产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文Glupteba木马利用NSA武器库构建挖矿僵尸网络
2018-12-28 01:20:12
背景
腾讯御见威胁情报中心发现挖矿木马家族NSA Glupteba Miner,该木马通过NSA武器(永恒之蓝/双脉冲星后门)进行攻击传播。同时传播的还有恶意挖矿木马,我们推测其正在构建独立的挖矿僵尸网络。
通过NSA工具攻击成功后在中招机器执行payload32.dll下载木马母体app.exe,app.exe运行后会释放挖矿木马wup.exe,病毒会首先篡改Windows Defender和Windows防火墙规则,将自己添加到信任列表。安装Glupteba恶意代理木马cloudnet.exe,安装驱动Winmon.sys、WinmonFS.sys保护模块。
Glupteba木马攻击流程图
2014年ESET对Operation Windigo组织的研究报告中首次提到Glupteba恶意代理木马。Operation Windigo组织感染大量Linux服务器,并在网页访问者访问受Linux感染的网站上托管的网页时,将其重定向到漏洞利用工具包,漏洞利用攻击成功则安装Boaxxe或Glupteba木马,之后通过Glupteba创建代理分发垃圾邮件。
腾讯御见曾在2018年5月披露Glupteba恶意代理木马通过其他的木马下载器(Scheduled.exe)传播,再利用永恒之蓝漏洞扩散构建僵尸网络的事件。(参考链接:https://mp.weixin.qq.com/s/ZDgzIMJiAx1Wb3NY2hfhqg)5月份发现的这个版本会绕过UAC,以管理员权限和系统权限运行,会创建防火墙策略,将木马程序加入白名单;修改Windows Defender策略,将木马程序添加到病毒查杀白名单。木马会收集中毒电脑的隐私信息,同样利用中毒电脑挖矿。
从感染趋势看,Glupteba木马家族处于平稳上升态势。其构造的僵尸网络全国各地分布,其中广东省受害最为严重,占比42%,其次是四川省(7.7%)、河南省(6%)。
详细分析
母体
app.exe拷贝自身到c:\windows\rss\csrss.exe,
写入配置信息到注册表HEKY_CURRENT_USER/Software/Microsoft/TestApp中,其中包含以下键值:
CDN:hxxp://monopeets.com
CloudnetFileURL: hxxp://cheapmusic.info/cloudnet.exe
Servers:
hxxps://weekdanys.com
hxxps://okonewacon.com
hxxps://blackempirebuild.com
然后下载hxxp://newscommer.com/app/deps.zip并解压NSA攻击组件到目录C:\Users\*****\AppData\Local\Temp\csrss\smb\*******\对内网机器进行漏洞攻击。
漏洞攻击成功后植入payload32.dll/payload64.dll,然后Payload模块在中招机器下载hxxp://newscommer.com/***/app.exe进行感染。
app.exe执行后,拷贝自身到C:\Windows\rss\Csrss.exe,并释放和下载多个病毒模块,包括wup.exe(挖矿),windefender(防火墙添加排除), cloudnet.exe(恶意代理),Winmon.sys、WinmonFS.sys(驱动保护)等。
windefender.exe
母体csrss.exe运行后下载hxxp://newscommer.com/app/watchdog.exe并以c:\windows\windefender.exe(采用golang编写,文件名仿冒Windows Defender,具有一定的欺骗性)执行,windefender.exe首先将自己写入windows defender规则,
然后读注册表TestApp路径信息,去下载执行Cloudnet.exe。
恶意代理
csrss.exe安装cloudenet.exe进行恶意流量代理,后续可以通过代理来分发其他恶意程序,该样本分析如下。
解密出字串Global\Mp6c3Ygukx29GbD并以此字串创建互斥体
分别解密出字串"UUID","SOFTWARE\Microsoft\TestApp",并根据这些字串读取注册表项值,读取成功返回true
获取注册表值成功后则解密出"Global\Mp6c3Ygukx29GbDk_exit"并创建事件对象,接着解密出字串"N23"
接着初始化一个类对象,在构造函数中创建线程,并在线程中尝试加载模块,之后调用函数AppPolicyGetThreadInitializationType
解密出字串并初始化socket,并使用IOCP网络模型
生成唯一标识符GUID,并将其转换为字符串
判断是否联网,随解密生成拼接成c2服务器,向该c2服务器发送信息,解密出的C2服务器地址为
"server-1-51.bgimusic.com:50,server-1-51.0ey.ru:50,server-1-51.0jo.ru:50,server-1-51.0mh.ru:50"
自保护
csrss.exe还会加载驱动木马进行自保护,其中Winmon.sys用于隐藏对应PID进程
WinmonFS.sys用于隐藏指定文件或目录
挖矿
csrss.exe启动wup.exe进行挖矿,wup.exe由开源门罗币矿机XMRig(版本2.8.1)修改而成
运行时创建互斥体“Global\\xmrigMUTEX31337”,创建事件“Global\\wupEvent31337”
开始挖矿时通过以下命令行启动:
wup.exe -o stratum+tcp://forfunnyonly.com:30001 -u aef28eb6-e2f6-4ed5-9ddb-eb8fdd6097ef -p x -k --nicehash -o stratum+tcp://forfunnyonly.com:443 -u aef28eb6-e2f6-4ed5-9ddb-eb8fdd6097ef -p x -k --nicehash -o stratum+tcp://forfunnyonly.com:80 -u aef28eb6-e2f6-4ed5-9ddb-eb8fdd6097ef -p x -k --nicehash -o stratum+tcp://xmr.pool.minergate.com:45700 -u okonew@protonmail.com -p x --nicehash -k --api-port 3433 --api-access-token aef28eb6-e2f6-4ed5-9ddb-eb8fdd6097ef --donate-level=1 –background
安全建议
1、服务器关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2、使用腾讯御点(个人用户可使用腾讯电脑管家)的漏洞修复功能,及时修复系统高危漏洞;
3、推荐企业在Windows服务器使用腾讯御点防范病毒攻击(下载地址:https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
IOCs
IP
104.31.66.86
212.47.229.211
199.73.55.48
51.15.66.3
104.31.0.156
104.24.100.237
域名
weekdanys.com
okonewacon.com
blackempirebuild.com
speedandmusic.com
cheapmusic.info
facecommute.com
newscommer.com
growcommer.com
zonamusicex.com
toanotherday.com
protoblues.com
monopeets.com
矿池:
forfunnyonly.com:30001
forfunnyonly.com:443
forfunnyonly.com:80
xmr.pool.minergate.com:45700
md5
app.exe
061e3b4bd66c5379a7bb704f4c93d56e
36a34d2712dc8c3f313fb66cb8f20c03
25d32e001434b5970c71d22f5201684c
05d2057835f00809ffc08e7e000232f7
4737982e58cb98b016c9a32464102902
cbb81f4ccf99617808ddcdc822be0c10
5dc1b1da6b3f2fdf9e8f047ef9f5ee03
4f61251acd929f9f6648d9d5870f4c37
52c7733bd23739af5f5cce1d9e735310
64bc7814c53c8e9d57ccffe538c5775d
cloudnet.exe
5b4a0619a89255311c420c0a8cb71b8d
86f4ddc6e34d893f251eae30090caf81
92192f8251481648c06872a35ecb2013
1882b091c96426ac5d68ca94297facbe
c81da009768cbbc7810707db5294e2a5
wup.exe
66e8ac8e4e2361f52b2df374a79697d9
Winmon.sys
4ef0c39e632279d7b3672d2efc071e5b
WinmonFS.sys
c6100c067d1e619b730bf23ab4045b17
windefender.exe
4f551cb9a7c7d24104c19ac85e55defe
Payload32.dll(Payload64.dll)
81498a1f1b73243ca50ca6bcf7eb05b4
0c3368efd11cffd70e152751d94bcd7e
winbox
ff753beefa2f24c0df8b685af8b9fc21
URL
hxxp://growcommer.com/app/app.exe
hxxp://newscommer.com/app/app.exe
hxxp://speedandmusic.com/app/app.exe
hxxp://cheapmusic.info/cloudnet.exe
hxxp://cfpoweredcdn.com/app/winboxls-1008-2.exe
hxxp://newscommer.com/41qilngy38303743/app.exe
hxxp://newscommer.com/app/watchdog.exe
hxxp://newscommer.com/app/app.exe
hxxp://newscommer.com/app/winboxscan-1003.exe
hxxp://newscommer.com/app/e7.exe
hxxp://newscommer.com/app/winboxscan-1001.exe
hxxp://newscommer.com/app/deps.zip
hxxp://newscommer.com/y4acw2fwru11liu3/latest.zip
hxxp://newscommer.com/app/vc.exe
hxxp://newscommer.com/app/mrt.exe
hxxp://newscommer.com/app/winboxtest.exe
hxxp://newscommer.com/app/al/latest64.exe
hxxp://newscommer.com/app/winboxscan-1003-2.exe
参考链接:
https://mp.weixin.qq.com/s/ZDgzIMJiAx1Wb3NY2hfhqg
https://www.welivesecurity.com/2018/03/22/glupteba-no-longer-windigo/
在线咨询
方案定制