一个新的门罗币挖矿恶意软件变种分析

最近,Sand Blast Agent Forensics团队注意到,有一类新的门罗币挖矿恶意软件变种在全球各地传播。其特殊之处在于,在感染和传播技术上它与当前流行的一些木马或勒索软件有许多类似的地方——能利用合法的IT管理工具,Windows系统工具和已披露的Windows漏洞来实施攻击。

在我们深入研究该恶意软件之前,让我们先来回顾下此类攻击的攻击行为、工作机制以及为什么它对IT网络具有如此高的威胁性。

在此类攻击中,基本都有5个主要步骤:

·攻击最初的切入点是电子邮件、网络、文件或应用程序的漏洞,通过漏洞攻击者将恶意软件植入受害者的网络之中。在该阶段,网络遭到了入侵,但尚未被攻破。

· 恶意软件会探测额外的网络权限及漏洞,或与C&C服务器通信来接收指令或恶意代码。

· 恶意软件通常会建立额外的攻击点,以确保之后其中一个点被关闭时攻击可以继续。

· 恶意软件在开发用服务器上收集受害者信息,然后将其从网络中过滤出来,置于攻击者的完全控制之下。

· 最后的payload,无论是是挖矿软件、木马还是勒索软件,都会被放到组织的端点和服务器上。

图1:取证报告展示的攻击概述(点击 此处 查看完整报告)。

一场新的门罗币挖矿行动

自1月中旬以来,我们注意到有一类新的门罗币挖矿恶意软件变种在全球各地蔓延传播的趋势。该恶意软件与以往勒索软件的攻击手段相比,其感染和传播技术都有相似之处。此外,该变种的最大的特色是使用合法的IT管理工具、Windows系统工具和之前披露的Windows漏洞,从而感染整个pc网络。

攻击中使用的恶意软件由两个木马变种组成,分别是“Trojan.Win32.Fsysna”和一个门罗币挖矿恶意软件的变种。

图2:检查点取证报告显示的事件树概况。

攻击流

目前还不清楚网络中未受保护的电脑最初是如何被感染的,但由于恶意软件利用了Mimikatz,因此很明显,它可以通过网络系统中的漏洞轻易快速地传播。

该恶意软件将植入在用户的“User Temporary”文件夹中,它的首要操作是先把自身的副本放入“Windows Temp”文件夹里,这么做的目的是保持持久性。关于这点我们将在稍后描述。

恶意软件运行后的第一条指令是停止以前在此台机器上运行的其他样例,此条指令由Windows系统默认的Taskkill来实现。此外,它还使用WMI应用程序停止从Windows Temp文件夹中运行的其他进程,以及名字与其payload相同的进程。接着,恶意软件使用Windows的Netsh utility打开连接到挖掘网络所需的适当端口。最后,为了建立持久性,它会清理自己的旧版本,并继续创建新任务。

图3:“Updater.exe”将二级payload写入Temp文件夹。

“Updater.exe”会将一个二级payload写入Temp文件夹,该payload本质上是Trojan的一个略微改动的版本,但被设置为从另外的路径去运行。新的payload会停止所有从Temp路径中运行的旧版本木马,并将自己作为' wmiex.exe '移动到系统文件夹中。之后它将利用Windows的合法工具,创建一个计划好的任务来模拟web服务器应用程序,并在启动时运行,接着将刷新系统的dns缓存并启动计划任务。

如上图报告文件中所示,“Suspicious Events”选项卡还显示另一个异常。

所有Trojan二进制文件都是由深圳Smartspace软件技术有限公司签署的。 但是,Check Point的SandBlast Agent引擎检测到的签名是无效的。

图5:所有二进制文件均由深圳Smartspace软件技术有限公司的证书(已失效)签署。

重新启动后,该木马会重复Windows命令行中的所有持久性技术,以便在任何自动清理程序中存活下来,或者将其二进制文件更新到最新的客户端。在下面的图中可以看到CMD的参数,以及该进程是如何使用WMI命令来让Trojan以及挖矿软件的二进制文件替换合法的Windows进程的。

图6:为了维持持久性和逃避检测,挖矿机所使用的方法

在攻击链期间,我们观察到PowerShell脚本启动后会试图连接到一些预定义的IP地址,并潜在感染其他机器。仔细检查PowerShell脚本内容可以发现,该脚本是当前流行的 Invoke-SMBClient utility 的自定义版本,和一些利用Windows工具从本地机器获取数据并将其传递到CnC服务器的其他脚本的混合体。该脚本同时可能会下载其他payload。我们已经观察到了该PowerShell脚本会发送脚本版本、虚拟机的MAC地址以及机器上杀毒软件版本类型等信息。

图7:在Content选项卡中可以看到该脚本的去功能化版本。

不久之后,Trojan将启动一个二级PowerShell脚本,我们仔细观察后发现该脚本指向 Invoke-Cats (一种基于Mimikatz版本的混淆脚本), 脚本的内容与Github存储库中观察到的脚本完全匹配。

图8:Trojan启动二级PowerShell脚本。

Trojan会将感染机器的最新信息更新到C&C服务器,并将一个比特币挖矿机下载到本地,比特币挖矿机和门罗币挖矿机将同时运行。

图9:门罗币挖矿机进程的网络活动以及与C&C服务器的连接。

结论

可以看出,这场攻击行动背后的行为者在其技能和经验上都有一定的积累,对那些安全防御能力薄弱的组织机构来说会是一次严重的打击。攻击者利用Windows的合法工具(如CMD、WMI和网络工具)来破坏系统并建立持久性,使攻击更难以检测,而从其利用开源脚本工具的手法来看,也能表明攻击者具备一定的专业性。

为了避免成为此次攻击的受害者,我们建议IT专业人士及时下载补丁并更新,并确保在您的IT网络中具有一个先进的威胁预防解决方案。

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章