内容简介:WannaMine是一个以挖取门罗币为目的的僵尸网络,最早于2017年10月被国外网络安全厂 商曝光,因同样使用永恒之蓝(EternalBlue)漏洞进行扩散(与Wannacry相似)而得名。据微 步在线黑客画像系统和狩猎系统监测发现,WannaMine在近一年时间中活动频繁,而其木马存 放站点近日竟出现被美国国土安全局查封的字样,为查明原委,微步在线对WannaMine分析如下:除保持挖矿“主业”外,WannaMine目前已增加DDoS、“抓鸡”等多种“业务”。WannaMine利用漏洞自动化在Wind
概要
WannaMine是一个以挖取门罗币为目的的僵尸网络,最早于2017年10月被国外网络安全厂 商曝光,因同样使用永恒之蓝(EternalBlue)漏洞进行扩散(与Wannacry相似)而得名。据微 步在线黑客画像系统和狩猎系统监测发现,WannaMine在近一年时间中活动频繁,而其木马存 放站点近日竟出现被美国国土安全局查封的字样,为查明原委,微步在线对WannaMine分析如下:
除保持挖矿“主业”外,WannaMine目前已增加DDoS、“抓鸡”等多种“业务”。
WannaMine利用漏洞自动化在Windows和 Linux 两种环境抓取“肉鸡”,危害程度日益增加。
WannaMine组织架构不断完善,功能模块独立化,每个模块在攻击流程中都具备明确角色和任务。
自2018年9月起开始使用新的木马存放节点(cache.windowsdefenderhost.com)和C&C服务器(online.srentrap.com)。
恶意站点“掩耳盗铃”式的伪装成被美国国土安全局接管状态,以期干扰安全人员的分析判断。
详情
监测发现,WannaMine自2017年底出现以来,功能架构不断完善,攻击流程日趋复杂: 由早期利用“永恒之蓝”(EternalBlue)漏洞进行扩散,逐步增加通过ssh/telnet暴力破解,利用CVE-2017-0213、CVE-2016-5195等漏洞辅助入侵提升控制权限;功能模块独立化,每个模块 在攻击流程中都具备明确角色和任务,有效避免单个组织功能模块被关联分析;攻击目标方 向由Windows系统扩展至Linux环境,危害程度日益增加。
样本分析
本报告分析的样本捕获于2018年9月,样本基本信息如下表所示:
| 文件类型 | PE32 executable (console) Intel 80386, for MS Windows |
|---|---|
| 文件大小 | 139264 |
| MD5 | 2058516a54e9ccd9cc1556d67a7ccbc3 |
| SHA1 | c8aa652f6fbbba9723bde99d4a97b8b592853047 |
| SHA256 | 018dcbf3d26eafaad1b2cca3608af9faf38fa8281b2e3c8d5ad4c89bc2d7e1b8 |
| 时间戳 | 1992-06-19 22:22:17 |
| 涉及URL | http://cache.windowsdefenderhost.com/linux/shell http://cache.windowsdefenderhost.com/windows/recentfileprogrom.exe http://cache.windowsdefenderhost.com/windows/w_download.exe http://cache.windowsdefenderhost.com/linux/udp http://cache.windowsdefenderhost.com/windows/res.exe http://cache.windowsdefenderhost.com/windows/tor.exe http://cache.windowsdefenderhost.com/linux/dc_elf_32 http://cache.windowsdefenderhost.com/linux/fs_elf_64 http://cache.windowsdefenderhost.com/windows/config.json |
| C&C | 185.128.43.58、111.90.159.149 |
以该样本为例,分析发现WannaMine目前的架构下图所示:
图 1 WannaMine 组织结构图
图 1具体过程为:
1、WannaMine首先通过“永恒之蓝”漏洞入侵向Windows系统并植入w_download.exe,下载相关 木马组件RecentFileProgrom.exe、res.exe、tor.exe。
2、RecentFileProgrom.exe主要实现的是向被感染设备内/网进行“永恒之蓝”漏洞扫描。一旦感染了RecentFileProgrom.exe首先会自动枚举探测/扫描内网IP,并注入感染木马payload。
3、Tor.exe是Trojan[DDoS]/Win32.Nitol.A木马,实现的是寄生在Windows环境的DDoS木马。其CC为online.srentrap.com:8080。
图 4 Nitol.A 首包
4、Res.exe为自压缩文件,主要是实现自解压释放提权和挖矿等功能模块组件。其中1505132/64.exe、1603232/64.exe、170213.exe为CVE-2015-1701本地提权载荷,170213.exe为CVE-2017-0213本地载荷,为有关木马提高权限;testuac.exe获取本地系统配置信息;exp.exe释 放m5VWc67.bat实现探测网络状态和删除res.exe母体样本;svchost-1.exe、login.jpg、register.jpg是执行挖矿的主体木马。
图 5 m5VWc67.bat 批处理命令
5、svchost.exe访问 http://cache.windowsdefenderhost.com/windows/config.json ,获取矿池地址和钱包地址信息,根据获取到多个矿池信息,使挖矿木马能以任务队列方式获取挖矿任务,减少设备闲置时间。同时,WannaMine木马还可以通过修改config.json配置文件实现对矿池、钱包等 实时自定义增删改;访问 http://cache.windowsdefenderhost.com:80/windows/yesir.txt 获取挖矿任 务。而login.jpg、register.jpg是挖矿执行组件,为了躲避杀毒 工具 检测,样本伪装成jpg图片文件。
图 6 获取矿池+钱包等信息
图 7 获取挖矿任务
6、WannaMine还通过对ssh/telnet远程爆破等手段向Linux设备注入名为udp、dc_elf_32、fs_elf_64等文件。Udp文件是Trojan[DDoS]/Linux.Setag(又名BillGates)家族木马,主要是实现DDoS功能,其C&C为online.srentrap.com:8443(与上述Nitol.A木马相同)和uk.7h4uk.com:6001。
图 8 Setag 首包
7、dc_elf_32、fs_elf_64都是CVE-2016-5195本地提权漏洞的攻击载荷,负责为udp木马提高执行权限。
关联分析
有趣的是,WannaMine木马存放代理站点cache.windowsdefenderhost.com和d4uk.7h4uk.com均存在正常网页,均显示为已被美国国土安全局接管,如下图所示:
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 法国国家网络安全局 ANSSI 开源安全操作系统 CLIP OS
- 法国国家网络安全局开源基于 Linux 的安全操作系统 CLIP OS
- 从美国国家安全局到硅谷,新型加密技术正走向商业化
- 美国国家安全局释出其软件逆向工程框架 Ghidra
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
