如何進(jìn)行FakeMsdMiner挖礦病毒的分析

如何進(jìn)行FakeMsdMiner挖礦病毒的分析，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

亞信安全截獲新型挖礦病毒FakeMsdMiner，該病毒利用永恒之藍(lán)，永恒浪漫等NSA漏洞進(jìn)行攻擊傳播。該病毒具有遠(yuǎn)控功能，可以獲取系統(tǒng)敏感信息。其通過修改HOST文件方式截獲其他挖礦病毒的成果。由于該病毒的挖礦程序偽裝成微軟系統(tǒng)服務(wù)msdtc.exe進(jìn)行啟動(dòng)，所以我們將其命名為FakeMsdMiner。

攻擊流程

詳細(xì)分析

內(nèi)網(wǎng)滲透模塊分析（windowsd.exe程序分析）

此程序會(huì)在C:\WINDOWS\Fonts\Mysql目錄釋放多個(gè)文件，其中包括BAT腳本處理文件、端口掃描文件、永恒之藍(lán)漏洞攻擊文件、payload以及下載程序wget。

mysql.bat腳本文件：

該腳本主要功能是刪除感染過該病毒的系統(tǒng)中存在的舊服務(wù)，安裝并開啟新的服務(wù)MicrosoftMysql，并添加計(jì)劃任務(wù)cmd.bat。

cmd.bat腳本文件

該腳本主要功能是端口和IP掃描，通過查詢固定地址尋找出口IP和本機(jī)IP，獲取IP地址的前2段，拼接后面2段地址，然后掃描445和450端口，將結(jié)果保存在ips.txt中，啟動(dòng)load.bat腳本進(jìn)行攻擊。

load.bat腳本：

該腳本主要功能是運(yùn)行永恒之藍(lán)、永恒浪漫等NSA漏洞攻擊程序，進(jìn)行內(nèi)網(wǎng)滲透。

挖礦程序模塊（mm.exe文件分析）

該模塊同樣會(huì)釋放很多文件，其中包括挖礦程序、注入系統(tǒng)的DLL文件以及遠(yuǎn)控木馬程序。通過調(diào)用1.bat腳本，依次啟動(dòng)和運(yùn)行這些程序。

通過修改LoadAppInit_DLLs注冊(cè)表項(xiàng)，將DLL文件注入到相應(yīng)的系統(tǒng)中。

將挖礦程序復(fù)制到msdtc.exe文件中，偽裝成微軟系統(tǒng)服務(wù)文件msdtc，并為其安裝服務(wù)啟動(dòng)門羅幣挖礦，其使用的礦機(jī)版本為：XMRig 2.14.1。

關(guān)閉防火墻

刪除與本次病毒相關(guān)的文件 temp2.exe(本模塊文件)和temp3.exe(漏洞攻擊模塊母體文件)。

在host文件中追加相關(guān)域名指向139.180.214.175，該地址為本次挖礦的礦池IP, 挖礦木馬試圖通過將其他礦池映射到自己的礦池對(duì)應(yīng)的ip地址，來(lái)劫持其他挖礦程序或木馬的收益。

遠(yuǎn)程控制木馬模塊（work.exe文件分析）

首先從資源截取釋放病毒核心程序，然后添加注冊(cè)表，開啟服務(wù)。我們使用資源工具也同樣可以看到，該資源區(qū)段其實(shí)就是一個(gè)PE文件。

值得注意的是，我們?cè)诜治鰰r(shí)發(fā)現(xiàn)了Gh0st字樣，Gh0st是著名的開源遠(yuǎn)程控制程序，我們猜測(cè)該遠(yuǎn)控模塊很有可能是用Gh0st遠(yuǎn)控程序修改而來(lái)。

Dump出資源模塊，我們分析發(fā)現(xiàn)其主要功能就是接受不同指令執(zhí)行不同的功能。這也是常見的遠(yuǎn)控功能。

其中包括錄音功能：

錄制屏幕功能：

在系統(tǒng)中提權(quán)，獲取相關(guān)進(jìn)程等信息：

獲取機(jī)器窗口信息：

獲取機(jī)器驅(qū)動(dòng)器信息

獲取機(jī)器屏幕信息：

獲取日志文件：

將收集的信息發(fā)送至遠(yuǎn)端：

關(guān)聯(lián)性分析

我們?cè)诜治鲞h(yuǎn)控時(shí)發(fā)現(xiàn)了Gh0st字樣，Gh0st是之前一款較為流行的開源遠(yuǎn)程控制程序，目前使用Gh0st以獲取遠(yuǎn)程訪問和控制的主要群體是“鐵虎（Iron Tiger）”，自稱來(lái)自中國(guó)的APT組織。

我們通過對(duì)Gh0st木馬導(dǎo)入函數(shù)分析，可知該程序從Winsock庫(kù)中導(dǎo)入了很多函數(shù)，這也意味著該程序可能與遠(yuǎn)程服務(wù)器建立連接或者從遠(yuǎn)端服務(wù)器接收連接。同樣也使用了winmm庫(kù)函數(shù)，此函數(shù)wave與錄音操作有關(guān)系。在本次遠(yuǎn)控核心代碼中也同樣使用了該庫(kù)的函數(shù)，用于將錄音信息發(fā)送至遠(yuǎn)端服務(wù)器。

通過導(dǎo)入的庫(kù)，我們看到一個(gè)msvfw32.dll文件被導(dǎo)入?？雌饋?lái)這個(gè)DLL為該程序提供了視頻功能，這也與我們本次遠(yuǎn)控程序中將錄屏信息發(fā)送至遠(yuǎn)端服務(wù)器相呼應(yīng)。

們將兩者對(duì)比，他們都使用了很多相同的庫(kù)函數(shù)，以便實(shí)現(xiàn)相應(yīng)的操作。

通過代碼我們也發(fā)現(xiàn)，他們的確有很多相似的地方，都是通過switch語(yǔ)句接收不同的指令，進(jìn)而完成不同的功能。例如錄音功能、錄屏功能等。

通過以上分析我們認(rèn)為，本次挖礦程序的遠(yuǎn)控代碼很大程度上是通過Gh0st程序修改而來(lái)。

解決方案

利用系統(tǒng)防火墻高級(jí)設(shè)置阻止向445端口進(jìn)行連接（該操作會(huì)影響使用445端口的服務(wù)）。

盡量關(guān)閉不必要的文件共享；

采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼；

打開系統(tǒng)自動(dòng)更新，并檢測(cè)更新進(jìn)行安裝。

系統(tǒng)打上MS17-010對(duì)應(yīng)的Microsoft Windows SMB 服務(wù)器安全更新 (4013389)補(bǔ)丁程序。

看完上述內(nèi)容，你們掌握如何進(jìn)行FakeMsdMiner挖礦病毒的分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！