WMAMiner挖礦蠕蟲實例分析

這篇文章給大家介紹WMAMiner挖礦蠕蟲實例分析，內(nèi)容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

概述

蘭云科技銀河實驗室在多個監(jiān)測點用“蘭眼下一代威脅感知系統(tǒng)”檢測到多起同類未知威脅事件，殺毒軟件檢測率非常低，經(jīng)過分析發(fā)現(xiàn)這是某個挖礦僵尸網(wǎng)絡的肉雞更新程序，為了躲避殺毒軟件查殺，特地將主控程序加密并放到資源中。樣本通過MS17-010（永恒之藍）漏洞進行傳播，定時和C&C進行連接接受命令和更新模塊，主要目的為挖掘門羅幣，基于挖礦木馬的典型行為，我們將此蠕蟲組建的僵尸網(wǎng)絡命名為WMAMiner botnet。

蘭眼下一代威脅感知系統(tǒng)檢測截圖    

VirusTotal檢測截圖    

0x1 釋放主控樣本

通過分析發(fā)現(xiàn)僵尸網(wǎng)絡擁有x86和x64平臺的惡意組件，這里以x86平臺作為分析，樣本首先獲取系統(tǒng)目錄并和下面字符串拼接，拼接出如下:

C:\WINDOWS\system32\EnrollCertXaml.dll

C:\WINDOWS\system32\wmassrv.dll

C:\WINDOWS\system32\WMASTrace.ini

首先刪除上面三個文件

之后獲取資源，創(chuàng)建并寫入文件C:\WINDOWS\system32\EnrollCertXaml.dll中

   
這個文件并不是一個可執(zhí)行文件

先是讀入文件內(nèi)容然后解密將解密的內(nèi)容寫入C:\WINDOWS\system32\wmassrv.dll中

可以發(fā)現(xiàn)解密后是一個可執(zhí)行文件

之后是獲取C:\WINDOWS\system32\svchost.exe的文件時間，并設置成wmassrv.dll、EnrollCertXaml.dll的文件時間

可以看到這樣文件的修改時間就跟系統(tǒng)其他文件的修改時候大致相同了，對主機檢查起到一定的迷惑效果

之后便是設置wmassrv.dll為服務程序，并設置持久化

   
   
最后刪除自身

0x2 主控模塊

主控模塊流程圖

作為服務的主控模塊，會首先創(chuàng)建C:\WINDOWS\system32\WMASTrace.ini，并寫入一個加號

會先停止一些服務，一些是之前僵尸網(wǎng)絡留下的服務

在初始化之后，便是開啟多線程，每個線程都是一個模塊

0x2.1 更新模塊

每5個小時連接 sand.lcones.com和plam.lcones.com 兩個地址    

如果連接成功，樣本會首先連接sand.lcones.com/resource    

如果有內(nèi)容會下載plam.lcones.com/modules.dat     

如果返回值等于200

寫入EnrollCertXaml.dll 文件中

0x2.2 C&C通信模塊

 本樣本共有兩個C&C地址，一個是通過http協(xié)議進行通信，一個是通過tcp協(xié)議進行通信

0x2.2.1 HTTP 通信

通信地址為tecate.traduires.com,沒隔5隔小時連接一次

收集系統(tǒng)信息    

拼接成如下圖所示，并發(fā)送    

通過返回數(shù)據(jù)解析有下面三個命令

命令 0 啟動某個進程

命令1 下載并執(zhí)行 通過regsvr32.exe

   

命令2 下載到臨時文件夾并執(zhí)行

0x2.2.2 TCP通信

TCP通信模塊也是5個小時連接一次

連接的域名為split.despcartes.tk，有趣的是在這里面做了些間接調(diào)用，隱藏了些關(guān)鍵函數(shù)

進行連接，端口為8080

連接成功接收數(shù)據(jù)

收集的發(fā)送系統(tǒng)信息

0x2.3 挖礦模塊

釋放TasksHostServices.exe 經(jīng)過分析這個是開源門羅幣挖掘工具https://github.com/xmrig/xmrig/releases

通過以下參數(shù)進行啟動

0x2.4 傳播模塊 

釋放C:\WINDOWS\SpeechsTracing\spoolsv.exe  并執(zhí)行，該模塊會首先釋放Crypt,而這個其實是一個ZIP壓縮包

解壓縮后我們發(fā)現(xiàn)是NSA泄露的漏洞利用包

通過掃描內(nèi)網(wǎng)445端口，進行傳播

配置文件

傳播成功后，會將x86.dll或者64.dll作為payload,繼續(xù)看看x86.dll的功能

首先會監(jiān)聽 52137端口

而這時spoolsv.exe會讀取EnrollCertXaml.dll并連接并發(fā)送    

X86接收EnrollCertXaml.dll并解密出wmassrv.dll 注冊成服務 開始下一輪傳播    

0x2.5防止停止模塊

樣本還是實時查看電腦中是否開啟了任務管理器，如果開啟，則會關(guān)閉

0x2.6 web服務器模塊

會安裝 開源WebHost\\mongoose工具，作為服務器，監(jiān)聽  63257端口    

如果連接成功，則會發(fā)送EnrollCertXaml.dll    

近年隨著區(qū)塊鏈技術(shù)的興起，區(qū)塊鏈幣的流行，黑客也越來越集中關(guān)注挖礦帶來的經(jīng)濟利益，與之對應的挖礦類威脅越來越嚴重。此類木馬在隱蔽性強，主動內(nèi)網(wǎng)傳播，建議客戶部署相應安全設備，及時打好補丁，關(guān)閉445等端口，提前做好挖礦類威脅的安全防范。

關(guān)于WMAMiner挖礦蠕蟲實例分析就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。