WMAMiner挖矿蠕虫实例分析

这篇文章给大家介绍WMAMiner挖矿蠕虫实例分析,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

湖州网站制作公司哪家好,找创新互联公司!从网页设计、网站建设、微信开发、APP开发、自适应网站建设等网站项目制作,到程序开发,运营维护。创新互联公司成立于2013年到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联公司

概述

兰云科技银河实验室在多个监测点用“兰眼下一代威胁感知系统”检测到多起同类未知威胁事件,杀毒软件检测率非常低,经过分析发现这是某个挖矿僵尸网络的肉鸡更新程序,为了躲避杀毒软件查杀,特地将主控程序加密并放到资源中。样本通过MS17-010(永恒之蓝)漏洞进行传播,定时和C&C进行连接接受命令和更新模块,主要目的为挖掘门罗币,基于挖矿木马的典型行为,我们将此蠕虫组建的僵尸网络命名为WMAMiner botnet。

WMAMiner挖矿蠕虫实例分析    

兰眼下一代威胁感知系统检测截图    

WMAMiner挖矿蠕虫实例分析

WMAMiner挖矿蠕虫实例分析

VirusTotal检测截图    

0x1 释放主控样本

通过分析发现僵尸网络拥有x86和x64平台的恶意组件,这里以x86平台作为分析,样本首先获取系统目录并和下面字符串拼接,拼接出如下:

C:\WINDOWS\system32\EnrollCertXaml.dll

C:\WINDOWS\system32\wmassrv.dll

C:\WINDOWS\system32\WMASTrace.ini

WMAMiner挖矿蠕虫实例分析

首先删除上面三个文件

WMAMiner挖矿蠕虫实例分析   

之后获取资源,创建并写入文件C:\WINDOWS\system32\EnrollCertXaml.dll中

WMAMiner挖矿蠕虫实例分析    
这个文件并不是一个可执行文件

WMAMiner挖矿蠕虫实例分析

先是读入文件内容然后解密将解密的内容写入C:\WINDOWS\system32\wmassrv.dll中

WMAMiner挖矿蠕虫实例分析

可以发现解密后是一个可执行文件

WMAMiner挖矿蠕虫实例分析

之后是获取C:\WINDOWS\system32\svchost.exe的文件时间,并设置成wmassrv.dll、EnrollCertXaml.dll的文件时间

WMAMiner挖矿蠕虫实例分析

可以看到这样文件的修改时间就跟系统其他文件的修改时候大致相同了,对主机检查起到一定的迷惑效果

WMAMiner挖矿蠕虫实例分析

之后便是设置wmassrv.dll为服务程序,并设置持久化

WMAMiner挖矿蠕虫实例分析    
WMAMiner挖矿蠕虫实例分析    
最后删除自身

WMAMiner挖矿蠕虫实例分析    
   

0x2 主控模块

主控模块流程图

WMAMiner挖矿蠕虫实例分析

作为服务的主控模块,会首先创建C:\WINDOWS\system32\WMASTrace.ini,并写入一个加号

WMAMiner挖矿蠕虫实例分析

会先停止一些服务,一些是之前僵尸网络留下的服务

WMAMiner挖矿蠕虫实例分析

在初始化之后,便是开启多线程,每个线程都是一个模块

0x2.1 更新模块

每5个小时连接 sand.lcones.com和plam.lcones.com 两个地址    

WMAMiner挖矿蠕虫实例分析

如果连接成功,样本会首先连接sand.lcones.com/resource    

WMAMiner挖矿蠕虫实例分析

如果有内容会下载plam.lcones.com/modules.dat     

WMAMiner挖矿蠕虫实例分析

如果返回值等于200

WMAMiner挖矿蠕虫实例分析

写入EnrollCertXaml.dll 文件中

WMAMiner挖矿蠕虫实例分析    

0x2.2 C&C通信模块

 本样本共有两个C&C地址,一个是通过http协议进行通信,一个是通过tcp协议进行通信

0x2.2.1 HTTP 通信

通信地址为tecate.traduires.com,没隔5隔小时连接一次

WMAMiner挖矿蠕虫实例分析

收集系统信息    

WMAMiner挖矿蠕虫实例分析

拼接成如下图所示,并发送    

WMAMiner挖矿蠕虫实例分析

WMAMiner挖矿蠕虫实例分析

通过返回数据解析有下面三个命令

WMAMiner挖矿蠕虫实例分析

命令 0 启动某个进程

WMAMiner挖矿蠕虫实例分析

命令1 下载并执行 通过regsvr32.exe

WMAMiner挖矿蠕虫实例分析    
WMAMiner挖矿蠕虫实例分析
命令2 下载到临时文件夹并执行

WMAMiner挖矿蠕虫实例分析    

0x2.2.2 TCP通信

TCP通信模块也是5个小时连接一次

WMAMiner挖矿蠕虫实例分析

连接的域名为split.despcartes.tk,有趣的是在这里面做了些间接调用,隐藏了些关键函数

WMAMiner挖矿蠕虫实例分析

进行连接,端口为8080

WMAMiner挖矿蠕虫实例分析

连接成功接收数据

WMAMiner挖矿蠕虫实例分析

收集的发送系统信息

WMAMiner挖矿蠕虫实例分析

WMAMiner挖矿蠕虫实例分析

0x2.3 挖矿模块

释放TasksHostServices.exe 经过分析这个是开源门罗币挖掘工具https://github.com/xmrig/xmrig/releases

WMAMiner挖矿蠕虫实例分析

通过以下参数进行启动

WMAMiner挖矿蠕虫实例分析

0x2.4 传播模块 

WMAMiner挖矿蠕虫实例分析

释放C:\WINDOWS\SpeechsTracing\spoolsv.exe  并执行,该模块会首先释放Crypt,而这个其实是一个ZIP压缩包

WMAMiner挖矿蠕虫实例分析

解压缩后我们发现是NSA泄露的漏洞利用包

WMAMiner挖矿蠕虫实例分析

通过扫描内网445端口,进行传播

WMAMiner挖矿蠕虫实例分析配置文件

WMAMiner挖矿蠕虫实例分析

传播成功后,会将x86.dll或者64.dll作为payload,继续看看x86.dll的功能

首先会监听 52137端口

WMAMiner挖矿蠕虫实例分析

WMAMiner挖矿蠕虫实例分析    

而这时spoolsv.exe会读取EnrollCertXaml.dll并连接并发送    

WMAMiner挖矿蠕虫实例分析

X86接收EnrollCertXaml.dll并解密出wmassrv.dll 注册成服务 开始下一轮传播    

WMAMiner挖矿蠕虫实例分析    

0x2.5防止停止模块

样本还是实时查看电脑中是否开启了任务管理器,如果开启,则会关闭

WMAMiner挖矿蠕虫实例分析WMAMiner挖矿蠕虫实例分析

0x2.6 web服务器模块

会安装 开源WebHost\\mongoose工具,作为服务器,监听  63257端口    

WMAMiner挖矿蠕虫实例分析

如果连接成功,则会发送EnrollCertXaml.dll    

WMAMiner挖矿蠕虫实例分析

近年随着区块链技术的兴起,区块链币的流行,黑客也越来越集中关注挖矿带来的经济利益,与之对应的挖矿类威胁越来越严重。此类木马在隐蔽性强,主动内网传播,建议客户部署相应安全设备,及时打好补丁,关闭445等端口,提前做好挖矿类威胁的安全防范。

关于WMAMiner挖矿蠕虫实例分析就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。


标题名称:WMAMiner挖矿蠕虫实例分析
网站链接:http://hbruida.cn/article/gdjsch.html