警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦

深信服千里目發表於2020-11-03

背景概述

近日,深信服安全團隊捕獲到一款國產挖礦木馬,該挖礦木馬使用惡意WMI在系統中進行駐留,不斷下載惡意挖礦cpl檔案;cpl檔案又叫控制皮膚項,檔案本質是Windows可執行性檔案,但不屬於可以直接獨立執行的檔案,類似於dll檔案需要透過可執行檔案呼叫。

情報分析

攻擊者使用的域名統一以1eaba4fdae.com為二級域名,三級域名為隨機的數字,目前為止發現相關的C&C地址有:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


該二級域名約在2020年8月左右註冊,解密的VBS指令碼變數能夠識別出很多拼音單詞:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


查詢攻擊者的錢包地址收益,目前約超過六千人民幣:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦

技術分析

惡意WMI項是經過混淆的VBS程式碼,使用異或過的十六進位制儲存:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


將解碼後的程式碼進行格式化,能夠看出指令碼透過拼接的地址下載一段程式碼進行執行,下載地址為2340.1eaba4fdae.com/wmi.txt:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


WMI也是一段經過多層混淆的VBS程式碼,而第一段VBS中的函式a則是對其進行解碼操作,解碼後得到的VBS中也包含部分混淆,具體表現為使用十六進位制代替關鍵字串,並使用隨機的變數或函式名:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


透過編寫指令碼對其進行還原,能夠看出大概功能為透過地址2340.1eaba4fdae.com/32.txt下載惡意的cpl檔案釋放在temp下根據時間建立的目錄,透過正常的系統程式control.exe對其進行載入, 同時下載x.txt到同目錄,下載mum.txt到temp目錄:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


透過control.exe呼叫cpl檔案原理跟呼叫dll檔案類似,其中會透過rundll32.exe最終呼叫檔案,而cpl檔案與dll檔案不同的是,入口函式不是dllmain,而是CPLApplet函式;程式中使用if/else花指令來干擾除錯,每個關鍵操作之前都會有大段的無效程式碼:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


讀取x.txt到記憶體中,對其進行兩次解密,得到一個PE檔案:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


將PE檔案在記憶體中展開,該PE檔案是由開原始碼編譯的挖礦程式:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


查詢並透過call呼叫執行其匯出函式“a”:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


連線礦池進行挖礦,資料內容經過base64編碼:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦


解碼後得到挖礦資訊:

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦

加固建議

1. 日常生活工作中的重要的資料檔案資料設定相應的訪問許可權,關閉不必要的檔案共享功能並且定期進行非本地備份;

2. 使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;

3. 避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;

4. 定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;

警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦

3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;

4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

相關文章