威尼斯432888cam(中国集团)有限公司-企业百科


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

【安全通告】小心!你的web服务正在被植入挖矿病毒
发布时间 :2021年01月12日
分享:

安全通告


2021年伊始,威尼斯432888cam截获了一款复合型挖矿病毒,其不仅通过感染U盘方式传播,还使用了基于WMI的暴力破解进行传播。在传播过程中病毒会修改自身代码并将所有信息保存在WMI计划任务中。该病毒不仅在被感染主机上执行挖矿,还会窃取与数字货币相关的文件,具有远控功能。此外,还会篡改Web主页文件,植入用于JS挖矿的代码,本文就此病毒进行详细分析。


攻击流程


f6dcc54cb0f0b1edf1606ae40629a220.jpg


病毒详细分析


此次截获的病毒文件是一个高度混淆的VBS文件,其第一行是加密后的主要恶意代码,2-5行是解密算法。


7533b7e38b38528c497c5db036f0f85d.jpg


安全研究人员首先提取第2~3行代码,修改后运行获取其解密算法函数,根据代码分析可以判断其解密函数是一个自定义的Base64 decode方法,通过与网上公开算法对比,安全研究人员可以看到其主要是修改了Base64的索引对应关系:


c945dd0f0d88d29072180f3ec001f7ee.jpg


之后逐步提取剩余代码进行解密,最终可以获取3个解密方法。


6714874d10281a4d36b7c4b757db0ec4.jpg


安全研究人员对首行主要代码进行解密最终得到一个包含多个函数的VBS主体文件。其在运行时首先会将自身代码写入到WMI中并定期执行。


297df1ad3015328cf2454bd5153f1d06.jpg


随后获取随机字符修改自身代码后备份到如下目录:

%TMP%/DM6331.TMP %TMP

%/winstart.vbs


f5d56f5f0d85aa81fd43836a08a2613d.jpg


然后获取最新可用C2地址与挖矿配置信息,相关地址均使用自定义Base64算法加密。


fd9203c8b49a0ca0af318ad9cafa6ee5.jpg


c91044f7a4b2c6eb1719b912f11ad5dc.jpg


获取可用C2地址并尝试获取最新配置。


15f9d3aed972daffc47926814be06544.jpg


65239351c71139deefb3683cfb970407.jpg


相关文件整理后如下,后续这些文件会按需安装到用户机器上。


55f8cd7665870bdd5785e49db96c4e62.jpg


判断用户机器IP地址是否是内网地址,如果不是内网地址则修改防火墙打开46789端口。


2fff7ae03a6fac73267720ee36bfe68b.jpg


Web对应的文件目前暂时无法下载,可能是恶意软件作者暂时下架了此文件,根据代码推测其功能是用于远控指令下发。尝试检测主机office版本并修改宏安全设置,允许运行所有宏。


b53ce0f14de426b5ff89ba3356ddaf56.jpg


根据系统位数下载不同的挖矿程序,并结束竞争对手挖矿程序。


56a2304a11c9aba556add67bdd6659ac.jpg


8b96d107969d168f9491f304cc90b9ab.jpg


其会进行存活检测,一旦发现自身挖矿程序被删除则重新下载执行。


4fa77b4093ad0db2c20b018a88ab7e6b.jpg


下载恶意office文件并将其拷贝至C:\Users\{AllUser}特定目录并创建快捷方式。


b4ef785d6fbb9fc9555ff843d7749ce6.jpg


签名劫持

通过修改注册表实现签名验证劫持。


3d2b44de373be832d047f27725691541.jpg


感染可移动磁盘

监控磁盘信息,当新插入磁盘或磁盘属性为可移动硬盘时,将自身拷贝到磁盘RECYCL目录下并设为隐藏,此外还会隐藏根目录下原文件夹并创建具有文件夹图标的快捷方式。


8bd25c77da2f9dd72e60d970ca653ab9.jpg


窃取虚拟货币信息

此病毒还会枚举如下文件并将其上传至黑客站点,经查这些文件和区块链或其他虚拟货币相关。


0975e278fd29419f400ccf54a0910ead.jpg


a02dc6f8954e0042287f15fde8a77468.jpg


篡改网页代码

此病毒会枚举并篡改如下Web主页文件插入恶意代码,当其他用户访问被修改后的站点时会执行JS挖矿。


b4cfb0608c88c651ad6674be395b18f3.jpg


52a4f859a44b37057063ff1948fde58e.jpg


当打开被篡改的Web主页文件后会尝试运行hxxp[:]//js.6cs6.club/ctrl/worker2.js文件。Worker2.js使用多个开源JS加密算法解密自身代码然后执行挖矿。


34b823f459db2a5e811a2493542f1059.jpg


创建一个空白页面,动态插入相关代码测试,可以看到Chrome的CPU直接升满。


04d4083d3f913e83cebd6a1594f33b38.jpg


弱口令爆破

病毒首先会根据获取的IP枚举其C类地址,然后使用如下弱口令通过WMI进行暴力破解,若登录成功则在相应机器上执行payload安装恶意WMI计划任务。


fefa778e34174e8472464a77a189ca49.jpg


6064885d3e560c389b81016c662332be.jpg


a33c19a5acfd542184e1c3b1da9b9f3a.jpg


然后会随机生成一个C类IP段继续尝试爆破。


43c4481a881dfb9f831ebe8b128abb2d.jpg


远控

根据病毒代码分析其包含如下远控指令,病毒在执行过程中会持续访问远控地址获取远控指令。


d2fbdb65b95d5a9c8ace6113897337a8.jpg


c5d12327cce04e1fcab7c375b11e9084.jpg


关联文件分析


Doc/XLS


两个office文件均是带有恶意宏代码的空白文件,其宏代码的功能是释放VBS脚本文件并将其写入到WMI中。


394914acee2ced69ff7e1ad9fac56c21.jpg


5e8b4778307b7e4f1d9697ec33c4cf0a.jpg


Miner32/64.exe

两个文件均是自解压文件,其在运行时会将文件释放到%tmp%/winstart文件夹中。


f2682ee9999f67247cea0ab5212d567a.jpg


其中myminer.exe具有伪造的Microsoft Windows签名,借助此前所述的签名劫持,在被感染机器上签名校检可通过。


1e602296bd48072a247fb1f3d384771c.jpg


矿池信息


1de6d31cea053e1d07bbf8c1374be6d4.jpg


威尼斯432888cam产品解决方案


威尼斯432888cam病毒码版本16.457.60,云病毒码版本16.457.71,全球码版本16.457.00已经可以检测,请用户及时升级病毒码版本;

开启OSCE或DS的行为监控功能;

开启Web信誉;

使用威尼斯432888cam定制化DCT清除恶意服务项和WMI计划任务。下载链接:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/DCT/TSC_COINMINER_MALBTC/


安全建议


及时更新病毒码版本;

默认情况下禁止宏运行;

打开系统自动更新,并检测更新进行安装;

不要点击来源不明的邮件以及附件,邮件中包含的链接;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

尽量关闭不必要的端口及网络共享。


IOCs


bdf58fff07475406f919319a9fcecf42.jpg


矿池

pool.aigoingtokill.club:7777


URL

hxxp[:]//aigoingtokill.aigoingtokill.club

hxxp[:]//a1.6cs6.club

hxxp[:]//a1.airobotheworld.com

hxxp[:]//a1.airobotheworld.tk

hxxp[:]//rocknroll.aigoingtokill2.club


分享到微信
X