快速進擊的挖礦殭屍網路：單日攻擊破10萬次

背景

2017年9月，360網際網路安全中心首家發現了利用msSQL進行大規模入侵併釋放挖礦木馬的殭屍網路。木馬先期通過永恆之藍漏洞進行傳播，後期轉為對msSQL進行弱口令攻擊傳播，入侵成功後釋放挖礦木馬，獲利達數百萬之多。相關分析詳見我們在2017年釋出的報告：《悄然崛起的挖礦機殭屍網路：打伺服器挖價值百萬門羅幣》。

近日，360網際網路安全中心又發現了一批使用msSQL進行傳播的挖礦木馬的新型變種。此次木馬攻擊主要利用“白利用”這一通常出現在遠控或盜號木馬上的隱藏手段，說明此類木馬已經具有了與安全軟體對抗的意識。並且利用自身在擴散形式上的優勢快速傳播，出現僅6天，單日攻擊次數就突破了10萬次。另外，該木馬早期曾出現過一個僅攻擊一次就自我退出的版本，但該版本在大量傳播之後便消失，我們懷疑這是一個作者早期用於驗證程式功能的測試版：

圖1

樣本分析

樣本通過被入侵後的msSQL進行更新投遞，包括一組exe和dll檔案，通過白利用方式啟動，其中exe檔案為某公司帶簽名程式，名稱被命名為help.exe如下

圖2

DLL模組被命名為active_desktop_render.dll，其匯出表如下

圖3

執行邏輯

exe啟動後會載入active_desktop_render模組，呼叫其匯出函式SetDesktopMonitorHook，實際樣本中直接呼叫了king1函式。

king1函式首先判斷當前模組名稱，不同的檔名稱則執行的流程也會不同，例如當

前名稱為assist.exe時，則下載l.txt並記憶體載入執行，其他如下圖所示

圖4

之後根據系統版本調整當前工作目錄（用於後續檔案落地時使用），其中不高於xp版本的位於根目錄下/Docume~1/AllUse~1/Applic~1/，否則為/Users/Public/，同時間隔10分鐘嘗試下載a-n.txt名稱的檔案，其中大部分檔案以外掛形式記憶體載入執行。

圖5

外掛模組及域名生成演算法

通過上文可以知道，該dll的行為實則類似於外掛管理器，其大多數情況下通過遠端下載模組並自行載入

，下圖是樣本模組載入流程示意圖。

圖6

外掛模組的載入

down_memLoader函式通過死迴圈等待檔案下載成功，

圖7

實際下載後的檔案內容如下，通過fscanf完成ascii到bin的轉換，之後對檔案內容在進行解密，然後載入執行匯出函式a

圖8

域名生成演算法(DGA)

樣本下拉外掛模組的伺服器域名並不固定，而是通過字首字尾方式拼接而成，其中字首生成演算法如下

圖9

字尾從如下列表中獲取

圖10

通過簡化之後其域名生成演算法如下：

知道域名後，再拼接外掛名稱得到下載地址，但訪問時伺服器會檢測當前請求的UA部分，樣本內嵌的UA名稱為onlyme。

d與l模組

d模組延遲十分鐘後結束如下程式，其中 manager.exe和diagnosis.exe分別為m和n模組(未獲取到),a.exe是提權用到的程式。

圖11

l模組負責結束上述程式並重新啟動help.exe，間隔時間為10小時。

p模組

p模組在啟動後，首先判斷當前程式是否擁有管理員許可權，若有則建立(已有則開啟)名稱為helpsys的服務，其二進位制檔案路徑指向自身help.exe程式，如果許可權不夠，則遠端拉取遠端tqdll.txt和tq.txt檔案，通過名稱可以猜測其主要功能為提權，若成功，則在下次執行時即可建立服務，保證自身持久化駐留伺服器。

圖12

b模組

b模組是x64環境下使用到的，其部署64位環境下exe(repair.txt)和dll模組(64zhu.txt)，所有exe和dll功能與本文分析基本一致，只不過在x64下執行。

同時下拉config.json與x.png，x.png 為xmr礦機(被64zhu.txt記憶體載入執行)，礦機配置檔案config內容如下

圖13

k模組

該模組用於許可權提升，首先嚐試BypassUAC，樣本使用如下2種方式

1..Net環境變數劫持

圖14

其中ti.dll是拉取伺服器的ti32.txt或ti64.txt重新命名得到，主要功能是提權成功後再啟動help.exe

2.mscfile的shellopen鍵值劫持

圖15

若許可權提升成功，則會建立好名稱為helpsys的服務。

提權失敗，則利用CVE漏洞進行本地許可權提升，其遠端拉取20170263.txt和up.txt模組

圖16

其中up.txt是被利用的某公司簽名檔案，

圖17

20170263.txt實則為CVE-2017-0213，該漏洞為.Net下型別混淆漏洞，可被用來本地許可權提升，由Google Project zero發現。

圖18

當漏洞成功觸發後，其後續啟動c:userspublichelp.exe，實際測試如下圖

圖19

相關域名：

aqwxrfghh.com

js.mys2018.xyz

礦池地址：

140.82.7.235:8756

錢包地址：

48mQvBiWBwzTMXhnfHFJEhLgUqoSr9CdB1UDGzwgsHUVM2Bh5g5Z78qQ5Jg9edqewWajtZX7ddjdGfudDhkaUtJS3owE8um

總結

相較於上一波挖礦殭屍的攻擊，此次事件的傳播量並沒有那麼誇張（由於其使用的是私有礦池，故此次無法估算其收益）。但比前次事件更令我們不安的，是此次通過殭屍網路傳播的挖礦木馬已不再有如上次一樣冗長的緩慢傳播期，而是直入主題——簡單驗證功能正常後，便直接放出正式版大量傳播。

由此可見，此類攻擊手段被黑客使用的越來越得心應手。也預示著今後此類時間也會越來越多的出現在我們的視野中。但反觀我們的伺服器管理人員卻依然沒有對此類問題提起足夠的重視——依然是弱口令入侵，依然是本地漏洞提權，熟悉的配方熟悉的味道卻總能屢屢得手。

在此我們只能再次重申幾點注意事項：

1.重視SQL、RDP、Telnet等服務的弱口令問題，加強口令強度，避免被暴力破解。

2.非伺服器系統儘量不要暴露在公網上，伺服器系統要檢查所有開放的服務埠，關閉不必要的埠。

3.配備必要的安全軟/硬體產品，保障系統安全。

4.即時更新系統和軟體，即時安裝安全補丁，避免漏洞被利用來攻擊系統。

5.對系統狀態建立實時監控機制，關注系統異常，及時處理。

原文釋出時間為：2018-05-25

本文來自雲棲社群合作伙伴“嘶吼網”，瞭解相關資訊可以關注“嘶吼網”。