲星”后门、挖矿工具等多个恶意模块,是一款集传播、远控、挖矿功能为一体的混合型木马。该木马的结构类似于“MassMine”,由于释放第一个恶意DLL文件时使用了一个名为ZombieBoy的工具,因此被命名为ZombieBoy挖矿木马。

ZombieBoy木马最早出现于2017年底,国外安全网站于2018年跟踪报道了该木马的相关分析,2018年下旬,安全媒体报道被该木马控制的主机多达七万台。日前,经深信服安全云脑数据监测发现,该木马在各个行业中迅速扩散,其中,安全防护较为薄弱的企业成为感染的重灾区,教育行业、政企单位等均受到不同程度的感染:

木马感染区域没有明确的目标,经统计,全国各省以及国外用户均存在感染现象:

感染现象
受感染的主机上出现明显现象为未知IP策略,该策略会将除了22.148.18.88之外连接445的IP全部阻止。

可疑IP地址查询为一个美国IP。

搜索最新创建的TXT文件,能发现大量IP.TXT文件,是该木马内网传播模块的日志文件:

出现木马目录下恶意文件的计划任务: 

ZombieBoy木马详细分析
木马母体会在windows目录下创建一个5位随机字母的文件夹,将攻击所用到的东西以及挖矿等程序释放到该文件夹,并且会将自身拷贝到windows目录下名为boy的文件,再次拷贝自身到随机文件夹下且也为随即名,该随机文件夹的路径名称以及母体副本随机名称保存在C:\\Windows\\IEM\\tps.exe中,创建tps.exe是为了进行伪装:

攻击文件:

创建ipsec_ply和qianye等IP策略:

为boy副本创建服务:

创建aC.exe挖矿程序,挖矿地址为:
44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS

TCP端口扫描模块在进行IP段的扫描,该扫描器为名为WinEggDrop开发的开源扫描器,其项目地址如下:

永恒之蓝漏洞利用工具Cstrl.exe:

双星脉冲后门植入工具chrome.exe:

下载可执行文件123.exe到C:\\Windows\\System32\\sys.exe,并运行:

sys.exe功能为检测是否存在C:\Windows\IEM\tps.exe,下载母体文件并执行:

其中C:\Windows\IEM\tps.exe是配置文件,保存着母体文件创建的随机文件夹路径以及自身副本的随机文件名:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载