WannaMine僵而不死:假裝被美國土安全域性查封
概要
WannaMine是一個以挖取門羅幣為目的的殭屍網路,最早於2017年10月被國外網路安全廠 商曝光,因同樣使用永恆之藍(EternalBlue)漏洞進行擴散(與Wannacry相似)而得名。據微 步線上黑客畫像系統和狩獵系統監測發現,WannaMine在近一年時間中活動頻繁,而其木馬存 放站點近日竟出現被美國國土安全域性查封的字樣,為查明原委,微步線上對WannaMine分析如下:
除保持挖礦“主業”外,WannaMine目前已增加DDoS、“抓雞”等多種“業務”。
WannaMine利用漏洞自動化在Windows和Linux兩種環境抓取“肉雞”,危害程度日益增加。
WannaMine組織架構不斷完善,功能模組獨立化,每個模組在攻擊流程中都具備明確角色和任務。
自2018年9月起開始使用新的木馬存放節點(cache.windowsdefenderhost.com)和C&C伺服器(online.srentrap.com)。
惡意站點“掩耳盜鈴”式的偽裝成被美國國土安全域性接管狀態,以期干擾安全人員的分析判斷。
詳情
監測發現,WannaMine自2017年底出現以來,功能架構不斷完善,攻擊流程日趨複雜: 由早期利用“永恆之藍”(EternalBlue)漏洞進行擴散,逐步增加通過ssh/telnet暴力破解,利用CVE-2017-0213、CVE-2016-5195等漏洞輔助入侵提升控制權限;功能模組獨立化,每個模組 在攻擊流程中都具備明確角色和任務,有效避免單個組織功能模組被關聯分析;攻擊目標方 向由Windows系統擴充套件至Linux環境,危害程度日益增加。
樣本分析
本報告分析的樣本捕獲於2018年9月,樣本基本資訊如下表所示:
| 檔案型別 | PE32 executable (console) Intel 80386, for MS Windows |
|---|---|
| 檔案大小 | 139264 |
| MD5 | 2058516a54e9ccd9cc1556d67a7ccbc3 |
| SHA1 | c8aa652f6fbbba9723bde99d4a97b8b592853047 |
| SHA256 | 018dcbf3d26eafaad1b2cca3608af9faf38fa8281b2e3c8d5ad4c89bc2d7e1b8 |
| 時間戳 | 1992-06-19 22:22:17 |
| 涉及URL | ofollow,noindex" target="_blank">http://cache.windowsdefenderhost.com/linux/shell http://cache.windowsdefenderhost.com/windows/recentfileprogrom.exe http://cache.windowsdefenderhost.com/windows/w_download.exe http://cache.windowsdefenderhost.com/linux/udp http://cache.windowsdefenderhost.com/windows/res.exe http://cache.windowsdefenderhost.com/windows/tor.exe http://cache.windowsdefenderhost.com/linux/dc_elf_32 http://cache.windowsdefenderhost.com/linux/fs_elf_64 http://cache.windowsdefenderhost.com/windows/config.json |
| C&C | 185.128.43.58、111.90.159.149 |
以該樣本為例,分析發現WannaMine目前的架構下圖所示:
圖 1 WannaMine 組織結構圖
圖 1具體過程為:
1、WannaMine首先通過“永恆之藍”漏洞入侵向Windows系統並植入w_download.exe,下載相關 木馬元件RecentFileProgrom.exe、res.exe、tor.exe。
2、RecentFileProgrom.exe主要實現的是向被感染裝置內/網進行“永恆之藍”漏洞掃描。一旦感染了RecentFileProgrom.exe首先會自動列舉探測/掃描內網IP,並注入感染木馬payload。
3、Tor.exe是Trojan[DDoS]/Win32.Nitol.A木馬,實現的是寄生在Windows環境的DDoS木馬。其CC為online.srentrap.com:8080。
圖 4 Nitol.A 首包
4、Res.exe為自壓縮檔案,主要是實現自解壓釋放提權和挖礦等功能模組元件。其中1505132/64.exe、1603232/64.exe、170213.exe為CVE-2015-1701本地提權載荷,170213.exe為CVE-2017-0213本地載荷,為有關木馬提高許可權;testuac.exe獲取本地系統配置資訊;exp.exe釋 放m5VWc67.bat實現探測網路狀態和刪除res.exe母體樣本;svchost-1.exe、login.jpg、register.jpg是執行挖礦的主體木馬。
圖 5 m5VWc67.bat 批處理命令
5、svchost.exe訪問 http://cache.windowsdefenderhost.com/windows/config.json ,獲取礦池地址和錢包地址資訊,根據獲取到多個礦池資訊,使挖礦木馬能以任務佇列方式獲取挖礦任務,減少裝置閒置時間。同時,WannaMine木馬還可以通過修改config.json配置檔案實現對礦池、錢包等 實時自定義增刪改;訪問 http://cache.windowsdefenderhost.com:80/windows/yesir.txt 獲取挖礦任 務。而login.jpg、register.jpg是挖礦執行元件,為了躲避防毒工具檢測,樣本偽裝成jpg圖片檔案。
圖 6 獲取礦池+錢包等資訊
圖 7 獲取挖礦任務
6、WannaMine還通過對ssh/telnet遠端爆破等手段向Linux設備註入名為udp、dc_elf_32、fs_elf_64等檔案。Udp檔案是Trojan[DDoS]/Linux.Setag(又名BillGates)家族木馬,主要是實現DDoS功能,其C&C為online.srentrap.com:8443(與上述Nitol.A木馬相同)和uk.7h4uk.com:6001。
圖 8 Setag 首包
7、dc_elf_32、fs_elf_64都是CVE-2016-5195本地提權漏洞的攻擊載荷,負責為udp木馬提高執行許可權。
關聯分析
有趣的是,WannaMine木馬存放代理站點cache.windowsdefenderhost.com和d4uk.7h4uk.com均存在正常網頁,均顯示為已被美國國土安全域性接管,如下圖所示:
