WannaMine僵而不死:假装被美国土安全局查封

栏目: 编程工具 · 发布时间: 6年前

内容简介:WannaMine是一个以挖取门罗币为目的的僵尸网络,最早于2017年10月被国外网络安全厂 商曝光,因同样使用永恒之蓝(EternalBlue)漏洞进行扩散(与Wannacry相似)而得名。据微 步在线黑客画像系统和狩猎系统监测发现,WannaMine在近一年时间中活动频繁,而其木马存 放站点近日竟出现被美国国土安全局查封的字样,为查明原委,微步在线对WannaMine分析如下:除保持挖矿“主业”外,WannaMine目前已增加DDoS、“抓鸡”等多种“业务”。WannaMine利用漏洞自动化在Wind

概要

WannaMine是一个以挖取门罗币为目的的僵尸网络,最早于2017年10月被国外网络安全厂 商曝光,因同样使用永恒之蓝(EternalBlue)漏洞进行扩散(与Wannacry相似)而得名。据微 步在线黑客画像系统和狩猎系统监测发现,WannaMine在近一年时间中活动频繁,而其木马存 放站点近日竟出现被美国国土安全局查封的字样,为查明原委,微步在线对WannaMine分析如下:

除保持挖矿“主业”外,WannaMine目前已增加DDoS、“抓鸡”等多种“业务”。

WannaMine利用漏洞自动化在Windows和 Linux 两种环境抓取“肉鸡”,危害程度日益增加。

WannaMine组织架构不断完善,功能模块独立化,每个模块在攻击流程中都具备明确角色和任务。

自2018年9月起开始使用新的木马存放节点(cache.windowsdefenderhost.com)和C&C服务器(online.srentrap.com)。

恶意站点“掩耳盗铃”式的伪装成被美国国土安全局接管状态,以期干扰安全人员的分析判断。

详情

监测发现,WannaMine自2017年底出现以来,功能架构不断完善,攻击流程日趋复杂: 由早期利用“永恒之蓝”(EternalBlue)漏洞进行扩散,逐步增加通过ssh/telnet暴力破解,利用CVE-2017-0213、CVE-2016-5195等漏洞辅助入侵提升控制权限;功能模块独立化,每个模块 在攻击流程中都具备明确角色和任务,有效避免单个组织功能模块被关联分析;攻击目标方 向由Windows系统扩展至Linux环境,危害程度日益增加。

样本分析

本报告分析的样本捕获于2018年9月,样本基本信息如下表所示:

文件类型 PE32 executable (console) Intel 80386, for MS Windows
文件大小 139264
MD5 2058516a54e9ccd9cc1556d67a7ccbc3
SHA1 c8aa652f6fbbba9723bde99d4a97b8b592853047
SHA256 018dcbf3d26eafaad1b2cca3608af9faf38fa8281b2e3c8d5ad4c89bc2d7e1b8
时间戳 1992-06-19 22:22:17
涉及URL http://cache.windowsdefenderhost.com/linux/shell
http://cache.windowsdefenderhost.com/windows/recentfileprogrom.exe
http://cache.windowsdefenderhost.com/windows/w_download.exe
http://cache.windowsdefenderhost.com/linux/udp http://cache.windowsdefenderhost.com/windows/res.exe
http://cache.windowsdefenderhost.com/windows/tor.exe
http://cache.windowsdefenderhost.com/linux/dc_elf_32
http://cache.windowsdefenderhost.com/linux/fs_elf_64
http://cache.windowsdefenderhost.com/windows/config.json
C&C 185.128.43.58、111.90.159.149

以该样本为例,分析发现WannaMine目前的架构下图所示:

WannaMine僵而不死:假装被美国土安全局查封

图 1 WannaMine 组织结构图

图 1具体过程为:

1、WannaMine首先通过“永恒之蓝”漏洞入侵向Windows系统并植入w_download.exe,下载相关 木马组件RecentFileProgrom.exe、res.exe、tor.exe。

WannaMine僵而不死:假装被美国土安全局查封 2、RecentFileProgrom.exe主要实现的是向被感染设备内/网进行“永恒之蓝”漏洞扫描。一旦感染了RecentFileProgrom.exe首先会自动枚举探测/扫描内网IP,并注入感染木马payload。

WannaMine僵而不死:假装被美国土安全局查封 3、Tor.exe是Trojan[DDoS]/Win32.Nitol.A木马,实现的是寄生在Windows环境的DDoS木马。其CC为online.srentrap.com:8080。

WannaMine僵而不死:假装被美国土安全局查封

图 4 Nitol.A 首包

4、Res.exe为自压缩文件,主要是实现自解压释放提权和挖矿等功能模块组件。其中1505132/64.exe、1603232/64.exe、170213.exe为CVE-2015-1701本地提权载荷,170213.exe为CVE-2017-0213本地载荷,为有关木马提高权限;testuac.exe获取本地系统配置信息;exp.exe释 放m5VWc67.bat实现探测网络状态和删除res.exe母体样本;svchost-1.exe、login.jpg、register.jpg是执行挖矿的主体木马。

WannaMine僵而不死:假装被美国土安全局查封

图 5 m5VWc67.bat 批处理命令

5、svchost.exe访问 http://cache.windowsdefenderhost.com/windows/config.json ,获取矿池地址和钱包地址信息,根据获取到多个矿池信息,使挖矿木马能以任务队列方式获取挖矿任务,减少设备闲置时间。同时,WannaMine木马还可以通过修改config.json配置文件实现对矿池、钱包等 实时自定义增删改;访问 http://cache.windowsdefenderhost.com:80/windows/yesir.txt 获取挖矿任 务。而login.jpg、register.jpg是挖矿执行组件,为了躲避杀毒 工具 检测,样本伪装成jpg图片文件。

WannaMine僵而不死:假装被美国土安全局查封

图 6 获取矿池+钱包等信息

WannaMine僵而不死:假装被美国土安全局查封

图 7 获取挖矿任务

6、WannaMine还通过对ssh/telnet远程爆破等手段向Linux设备注入名为udp、dc_elf_32、fs_elf_64等文件。Udp文件是Trojan[DDoS]/Linux.Setag(又名BillGates)家族木马,主要是实现DDoS功能,其C&C为online.srentrap.com:8443(与上述Nitol.A木马相同)和uk.7h4uk.com:6001。

WannaMine僵而不死:假装被美国土安全局查封

图 8 Setag 首包

7、dc_elf_32、fs_elf_64都是CVE-2016-5195本地提权漏洞的攻击载荷,负责为udp木马提高执行权限。

关联分析

有趣的是,WannaMine木马存放代理站点cache.windowsdefenderhost.com和d4uk.7h4uk.com均存在正常网页,均显示为已被美国国土安全局接管,如下图所示:

WannaMine僵而不死:假装被美国土安全局查封


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

常用算法程序集

常用算法程序集

清华大学出版社 / 2013-4 / 69.00元

《常用算法程序集(C\C++描述第5版清华大学计算机系列教材)》编著者徐士良、马尔妮。 《常用算法程序集(C\C++描述第5版清华大学计算机系列教材)》是针对工程中常用的行之有效的算法而编写的,主要内容包括多项式的计算、复数运算、随机数的产生、矩阵运算、矩阵特征值与特征向量的计算、线性代数方程组的求解、非线性方程与方程组的求解、插值与逼近、数值积分、常微分方程组的求解、数据处理、极值......一起来看看 《常用算法程序集》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具