欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

敛财百万的挖矿蠕虫HSMiner活动分析

来源:本站整理 作者:佚名 时间:2018-06-29 TAG: 我要投稿

永恒之蓝漏洞自从2017年4月NSA黑客工具公布之后,越来越多被用于非法网络活动。从勒索病毒WannaCry、NotPetya,到挖矿病毒Powershell Miner、NrsMiner无不利用这一工具大肆活动。
而在近日,360企业安全天擎团队监测到一种新的利用NSA黑客工具进行传播的挖矿病毒(挖取XMR/门罗币),该病毒家族在最近两个月内进行了疯狂传播,数月时间就通过挖矿获利近百万人民币。因其挖矿安装模块名称为hs.exe,我们将其命名为HSMiner,该病毒主要利用永恒之蓝、永恒浪漫漏洞进行传播,除具有挖矿功能外,还具备远控木马功能:

样本分析
360企业安全天擎团队对该样本进行了详细分析,样本功能主要分为传播、挖矿和远控三大模块。病毒会通过判断运行时的本地互联网出口IP所在地区来获取攻击者事先准备好的对应地区的IP地址列表进行SMB漏洞利用传播,并开启挖矿(XMR/门罗币)和远控功能以实现敛财和长期控制受害者电脑的目的。
传播模块
病毒的传播模块在运行时,通过访问 http://2017.ip138.com/ic.asp 获取本地互联网出口IP所在地区,根据IP所在地复制事先准备好的全国按地区划分的IP地址表(见图1),比如IP所在地是北京(见图2),则拷贝北京的IP地址列表至待扫描目标地址表。然后依次扫描这些地址的445端口,对445开放的主机进行攻击,攻击工具为2017年4月泄露的 NSA永恒之蓝、永恒浪漫黑客工具,攻击成功的计算机将被安装后门,最后通过该后门加载Payload下载安装挖矿程序包。

图1 按地区划分IP地址列表

图2 北京地区部分IP地址列表

图3永恒之蓝、永恒浪漫攻击脚本
永恒之蓝、永恒浪漫攻击成功后会植入一个payload模块,该模块将被注入在系统lsass.exe进程中运行,部分代码如下:

图4 漏洞植入Payload 代码
该代码主要用于下载病毒完整程序包,下载文件随后更名为”C:\qwa.exe” 并运行安装,简单粗暴。
传播模块最终采用 Windows第三方服务管理工具被安装成为一个系统服务常驻系统运行:

图5 安装传播服务模块
挖矿模块
挖矿模块的安装包是一个Winrar自解压程序,文件名称为hs.exe。解压包内容如下:

图6 HSMiner挖矿自解压程序
自解压后执行脚本wx.bat:

图7 安装HSMiner挖矿服务
如上图所示,通过第三方服务管理工具windows.exe将挖矿程序iexplorer.exe以服务形式安装在计算机中。
我们在分析中还发现该家族存在多个变种,其中部分变种有黑吃黑现象,也即这些变种在挖矿前,会将其他挖矿、勒索、木马等病毒来一次大扫荡,以便于自身不被其他病毒影响从而更好地利用系统资源进行挖矿,如下图所示为部分脚本:

图8 清理其他挖矿、勒索、木马等病毒
挖矿程序本身是在开源程序xmrig基础上编译而来,如下图所示为程序命令行参数说明:

远控木马
HSMiner带了一个远控木马,该木马采用 VC 编写,运行后释放一个 DLL 文件,并将该DLL注册为系统服务运行。
从资源释放一个DLL文件:


通过读取注册表判断是否安装有360安全卫士:

如果安装有360安全卫士则退出执行,否则调用WinExec来运行rundll32.exe,通过这种方式加载运行dll:

[1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载