股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
【安全通告】小心!你的web服务正在被植入挖矿病毒
发布时间 :2021年01月12日
类型 :勒索软件
分享:
安全通告
2021年伊始,威尼斯432888cam截获了一款复合型挖矿病毒,其不仅通过感染U盘方式传播,还使用了基于WMI的暴力破解进行传播。在传播过程中病毒会修改自身代码并将所有信息保存在WMI计划任务中。该病毒不仅在被感染主机上执行挖矿,还会窃取与数字货币相关的文件,具有远控功能。此外,还会篡改Web主页文件,植入用于JS挖矿的代码,本文就此病毒进行详细分析。
攻击流程
病毒详细分析
此次截获的病毒文件是一个高度混淆的VBS文件,其第一行是加密后的主要恶意代码,2-5行是解密算法。
安全研究人员首先提取第2~3行代码,修改后运行获取其解密算法函数,根据代码分析可以判断其解密函数是一个自定义的Base64 decode方法,通过与网上公开算法对比,安全研究人员可以看到其主要是修改了Base64的索引对应关系:
之后逐步提取剩余代码进行解密,最终可以获取3个解密方法。
安全研究人员对首行主要代码进行解密最终得到一个包含多个函数的VBS主体文件。其在运行时首先会将自身代码写入到WMI中并定期执行。
随后获取随机字符修改自身代码后备份到如下目录:
%TMP%/DM6331.TMP %TMP
%/winstart.vbs
然后获取最新可用C2地址与挖矿配置信息,相关地址均使用自定义Base64算法加密。
获取可用C2地址并尝试获取最新配置。
相关文件整理后如下,后续这些文件会按需安装到用户机器上。
判断用户机器IP地址是否是内网地址,如果不是内网地址则修改防火墙打开46789端口。
Web对应的文件目前暂时无法下载,可能是恶意软件作者暂时下架了此文件,根据代码推测其功能是用于远控指令下发。尝试检测主机office版本并修改宏安全设置,允许运行所有宏。
根据系统位数下载不同的挖矿程序,并结束竞争对手挖矿程序。
其会进行存活检测,一旦发现自身挖矿程序被删除则重新下载执行。
下载恶意office文件并将其拷贝至C:\Users\{AllUser}特定目录并创建快捷方式。
签名劫持
通过修改注册表实现签名验证劫持。
感染可移动磁盘
监控磁盘信息,当新插入磁盘或磁盘属性为可移动硬盘时,将自身拷贝到磁盘RECYCL目录下并设为隐藏,此外还会隐藏根目录下原文件夹并创建具有文件夹图标的快捷方式。
窃取虚拟货币信息
此病毒还会枚举如下文件并将其上传至黑客站点,经查这些文件和区块链或其他虚拟货币相关。
篡改网页代码
此病毒会枚举并篡改如下Web主页文件插入恶意代码,当其他用户访问被修改后的站点时会执行JS挖矿。
当打开被篡改的Web主页文件后会尝试运行hxxp[:]//js.6cs6.club/ctrl/worker2.js文件。Worker2.js使用多个开源JS加密算法解密自身代码然后执行挖矿。
创建一个空白页面,动态插入相关代码测试,可以看到Chrome的CPU直接升满。
弱口令爆破
病毒首先会根据获取的IP枚举其C类地址,然后使用如下弱口令通过WMI进行暴力破解,若登录成功则在相应机器上执行payload安装恶意WMI计划任务。
然后会随机生成一个C类IP段继续尝试爆破。
远控
根据病毒代码分析其包含如下远控指令,病毒在执行过程中会持续访问远控地址获取远控指令。
关联文件分析
Doc/XLS
两个office文件均是带有恶意宏代码的空白文件,其宏代码的功能是释放VBS脚本文件并将其写入到WMI中。
Miner32/64.exe
两个文件均是自解压文件,其在运行时会将文件释放到%tmp%/winstart文件夹中。
其中myminer.exe具有伪造的Microsoft Windows签名,借助此前所述的签名劫持,在被感染机器上签名校检可通过。
矿池信息
威尼斯432888cam产品解决方案
威尼斯432888cam病毒码版本16.457.60,云病毒码版本16.457.71,全球码版本16.457.00已经可以检测,请用户及时升级病毒码版本;
开启OSCE或DS的行为监控功能;
开启Web信誉;
使用威尼斯432888cam定制化DCT清除恶意服务项和WMI计划任务。下载链接:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/DCT/TSC_COINMINER_MALBTC/
安全建议
及时更新病毒码版本;
默认情况下禁止宏运行;
打开系统自动更新,并检测更新进行安装;
不要点击来源不明的邮件以及附件,邮件中包含的链接;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的端口及网络共享。
IOCs
矿池
pool.aigoingtokill.club:7777
URL
hxxp[:]//aigoingtokill.aigoingtokill.club
hxxp[:]//a1.6cs6.club
hxxp[:]//a1.airobotheworld.com
hxxp[:]//a1.airobotheworld.tk
hxxp[:]//rocknroll.aigoingtokill2.club
分享到微信
X