产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
KoiMiner挖矿木马再度活跃 控制者疑似来自黑客论坛
2018-12-21 01:18:03
一、背景
2018年7月6日腾讯御见威胁情报中心监测到利用Apache Struts2漏洞S2-045(CVE-2017-5638)高危漏洞攻击服务器植入挖矿木马netxmr4.0.exe,由于挖矿木马netxmr解密代码后以模块名“koi”加载,因此腾讯御见威胁情报中心将其命名为KoiMiner。
2018年11月15日腾讯御见威胁情报中心发现KoiMiner挖矿木马变种,该变种的挖矿木马netxmr升级到6.0版。木马作者对部分代码加密的方法来对抗研究人员调试分析,木马专门针对企业SQL Server 服务器的1433端口爆破攻击进行蠕虫式传播。
近期腾讯御见威胁情报中心再次检测到KoiMiner活动,此次的样本仍然专门针对企业SQL Server 服务器的1433端口爆破攻击,攻击成功后会首先植入Zegost远程控制木马(知名远控木马Gh0st的修改版本,安装后会导致服务器被黑客完全控制),控制机器进一步植入挖矿木马。
黑客攻击时使用的SQL爆破工具CSQL.exe加密方法与7月发现的样本一致,解密后以模块名“koi”加载执行,云端配置文件的保存方式、加密方式与7月的攻击事件中相同,采用web页面保存,通过改造的base64算法加密。
通过SQL爆破工具的解压路径“1433腾龙3.0”进行溯源,发现与攻击事件相关联的一个黑客技术论坛(腾龙技术论坛),并通过信息对比确认论指向C2地址的某个可疑域名注册者与该论坛活跃成员“*aoli**22”为同一人。同时发现了该成员在该论坛下载的挖矿木马生成器“SuperMiner v1.3.6”生成了此次传播的挖矿木马执行文件windows.exe。
二、详细分析
CSQL.exe
CSQL.exe使用C#编写,代码被整体加密后保存在数组中,运行时在Main函数中调用Decrypt、Decompress进行解密,然后通过C#反射机制加载模块“koi”执行。
被加密的代码
解密函数Decrypt
解密后反射执行模块“koi”
Koi模块
代码主要类的功能如下:
Program:主类,程序入口
BuckUp:构造http包数据
DecodBase64:配置数据解密
DownLoadEvilAndExec:下载和执行恶意程序
Exec:执行Shellcode
GetStrHtml:从HTML页面中获取配置字符串
LoadFiles:加载外部文件
ThCrack:SQL密码爆破
云端配置
CSQL.exe将云端配置保存在一个名为“永硕E盘”的数据存储空间上,运行时在类GetStrHtml里下载数据,并通过类DecoBase64类进行解密。
该数据空间可通过二级域名hxxp://用户名.ys168.com进行访问,黑客使用的地址为360sd.ys168.com
获取配置文件前先解密得到页面地址360sd.ys168.com,然后通过http请求获取页面代码,在代码中搜索标记“laczts ”找到加密字符串位置,定位到加密字符串后进行解密。
解密函数:
当前页面配置信息为:
chJVMjE6fjchJVDIyOnfN3pJwxNDMynakNzOmh0vYvGBdHA6LEyTBDy8xMDBjog2guNjExsePduMTE5ud0tSLjE5LD4XpU3B1dCAosKI5qc3ATFPFM/ZGF0Q0klAYT18MC9aTkzM4OT9tvyZp8ODASKTtb4MDpoP5oQQdHRwOhWMKTi8vMjeGhpHEzLjkRQXYr5LjI4O9s3gLjE1NgbQyjDo5MDdMkUYkwL01wmHPaBVEUttXduPSU5GLggTcy3B1dCcQo8n5qc3BvrM3q8ZG93schYfbmxvYfkXGFWQ6
解密后内容如下:
21:
22:
1433:http://108.61.119.19/put.jsp?data=
3389:
8080:http://213.99.28.154:9090/MATE-INF/put.jsp
Downlo
读取解密数据:
根据解密出的配置信息以及解析代码进行推测,配置信息可能是在攻击者针对21/22/1433/3389/8080等端口进行攻击后,提供后续植入木马的下载地址。
爆破攻击
通过start.bat将user.txt(用户名)、pass.txt(密码字典)、2018sql(shellcode)作为参数传递给CSQL.exe进行攻击,并将扫描结果输出到Resutl.txt将密码爆破结果输出到out.txt。
爆破使用用户名
爆破使用密码字典
在Resutl.txt中可以看到攻击者在某次攻击时的扫描结果
在out.txt保存了该次攻击爆破成功获得到的部分SQL sa账户弱密码
Shellcode
2018sql为SQL爆破成功后在目标机器通过SqlCommand执行的恶意脚本代码,脚本代码执行时先恢复SQL的储存过程、注册多个COM组件以及其他相关操作来准备环境,然后尝试下载植入远控木马system32.exe并启动。
准备阶段
恢复SQL的储存过程xp_cmdshell和sp_addextendedproc,通过重载xpstar.dll、xplog70.dll、odsole70.dll恢复储存扩展,然后利用扩展函数来执行服务操作、注册表操作、文件操作、进程操作等命令行。
通过注册表写HKEY_CLASSES_ROOT\CLSID来注册以下COM对象后续待用。
Microsoft.Jet.OLEDB.4.0
JavaScript1.1
Scripting.FileSystemObject
Microsoft.XMLHTTP.1.0
尝试结束杀毒软件进程以及taskmgr.exe,结束的进程种类与11月发现的版本相同。
植入木马
采用两种方法:
1)先创建通过FTP命令下载system32.exe的FTP脚本winn.dat,然后创建bat脚本winn.bat,在其中执行FTP脚本winn.dat从地址115.231.222.136下载木马到C:\WINDOWS\system32\system32.exe并通过CMD命令启动。
2)创建VBS脚本wget.vbs,在脚本中通过Microsoft.XMLHTTP组件从hxxp://115.231.222.136:8889/system32.exe下载木马到
c:\ProgramData\system32.exe 或c:\Users\Public\system32.exe
并通过xp_cmdshell启动。
植入木马方法一
植入木马方法二
远程控制
System32.exe是远控木马Zegost,通过在内存中解密加载PE的方式执行。
Zegost由著名远程控制木马gh0st修改而来,运行后与控制端建立连接,受远控制执行以下功能:
键盘记录;
鼠标记录;
禁用鼠标和键盘;
屏幕截图;
网络摄像头快照;
网络摄像头视频监控;
麦克风监控;
从受感染机器下载文件,或上传文件到受感染机器;
执行文件;
禁用屏幕;
枚举文件和进程;
远程shell;
远程关机和重启。
与控制端xmrminer.f3322.net建立连接
接收和发送数据
检测以下杀毒软件:
"360tray.exe"
"360安全卫士"
"360sd.exe"
"360杀毒"
"a2guard.exe"
"a-squared杀毒"
"ad-watch.exe"
"Lavasoft杀毒"
"cleaner8.exe"
"The Cleaner杀毒"
"vba32lder.exe"
"vb32杀毒"
"MongoosaGUI.exe"
"Mongoosa杀毒"
"CorantiControlCenter32.exe"
"Coranti2012杀毒"
"F-PROT.EXE"
"F-PROT杀毒"
"CMCTrayIcon.exe"
"CMC杀毒"
"K7TSecurity.exe"
"K7杀毒"
"UnThreat.exe"
"UnThreat杀毒"
"CKSoftShiedAntivirus4.exe"
"Shield Antivirus杀毒"
"AVWatchService.exe"
"VIRUSfighter杀毒"
"ArcaTasksService.exe"
"ArcaVir杀毒"
"iptray.exe"
"Immunet杀毒"
"PSafeSysTray.exe"
"PSafe杀毒"
"nspupsvc.exe"
"nProtect杀毒"
"SpywareTerminatorShield.exe"
"SpywareTerminator杀毒"
"BKavService.exe"
"Bkav杀毒"
"MsMpEng.exe"
"Microsoft Security Essentials"
"SBAMSvc.exe"
"VIPRE"
"ccSvcHst.exe"
"Norton杀毒"
"QQ.exe"
"QQ"
"f-secure.exe"
"avp.exe"
"KvMonXP.exe"
"RavMonD.exe"
"Mcshield.exe"
"egui.exe"
"NOD32"
"kxetray.exe"
"knsdtray.exe"
"可牛杀毒"
"TMBMSRV.exe"
"avcenter.exe"
"Avira(小红伞)"
"ashDisp.exe"
"rtvscan.exe"
"诺顿杀毒"
"ksafe.exe"
"QQPCRTP.exe"
"QQ电脑管家"
"Miner.exe"
"AYAgent.aye"
"patray.exe"
"安博士"
"V3Svc.exe"
"安博士V3"
"avgwdsvc.exe"
"AVG杀毒"
"ccSetMgr.exe"
"QUHLPSVC.EXE"
"QUICK HEAL杀毒"
"mssecess.exe"
"微软杀毒"
"SavProgress.exe"
"Sophos杀毒"
"fsavgui.exe"
"F-Secure杀毒"
"vsserv.exe"
"remupd.exe"
"熊猫卫士"
"FortiTray.exe"
"safedog.exe"
"安全狗"
"parmor.exe"
"木马克星"
"beikesan.exe"
"贝壳云安全"
"KSWebShield.exe"
"TrojanHunter.exe"
"木马猎手"
"GG.exe"
"adam.exe"
"绿鹰安全精灵"
"AST.exe"
"超级巡警"
"ananwidget.exe"
"墨者安全专家"
"AVK.exe"
"GData"
"ccapp.exe"
"Symantec Norton"
"avg.exe"
"AVG Anti-Virus"
"spidernt.exe"
"Dr.web"
"Mcshield.exe"
"Mcafee"
"avgaurd.exe"
"Avira Antivir"
"F-PROT.exe"
"F-Prot AntiVirus"
"vsmon.exe"
"ZoneAlarm"
"avp.exee"
"Kaspersky"
"cpf.exe"
"Comodo"
"outpost.exe"
"Outpost Firewall"
"rfwmain.exe"
"kpfwtray.exe"
"FYFireWall.exe"
"MPMon.exe"
"pfw.exe"
"BaiduSdSvc.exe"
"百度杀软"
键盘记录
下载和执行木马通过URLDownloadToFileA
下载和执行木马通过InternetOpenUrlA
挖矿
Windows矿机
黑客控制感染电脑后,会进一步植入挖矿木马phpmyadmin.exe进行挖矿获利。
phpmyadmin.exe由门罗币挖矿木马XMRig 2.8.3编译而成。
挖矿木马通过脚本xh1.bat启动,指定矿池地址为:dos22.f3322.net:8009
Windows.exe
安装为服务WinTcpAutoProxy
挖矿参数:
矿池:xmr.f2pool.com:13531
钱包:45BvSbAcUf2Gd1Su68yGWYdeciXV8bfQ3MnQKKnEHR6LKwWeyznqYGBin5FgrPLcJuaogEi7ksgCwHnWRE2Rw47YJ89jCMp
该钱包目前收益5.56个XMR
Linux矿机
Linux版本的矿机,木马名称为java/sysin,分别使用矿池xmrminer.f3322.net、dos22.f3322.net进行挖矿
三、溯源
论坛成员
根据御见威胁情报系统捕获到的此次SQL爆破攻击文件名“1433腾龙3.0”,尝试通过该文件名在搜索引擎进行搜索,发现来自腾龙黑客技术论坛。
并且其中某位活跃榜成员“*aoli***2”名字与C2 IP122.1**.2*.118下的域名www.b***h.top注册者名字相同,并且其资料中出生日期为1990与域名注册邮箱*********1990@126.com中透露的日期相同,资料中注册地址徐州与域名注册电话158*****522所属地址相同。因此该论坛成员与该域名拥有者为同一人。
论坛活跃成员
某成员资料
指向C2某域名
域名注册信息
矿马生成器
另外发现此次C2地址115.231.222.136下传播的挖矿木马windows.exe由腾龙技术论坛某成员传播的矿马生成器“SuperMiner”生成。并且论坛生成器发布时间为2018.11.28, 成员“*ao*in322”下载该生成器时间为2018.11.30日,C2地址115.231.222.136开始传播该挖矿木马时间为2018.12.07,从时间上看也吻合。
腾龙技术论坛发布矿马生成器的帖子时间
挖矿木马生成器
“*aoli**2”下载该生成器时间
生成挖矿木马开始传播时间
捕获木马与论坛木马对比
四、总结
从最终溯源得到线索来看,“KoiMiner”系列攻击事件应该是某技术论坛资深成员或团队所为,该成员利用学到的远程攻击技术攻击并控制互联网上用户的机器作为“肉鸡”,并植入挖矿木马谋取收益。
网民学习网络安全技术应用于正当用途,利用违法手段入侵企业网络,并利用他人计算机系统挖矿已触犯国家法律。
五、安全建议
1.加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略 ,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。
2.修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。
3.使用腾讯御知网络空间风险雷达(网址:https://s.tencent.com/product/yuzhi/index.html)进行风险扫描和站点监控。
4.网站管理员可使用腾讯云网站管家智能防护平台(网址:https://s.tencent.com/product/wzgj/index.html),该系统具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。
5.企业用户可在服务器部署腾讯御点终端安全管理系统防范此类病毒入侵。
六、Iocs
C&C
122.114.28.118:1004
IP
115.231.222.136
122.114.28.118
108.61.119.19
213.99.28.154
域名
360sd.ys168.com
xmrminer.f3322.net
dos22.f3322.net
dos2.f3322.net
矿池:
xmrminer.f3322.net:8008
dos22.f3322.net:8009
xmr.f2pool.com:13531
钱包:
45BvSbAcUf2Gd1Su68yGWYdeciXV8bfQ3MnQKKnEHR6LKwWeyznqYGBin5FgrPLcJuaogEi7ksgCwHnWRE2Rw47YJ89jCMp
URL
hxxp://115.231.222.136:8889/addin.exe
hxxp://115.231.222.136:8889/addins.exe
hxxp://115.231.222.136:8889/system32.exe
hxxp://115.231.222.136:8889/windows.exe
hxxp://108.61.119.19/put.jsp?data=
hxxp://213.99.28.154:9090/MATE-INF/put.jsp
md5
14e43e3e3a47207ac8435c89765c4718
3bc6eff1693b9c9a7bbe3cf7b7bc5eb3 |
442e84655bdb20c076d427ceef6c996e
05502d185a887173f380e631589a9c1a
ce3f2be3940864c23acbd7bc7f924538
3156f3649aea064ab2e3d5533c4a685e
e98611ab595c05271793e7c7375004ee
8aa162fa6c1ee0f40bc1c71028ad799a
1ecc0ce02bc9608585534d27d7f4a031
79bcc52956dc7455e956b5dcb7bbd226
参考链接:
https://mp.weixin.qq.com/s/poLfJNd08mMMtc_Hx6PGEg
https://mp.weixin.qq.com/s/powagsNxj4vWsO1YKQbdVA
在线咨询
方案定制