欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

快速进击的挖矿僵尸网络:单日攻击破10万次

来源:本站整理 作者:佚名 时间:2018-05-28 TAG: 我要投稿

2017年9月,360互联网安全中心首家发现了利用msSQL进行大规模入侵并释放挖矿木马的僵尸网络。木马先期通过永恒之蓝漏洞进行传播,后期转为对msSQL进行弱口令攻击传播,入侵成功后释放挖矿木马,获利达数百万之多。相关分析详见2017年发布的报告:《悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币》。
近日,360互联网安全中心又发现了一批使用msSQL进行传播的挖矿木马的新型变种。此次木马攻击主要利用“白利用”这一通常出现在远控或盗号木马上的隐藏手段,说明此类木马已经具有了与安全软件对抗的意识。并且利用自身在扩散形式上的优势快速传播,出现仅6天,单日攻击次数就突破了10万次。另外,该木马早期曾出现过一个仅攻击一次就自我退出的版本,但该版本在大量传播之后便消失,我们怀疑这是一个作者早期用于验证程序功能的测试版。

图1
样本分析

图2
DLL模块被命名为active_desktop_render.dll,其导出表如下

图3
执行逻辑
exe启动后会加载active_desktop_render模块,调用其导出函数SetDesktopMonitorHook,实际样本中直接调用了king1函数。king1函数首先判断当前模块名称,不同的文件名称则执行的流程也会不同,例如当
前名称为assist.exe时,则下载l.txt并内存加载执行,其他如下图所示:

图4
之后根据系统版本调整当前工作目录(用于后续文件落地时使用),其中不高于xp版本的位于根目录下/Docume~1/AllUse~1/Applic~1/,否则为/Users/Public/,同时间隔10分钟尝试下载a-n.txt名称的文件,其中大部分文件以插件形式内存加载执行。

图5
插件模块及域名生成算法
通过上文可以知道,该dll的行为实则类似于插件管理器,其大多数情况下通过远程下载模块并自行加载,下图是样本模块加载流程示意图。

图6
插件模块的加载
down_memLoader函数通过死循环等待文件下载成功,

图7

图8
域名生成算法(DGA)
样本下拉插件模块的服务器域名并不固定,而是通过前缀后缀方式拼接而成,其中前缀生成算法如下

图9
后缀从如下列表中获取

图10
通过简化之后其域名生成算法如下:

知道域名后,再拼接插件名称得到下载地址,但访问时服务器会检测当前请求的UA部分,样本内嵌的UA名称为onlyme。
d与l模块
d模块延迟十分钟后结束如下进程,其中 manager.exe和diagnosis.exe分别为m和n模块(未获取到),a.exe是提权用到的程序。

图11
l模块负责结束上述进程并重新启动help.exe,间隔时间为10小时。
p模块
p模块在启动后,首先判断当前进程是否拥有管理员权限,若有则创建(已有则打开)名称为helpsys的服务,其二进制文件路径指向自身help.exe程序,如果权限不够,则远程拉取远端tqdll.txt和tq.txt文件,通过名称可以猜测其主要功能为提权,若成功,则在下次运行时即可创建服务,保证自身持久化驻留服务器。

图12
b模块
b模块是x64环境下使用到的,其部署64位环境下exe(repair.txt)和dll模块(64zhu.txt),所有exe和dll功能与本文分析基本一致,只不过在x64下运行。同时下拉config.json与x.png,x.png 为xmr矿机(被64zhu.txt内存加载运行),矿机配置文件config内容如下

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载