自2018年12月“驱动人生”挖矿木马爆发以来,一直处于活跃状态,更新版本高达20余次,该木马感染量之大,传播速度之快,可称为国内挖矿排名“第一”的木马,“驱动人生”挖矿木马利用“驱动人生”升级通道,由开始的有文件落地的单一可执行文件版本,到Python版的exe文件版本,再到PowerShell无文件攻击版本,由单一的攻击手法升级为漏洞攻击,域内渗透,暴力破解等,利用“永恒之蓝”高危漏洞传播,在多次变种之后,此木马又集成了Mimikatz黑客工具(用于窃取系统密码)以及Microsoft SQL Server弱口令扫描工具模块进行传播,最终获取权限下载云控木马,在被感染电脑终端进行门罗币挖矿。
图2-1 挖矿攻击流程图
-
- 木马主体分析
- MtwBVJRF.exe木马文件分析
-
表2-2 样本标签
病毒名称
Trojan/Rogue.Uavw
MD5
492FB2BFBC66C762A4764E2621C15B48
文件大小
6.64 MB
文件格式
EXE
威胁情报检测结果
恶意标签
释放路径
C:\Windows
该木马文件为python生成exe文件,使用pyinstxtractor.py工具反编译为python源码,分析主体行为如下:
多次使用cmd命令结束挖矿相关进程、删除挖矿相关程序,如图2-2所示。
图2-2 挖矿相关进程及文件删除
存在常用IP段列表、系统用户名列表、系统用户密码字典、MSSQL账号及密码字典,如图2-3所示。
图2-3 账号密码字典
该木马文件内集成了Mimikatz黑客工具,主要功能为窃取系统账号密码,如图2-4所示。
图2-4 Mimikatz黑客工具
执行木马程序后释放恶意文件svchost.exe,设置windows防火墙开启65533端口,设置v4tov4(即ipv4代理),同时开启端口转发,将65533端口的流量转发到1.1.1.1地址的53端口,如图2-5所示。
图2-5 设置代理及端口转发
创建计划任务Bluetool,启动程序为运行powershell脚本命令,主要功能为下载驱动人生木马,创建计划任务Autocheck,启动程序为请求驱动人生网址http://w.beahh.com/,如图2-6所示。
图2-6 创建计划任务及功能
获取服务器权限后使用ipconfig /all命令查询IP的主机信息,DNS信息,物理地址信息,DHCP服务器信息等,使用netstat -na命令查询本地地址端口开放情况及连接情况,并将查询的结果输出,如图2-7所示。
图2-7 主机信息查询
攻击系统类型为win7_32位、win7_64位、win8_32位、win_64位等,如图2-8所示。
图2-8 攻击系统类型
通过扫描445端口开放情况,使用永恒之蓝漏洞进行攻击,如下图2-9所示。
图2-9 扫描445端口开放情况及攻击
-
使用psexec远程控制工具执行以下代码,如图2-10所示。
图2-10 psexec远程工具执行代码
通过扫描1433端口开放情况,使用账号密码字典进行暴力破解,破解成功将使用主机IP、1433端口、账号及密码进行连接,如图2-11所示。
图2-11 扫描1433端口开放情况及连接
MSSQL数据库成功连接后使用cmd命令执行shell添加管理员用户k8h3d、windows防火墙增加mssql(1433端口)入站规则,如图2-12所示。
图2-12 获取权限后添加用户及防火墙规则
获取权限后释放svchost.exe文件、创建计划任务Bluetool(启动程序为powershell命令下载驱动人生木马文件并执行),如图2-13所示。
图2-13 释放恶意文件及创建计划任务
通过网络偏移判定操作系统,如图2-14所示。
图2-14 操作系统判定
使用net share命令查询共享资源,且未查询到共享资源将在C://windows/temp路径下创建文件installed.exe、msInstall.exe,如图2-15所示。
图2-15 查询系统共享资源
创建p.bat脚本,功能与上述svchost.exe相同,并使用cmd命令运行installed.exe,如图2-16所示。
图2-16 创建bat脚本及运行恶意文件
创建恶意服务,主要功能为启用木马程序,如图2-17所示。
图2-17 创建恶意服务
运行该木马文件释放m2.ps1,使用powershell执行m2.ps1后释放Mimikatz抓取windows系统账号密码的配置文件mkatz.ini,如图2-18所示。
图2-18 释放恶意脚本并执行
通过cmd命令查看本地管理员信息及用户k8h3d信息,通过wmic ntdomain get domainname命令检测是否加域,如果加域,将域的用户名和密码加入到密码字典中。如图2-19所示。
图2-19 查询本地管理员及用户
执行完成脚本m2.ps1后,将扫描的结果存入txt文件中,包括存活IP、域、HASH值、1433端口等信息,如图2-20所示。
图2-20 m2.ps1扫描结果
-
-
- MtwBVJRF.exe执行行为分析
-
-
执行MtwBVJRF.exe后主要行为会释放该木马文件的加密后的python源码,文件后缀为pyd,如图2-21所示。
图2-21 释放木马python源码
使用工具进行分析MtwBVJRF.exe进程,发现执行文件后打开注册表键,并读取命令行程序的宿主进程,如图2-22所示。
图2-22 MtwBVJRF.exe行为分析
调用cmd.exe、WMIC.exe运行命令wmic ntdomain get domainname,该命令的功能为自动加域及用户资料迁移,如图2-23所示。
图2-23 使用命令实现自动加域
调用cmd.exe、net.exe、net1.exe运行命令net localgroup administrators,该命令的功能为查询管理员用户,运行命令net group “domain admins” /domain,该命令的功能为查询域管理员,如图2-24所示。
图2-24 使用命令查询管理员用户及域管理员
调用cmd.exe创建m2.ps1文件并将数据写入该文件,运行命令net group “domain admins” /domain,该命令的功能为查询域管理员,修改m2.ps1文件并创建powershell进程,如图2-25所示。
图2-25 写入文件并查询数据修改文件
运行命令C:\Windows\SysNative\WindowsPowerShell\v1.0\powershell.exe -exec bypass "import-module C:\Users\Desktop\m2.ps1,主要功能为执行m2.ps1文件,部分行为是遍历目录,如图2-26所示。
图2-26 执行powershell脚本
调用powershell.exe运行命令postgres.exe –forkbackend 4104启动postgres.exe(PostgreSQL数据库管理程序)进程,部分行为是遍历目录,如图2-27所示。
图2-27 启动数据库进程及遍历目录
创建mkatz.ini文件并写入数据,主要功能为windows系统密码抓取工具mimikatz运行后保存的主机系统信息及账户密码的文件,如图2-28所示。
图2-28 创建mkatz.ini文件
调用cmd.exe、ipconfig.exe、NETSTAT.EXE运行命令ipconfig /all,该命令的功能为查看当前电脑网卡的IP信息、DNS信息、DHCP服务器信息等,运行命令netstat -an,该命令的功能为显示所有当前的网络连接,包括TCP和UDP连接,如图2-29所示。
图2-29 使用命令查询系统信息及网络连接
-
-
- m2.ps1脚本文件分析
-
-
表2-3 脚本标签
病毒名称
Trojan/Generic.Sgil
MD5
7AC4E48CD81B8595AADE2FF6423494E2
文件大小
1.81MB
文件格式
PS1
威胁情报检测结果
恶意标签
释放路径
C:\Windows
主体行为如下:
1、攻击者获取系统权限后,执行木马程序MtwBVJRF.exe并释放脚本m2.ps主要功能为修改代理配置、查询计算机名、查询系统信息(内存以及系统账号密码)等,如图2-30所示。
-
图2-30 脚本m2.ps1功能
-
-
- mkatz.ini配置文件分析
-
-
表2-4 配置文件分析
MD5
8E114D257F42C66A7ED9B13B0B0B2E23
文件大小
9.41KB
文件格式
INI
释放路径
C:\Windows
主体功能如下:
1、mkatz.ini为Mimikatz系统密码抓取工具执行后的结果文件,其中包括系统信息、用户名、HASH值等敏感信息,如图2-31所示。
图2-31 mkatz.ini结果文件
处置措施
-
结束恶意进程MtwBVJRF.exe
- 删除目录C:\Windows\下恶意文件MtwBVJRF.exe、dxBy.exe、mkatz.ini、m2.ps1,
- 删除C:\Windows\Temp下恶意文件svchost.exe;
- 删除恶意计划任务dxBy、McWFbK、MLgHQH、MtwBVJRF;
- 修改服务器弱口令
717
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
