KoiMiner挖矿木马再度活跃 控制者疑似来自黑客论坛

2018-12-21 09:18:03
腾讯御见威胁情报中心再次检测到KoiMiner挖矿活动,此次发现的样本仍然针对企业SQL Server 服务器的1433端口爆破攻击,攻击成功后会首先植入Zegost远程控制木马,再向被控服务器植入挖矿木马。数据库服务器被黑客完全控制的危害十分严重,攻击者可以获得服务器数据、企业重要服务的相关信息。并以此为跳板,攻击企业内网的其他目标。

一、背景

201876日腾讯御见威胁情报中心监测到利用Apache Struts2漏洞S2-045CVE-2017-5638)高危漏洞攻击服务器植入挖矿木马netxmr4.0.exe,由于挖矿木马netxmr解密代码后以模块名“koi”加载,因此腾讯御见威胁情报中心将其命名为KoiMiner

20181115日腾讯御见威胁情报中心发现KoiMiner挖矿木马变种,该变种的挖矿木马netxmr升级到6.0版。木马作者对部分代码加密的方法来对抗研究人员调试分析,木马专门针对企业SQL Server 服务器的1433端口爆破攻击进行蠕虫式传播。

近期腾讯御见威胁情报中心再次检测到KoiMiner活动,此次的样本仍然专门针对企业SQL Server 服务器的1433端口爆破攻击,攻击成功后会首先植入Zegost远程控制木马(知名远控木马Gh0st的修改版本,安装后会导致服务器被黑客完全控制),控制机器进一步植入挖矿木马。

黑客攻击时使用的SQL爆破工具CSQL.exe加密方法与7月发现的样本一致,解密后以模块名“koi”加载执行,云端配置文件的保存方式、加密方式与7月的攻击事件中相同,采用web页面保存,通过改造的base64算法加密。

通过SQL爆破工具的解压路径“1433腾龙3.0”进行溯源,发现与攻击事件相关联的一个黑客技术论坛(腾龙技术论坛),并通过信息对比确认论指向C2地址的某个可疑域名注册者与该论坛活跃成员“*aoli**22”为同一人。同时发现了该成员在该论坛下载的挖矿木马生成器“SuperMiner v1.3.6”生成了此次传播的挖矿木马执行文件windows.exe

二、详细分析

CSQL.exe

CSQL.exe使用C#编写,代码被整体加密后保存在数组中,运行时在Main函数中调用DecryptDecompress进行解密,然后通过C#反射机制加载模块“koi”执行。

被加密的代码

解密函数Decrypt

解密后反射执行模块“koi”

Koi模块

代码主要类的功能如下:

Program:主类,程序入口

BuckUp:构造http包数据

DecodBase64:配置数据解密

DownLoadEvilAndExec:下载和执行恶意程序

Exec:执行Shellcode

GetStrHtml:从HTML页面中获取配置字符串

LoadFiles:加载外部文件

ThCrackSQL密码爆破

云端配置

CSQL.exe将云端配置保存在一个名为“永硕E盘”的数据存储空间上,运行时在类GetStrHtml里下载数据,并通过类DecoBase64类进行解密。


该数据空间可通过二级域名hxxp://用户名.ys168.com进行访问,黑客使用的地址为360sd.ys168.com


获取配置文件前先解密得到页面地址360sd.ys168.com,然后通过http请求获取页面代码,在代码中搜索标记“laczts ”找到加密字符串位置,定位到加密字符串后进行解密。

解密函数:


当前页面配置信息为:

chJVMjE6fjchJVDIyOnfN3pJwxNDMynakNzOmh0vYvGBdHA6LEyTBDy8xMDBjog2guNjExsePduMTE5ud0tSLjE5LD4XpU3B1dCAosKI5qc3ATFPFM/ZGF0Q0klAYT18MC9aTkzM4OT9tvyZp8ODASKTtb4MDpoP5oQQdHRwOhWMKTi8vMjeGhpHEzLjkRQXYr5LjI4O9s3gLjE1NgbQyjDo5MDdMkUYkwL01wmHPaBVEUttXduPSU5GLggTcy3B1dCcQo8n5qc3BvrM3q8ZG93schYfbmxvYfkXGFWQ6

解密后内容如下:

21:

22:

1433:http://108.61.119.19/put.jsp?data=

3389:

8080:http://213.99.28.154:9090/MATE-INF/put.jsp

Downlo

读取解密数据:


根据解密出的配置信息以及解析代码进行推测,配置信息可能是在攻击者针对21/22/1433/3389/8080等端口进行攻击后,提供后续植入木马的下载地址。

爆破攻击

通过start.batuser.txt(用户名)、pass.txt(密码字典)、2018sqlshellcode)作为参数传递给CSQL.exe进行攻击,并将扫描结果输出到Resutl.txt将密码爆破结果输出到out.txt


爆破使用用户名


爆破使用密码字典


Resutl.txt中可以看到攻击者在某次攻击时的扫描结果


out.txt保存了该次攻击爆破成功获得到的部分SQL sa账户弱密码

Shellcode

2018sqlSQL爆破成功后在目标机器通过SqlCommand执行的恶意脚本代码,脚本代码执行时先恢复SQL的储存过程、注册多个COM组件以及其他相关操作来准备环境,然后尝试下载植入远控木马system32.exe并启动。

准备阶段

恢复SQL的储存过程xp_cmdshellsp_addextendedproc,通过重载xpstar.dllxplog70.dllodsole70.dll恢复储存扩展,然后利用扩展函数来执行服务操作、注册表操作、文件操作、进程操作等命令行。


通过注册表写HKEY_CLASSES_ROOT\CLSID来注册以下COM对象后续待用。

Microsoft.Jet.OLEDB.4.0

JavaScript1.1

Scripting.FileSystemObject

Microsoft.XMLHTTP.1.0


尝试结束杀毒软件进程以及taskmgr.exe,结束的进程种类与11月发现的版本相同。


植入木马

采用两种方法:

1)先创建通过FTP命令下载system32.exeFTP脚本winn.dat,然后创建bat脚本winn.bat,在其中执行FTP脚本winn.dat从地址115.231.222.136下载木马到C:\WINDOWS\system32\system32.exe并通过CMD命令启动。

2)创建VBS脚本wget.vbs,在脚本中通过Microsoft.XMLHTTP组件从hxxp://115.231.222.136:8889/system32.exe下载木马到

c:\ProgramData\system32.exe c:\Users\Public\system32.exe

并通过xp_cmdshell启动。

植入木马方法一


植入木马方法二

远程控制

System32.exe是远控木马Zegost,通过在内存中解密加载PE的方式执行。


Zegost由著名远程控制木马gh0st修改而来,运行后与控制端建立连接,受远控制执行以下功能:

键盘记录;

鼠标记录;

禁用鼠标和键盘;

屏幕截图;

网络摄像头快照;

网络摄像头视频监控;

麦克风监控;

从受感染机器下载文件,或上传文件到受感染机器;

执行文件;

禁用屏幕;

枚举文件和进程;

远程shell

远程关机和重启。

与控制端xmrminer.f3322.net建立连接



接收和发送数据


检测以下杀毒软件:

"360tray.exe"
"360
安全卫士"
"360sd.exe"
"360
杀毒"
"a2guard.exe"
"a-squared
杀毒"
"ad-watch.exe"
"Lavasoft
杀毒"
"cleaner8.exe"
"The Cleaner
杀毒"
"vba32lder.exe"
"vb32
杀毒"
"MongoosaGUI.exe"
"Mongoosa
杀毒"
"CorantiControlCenter32.exe"
"Coranti2012
杀毒"
"F-PROT.EXE"
"F-PROT
杀毒"
"CMCTrayIcon.exe"
"CMC
杀毒"
"K7TSecurity.exe"
"K7
杀毒"
"UnThreat.exe"
"UnThreat
杀毒"
"CKSoftShiedAntivirus4.exe"
"Shield Antivirus
杀毒"
"AVWatchService.exe"
"VIRUSfighter
杀毒"
"ArcaTasksService.exe"
"ArcaVir
杀毒"
"iptray.exe"
"Immunet
杀毒"
"PSafeSysTray.exe"
"PSafe
杀毒"
"nspupsvc.exe"
"nProtect
杀毒"
"SpywareTerminatorShield.exe"
"SpywareTerminator
杀毒"
"BKavService.exe"
"Bkav
杀毒"
"MsMpEng.exe"
"Microsoft Security Essentials"
"SBAMSvc.exe"
"VIPRE"
"ccSvcHst.exe"
"Norton
杀毒"
"QQ.exe"
"QQ"
"f-secure.exe"
"avp.exe"
"KvMonXP.exe"
"RavMonD.exe"
"Mcshield.exe"
"egui.exe"
"NOD32"
"kxetray.exe"
"knsdtray.exe"
"
可牛杀毒"
"TMBMSRV.exe"
"avcenter.exe"
"Avira(
小红伞)"
"ashDisp.exe"
"rtvscan.exe"
"
诺顿杀毒"
"ksafe.exe"
"QQPCRTP.exe"
"QQ
电脑管家"
"Miner.exe"
"AYAgent.aye"
"patray.exe"
"
安博士"
"V3Svc.exe"
"
安博士V3"
"avgwdsvc.exe"
"AVG
杀毒"
"ccSetMgr.exe"
"QUHLPSVC.EXE"
"QUICK HEAL
杀毒"
"mssecess.exe"
"
微软杀毒"
"SavProgress.exe"
"Sophos
杀毒"
"fsavgui.exe"
"F-Secure
杀毒"
"vsserv.exe"
"remupd.exe"
"
熊猫卫士"
"FortiTray.exe"
"safedog.exe"
"
安全狗"
"parmor.exe"
"
木马克星"
"beikesan.exe"
"
贝壳云安全"
"KSWebShield.exe"
"TrojanHunter.exe"
"
木马猎手"
"GG.exe"
"adam.exe"
"
绿鹰安全精灵"
"AST.exe"
"
超级巡警"
"ananwidget.exe"
"
墨者安全专家"
"AVK.exe"
"GData"
"ccapp.exe"
"Symantec Norton"
"avg.exe"
"AVG Anti-Virus"
"spidernt.exe"
"Dr.web"
"Mcshield.exe"
"Mcafee"
"avgaurd.exe"
"Avira Antivir"
"F-PROT.exe"
"F-Prot AntiVirus"
"vsmon.exe"
"ZoneAlarm"
"avp.exee"
"Kaspersky"
"cpf.exe"
"Comodo"
"outpost.exe"
"Outpost Firewall"
"rfwmain.exe"
"kpfwtray.exe"
"FYFireWall.exe"
"MPMon.exe"
"pfw.exe"
"BaiduSdSvc.exe"
"
百度杀软"


键盘记录


下载和执行木马通过URLDownloadToFileA


下载和执行木马通过InternetOpenUrlA


挖矿

Windows矿机

黑客控制感染电脑后,会进一步植入挖矿木马phpmyadmin.exe进行挖矿获利。

phpmyadmin.exe由门罗币挖矿木马XMRig 2.8.3编译而成。


挖矿木马通过脚本xh1.bat启动,指定矿池地址为:dos22.f3322.net:8009


Windows.exe

安装为服务WinTcpAutoProxy


挖矿参数:

矿池:xmr.f2pool.com:13531

钱包:45BvSbAcUf2Gd1Su68yGWYdeciXV8bfQ3MnQKKnEHR6LKwWeyznqYGBin5FgrPLcJuaogEi7ksgCwHnWRE2Rw47YJ89jCMp


该钱包目前收益5.56XMR


Linux矿机

Linux版本的矿机,木马名称为java/sysin,分别使用矿池xmrminer.f3322.netdos22.f3322.net进行挖矿


三、溯源

论坛成员

根据御见威胁情报系统捕获到的此次SQL爆破攻击文件名“1433腾龙3.0”,尝试通过该文件名在搜索引擎进行搜索,发现来自腾龙黑客技术论坛。



并且其中某位活跃榜成员“*aoli***2”名字与C2 IP122.1**.2*.118下的域名www.b***h.top注册者名字相同,并且其资料中出生日期为1990与域名注册邮箱*********1990@126.com中透露的日期相同,资料中注册地址徐州与域名注册电话158*****522所属地址相同。因此该论坛成员与该域名拥有者为同一人。


论坛活跃成员


某成员资料


指向C2某域名



域名注册信息

矿马生成器

另外发现此次C2地址115.231.222.136下传播的挖矿木马windows.exe由腾龙技术论坛某成员传播的矿马生成器“SuperMiner”生成。并且论坛生成器发布时间为2018.11.28, 成员“*ao*in322”下载该生成器时间为2018.11.30日,C2地址115.231.222.136开始传播该挖矿木马时间为2018.12.07,从时间上看也吻合。


腾龙技术论坛发布矿马生成器的帖子时间


挖矿木马生成器

“*aoli**2”下载该生成器时间

生成挖矿木马开始传播时间


捕获木马与论坛木马对比

四、总结

从最终溯源得到线索来看,“KoiMiner”系列攻击事件应该是某技术论坛资深成员或团队所为,该成员利用学到的远程攻击技术攻击并控制互联网上用户的机器作为肉鸡,并植入挖矿木马谋取收益。

网民学习网络安全技术应用于正当用途,利用违法手段入侵企业网络,并利用他人计算机系统挖矿已触犯国家法律。

五、安全建议

1.加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略 ,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。

2.修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。

3.使用腾讯御知网络空间风险雷达(网址:https://s.tencent.com/product/yuzhi/index.html)进行风险扫描和站点监控。

4.网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。

5.企业用户可在服务器部署腾讯御点终端安全管理系统防范此类病毒入侵。


六、Iocs

C&C

122.114.28.118:1004

IP

115.231.222.136

122.114.28.118

108.61.119.19

213.99.28.154

域名

360sd.ys168.com

xmrminer.f3322.net

dos22.f3322.net

dos2.f3322.net

矿池:

xmrminer.f3322.net:8008

dos22.f3322.net:8009

xmr.f2pool.com:13531

钱包:

45BvSbAcUf2Gd1Su68yGWYdeciXV8bfQ3MnQKKnEHR6LKwWeyznqYGBin5FgrPLcJuaogEi7ksgCwHnWRE2Rw47YJ89jCMp

URL

hxxp://115.231.222.136:8889/addin.exe

hxxp://115.231.222.136:8889/addins.exe

hxxp://115.231.222.136:8889/system32.exe

hxxp://115.231.222.136:8889/windows.exe

hxxp://108.61.119.19/put.jsp?data=

hxxp://213.99.28.154:9090/MATE-INF/put.jsp

md5

14e43e3e3a47207ac8435c89765c4718

3bc6eff1693b9c9a7bbe3cf7b7bc5eb3

442e84655bdb20c076d427ceef6c996e

05502d185a887173f380e631589a9c1a

ce3f2be3940864c23acbd7bc7f924538

3156f3649aea064ab2e3d5533c4a685e

e98611ab595c05271793e7c7375004ee

8aa162fa6c1ee0f40bc1c71028ad799a

1ecc0ce02bc9608585534d27d7f4a031

79bcc52956dc7455e956b5dcb7bbd226

参考链接:

https://mp.weixin.qq.com/s/poLfJNd08mMMtc_Hx6PGEg

https://mp.weixin.qq.com/s/powagsNxj4vWsO1YKQbdVA

最新资讯