ZombieboyMiner(殭屍男孩礦工)控制7萬臺電腦挖門羅幣
一、概述
騰訊御見威脅情報中心近期檢測到利用ZombieboyTools傳播的挖礦木馬家族最新活動。木馬對公開的黑客工具ZombieboyTools進行修改,然後將其中的NSA攻擊模組進行打包利用,對公網以及內網IP進行攻擊,並在中招機器執行Payload檔案x86/x64.dll,進一步植入挖礦、RAT(遠端訪問控制)木馬。
漏洞掃描攻擊工具ZombieboyTools
騰訊御見威脅情報中心在2017年12月已有披露Zombieboy木馬情報,而後的2018年5月及7月友商也釋出了相關情報。在本報告中首先對黑客於2018.08.14註冊並使用的C2域名fq520000.com及其樣本進行分析,然後通過對比Zombieboy木馬在幾輪攻擊中的攻擊手法、惡意程式碼特徵、C2域名及IP、埠特徵的一致性,推測得出攻擊來源屬於同一團伙,並將其命名為ZombieboyMiner(殭屍男孩礦工)團伙。
騰訊御見威脅情報中心監測發現,ZombieboyMiner(殭屍男孩礦工)木馬出現近一年來,已感染7萬臺電腦,監測資料表明該病毒非常活躍。
病毒感染趨勢
在全國各地均有中毒電腦分佈,廣東、江蘇、浙江位居前三。
影響區域分佈
騰訊安圖高階威脅追溯系統查詢團伙資訊)
二、詳細分析
ZombieboyMiner攻擊流程
Las.exe分析
執行後釋放埠掃描工具,NSA利用攻擊工具,以及payload程式到C:
\windows\IIS目錄下。然後利用埠掃描工具,掃描區域網中開放445埠的機器,再利用NSA工具將payload(x86.dll或x64.dll)注入區域網內尚未修復MS17-010漏洞的機器。
樣本釋放檔案
445埠掃描批處理檔案
EternalBlue配置檔案
Doublepulsar配置檔案
payload分析
payload(x86.dll或x64.dll)從C2地址ca.fq520000.com下載123.exe並在本地以名稱sys.exe執行。
payload行為
sys.exe分析
sys.exe下載sm.fq520000.com:443:/1並以檔名las.exe執行:
sys.exe行為
同時從sm.fq520000.com:443:/A.TXT獲取URL地址,使用該地址下載RAT(遠端訪問控制木馬)並以檔名84.exe執行(目前1.exe,4~9.exe任可下載)。
A.TXT內容
CPUInfo.exe分析
CPUInfo.exe白利用WINDOWS系統程式Srvany.exe來進行啟動,然後作為主程式負責拉起攻擊程序以及挖礦程序。
白利用Srvany.exe啟動
svsohst.exe分析
svsohst.ex負責啟動門羅幣挖礦程式crss.exe,啟動礦機前設定礦池地址ad0.fq520000.com以及錢包
44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS作為挖礦引數,然後通過ShellExecute啟動挖礦程序。
設定挖礦引數
ShellExecute啟動礦機
crss.exe分析
crss.exe是礦機程式,採用開源挖礦程式XMRig2.8.1編譯。
礦機程式碼
84.exe分析
該檔案將自身拷貝到C:\Windows\System32\seser.exe,設定其為隱藏屬性並將其安裝為服務dazsksgmeakjwxo從而可以開機啟動。
RAT安裝服務自啟動
然後解密出DLL檔案並載入執行,DLL檔案實際上為Zegost木馬,執行後會蒐集按鍵資訊、軟體安裝資訊傳送到C2地址dns.fq520000.org,並具有螢幕控制,安裝執行檔案等功能。
檢測防毒軟體
獲取按鍵資訊
解密C2地址
與C2通訊
傳送和接收訊息
接收並解密資料
三、關聯分析
我們將2017年9月以來騰訊御見早期釋出的Zombieboy分析報告、友商釋出的Zombieboy分析報告、友商釋出的NSASrvanyMiner分析報告整理成時間線,並進一步通過攻擊手法、惡意程式碼特徵、C2域名及IP、埠特徵的一致性得出結論:近期發現和已披露的Zombieboy木馬發起的攻擊來源為同一團伙。
Zombieboy木馬活動
3.1 攻擊手法對比
在幾次攻擊中均使用黑客工具Zombieboy修改而成的NSA攻擊程式,並在攻擊成功後執行payload檔案X86/X64.dll,且payload檔案PDB資訊都包含特徵“Zombieboy”。同時payload程式碼均從C2地址下載123.exe並在本地以檔名sys.exe執行,然後以sys.exe為Loader程式下載其惡意元件。木馬進入目標機器後,除了進行擴散攻擊外,惡意行為型別均為挖礦和安裝RAT。
Zombieboy木馬PDB
payload程式碼對比
3.2 C2域名對比
3.2.1 二級域名特徵
C2域名在命名時以dns,ca,sm,ms,note,stop等字元作為二級域名字首。
C2域名列表
另外2018.02.27~2018.05.21註冊的一級C2域名在結構上存在“AB、BA”的特點,例如posthash.org與hashpost.org,hashnice.org與nicehash(被使用為二級域名字首)。
3.2.2 域名解析IP地址
2018.02.27以後註冊的C2域名都曾解析到59.125.179.217/211.23.160.235,該IP定位顯示為臺灣新北市板橋區,這些域名同時指向這一地址的IP表明他們具有一定的關聯。
反查域名
3.2.3 HFS埠特徵
用於木馬下載的HFS服務均使用344/443埠,HFS服務的埠可由作者任意指定,在這幾次攻擊中都使用相同或相似的埠可能是同一作者延續了自己的使用習慣。
母體木馬下載URL:
call.ppxxmr.org:344/123.exe
ca.posthash.org:443/123.exe
ca.hashpost.org:443/123.exe
ca.hashnice.org:443/123.exe
ca.fq520000.com:443/123.exe
四、總結
基於團伙的攻擊手法、傳播的的惡意程式型別以及攻擊過程中使用的IP、域名、埠等資訊的一致性,我們認為2017年9月以來利用Zombieboy發起的多輪攻擊來源為同一團伙,該團伙通過不斷更新C2地址作為NSA攻擊後Payload下發地址,同時使用註冊的二級C2域名進行自建礦池挖礦門羅幣,同時在中招機器植入RAT木馬,蒐集使用者敏感資訊上傳至木馬伺服器,基於以上特點騰訊御見威脅情報中心將該團伙命名為ZombieboyMiner挖礦團伙。
ZombieboyMiner挖礦及RAT資訊
五、安全建議
1.伺服器關閉不必要的埠,例如139、445埠等。
2.手動安裝“永恆之藍”漏洞補丁請訪問以下頁面
ofollow,noindex" target="_blank">https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
其中WinXP,Windows Server 2003使用者請訪問
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
3.企業使用者建議全網安裝御點終端安全管理系統
( https://s.tencent.com/product/yd/index.html )。御點終端安全管理系統具備終端防毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面瞭解、管理企業內網安全狀況、保護企業安全。
