事件背景
近日,深信服終端安全團隊在一起應急響應事件中發現了一條惡意的WMI命令,經過研究人員分析是一個新的挖礦病毒,由於此病毒釋放的元件中啟動程式名為Audliodg.exe,故將其命名為Audliodg挖礦病毒。
該挖礦病毒使用的主要域名為g-s.site,根據威脅情報資訊,該域名的更新時間為今年的7月份,且Audliodg挖礦病毒的各個元件仍然可以被下載啟動,由此可見該挖礦病毒目前仍在持續活躍中。
樣本分析
執行流程:
1.wmi命令
研究人員透過觀察sysmonitor的日誌,注意到了此惡意的WMI命令:
可以發現此WMI命令會向惡意域名g-s.io傳送GET請求,並將請求響應的文字透過一段簡單解碼演算法進行處理成為一個惡意的vbs指令碼並儲存到本地,然後透過wscript命令將此vbs指令碼執行。
2.vbs指令碼
首先此vbs指令碼會獲取windows的temp目錄路徑,然後將g-s.site/d/d.dat下載到temp目錄並命名為xw.tmp,利用sh.run指令來讓cmd執行一小段解碼操作後將xw.tmp執行起來,然後刪除xw.tmp。
*xw.tmp是一段經過VBScript.Encode編碼的文字,解碼以後得到原本的惡意vbs指令碼。
vbs指令碼的內容如下:
此惡意vbs指令碼的主要功能為挖礦程式的安裝執行檢查環境以及下載執行挖礦程式的安裝包。
首先其透過登錄檔獲取挖礦機器的系統語言、系統版本以及CPU核心數量:
然後獲取到windows目錄並嘗試ping通惡意域名g-s.site/d:
檢查挖礦病毒的佈置環境,利用WMI命令進行檢查,機器上是否有一系列殺軟的存在,同時此指令碼似乎還會幫受害機器檢查是否有其他挖礦病毒,並對它們進行終止程式並刪除其挖礦病毒檔案,同時還會檢查自身病毒是否存在,以及存在的話是否需要更新:
其中檢查其他的挖礦病毒命令列特徵以及後面下載挖礦安裝包的函式都大量地包含了一個簡單解密過程。使用python還原解密過程,並選擇幾個命令來解密分析:
前兩個命令用於啟動http服務下載病毒檔案,後三個命令是其他挖礦病毒的命令列特徵。
最後,vbs指令碼要做的就是將挖礦病毒g.rar啟動起來了:首先此挖礦病毒會先檢查作業系統的版本,似乎病毒作者為windows server 2003 5.2.3790準備了專用的挖礦病毒g03.rar。透過檢查機器架構,確保為x86或x64後,使用stream物件下載g.rar並以g.exe的形式儲存到windows目錄後將其執行起來:
3.g.rar壓縮包
g.rar是一個包含自解壓命令的壓縮包,其相當於rar提供的安裝包安裝功能。可以被執行,執行後完成自解壓並向C:\windows\temp\目錄下釋放四個檔案,檔案如下:
自解壓命令如下:
Setup引數代表的路徑檔案在安裝完成後會被嘗試著執行,Cl.bat的內容如下,將會刪除挖礦病毒的安裝包程式:
另外audliodg.exe為挖礦啟動程式,其命名含義也是偽裝成為系統程式audliodg.exe。它會為那兩個挖礦程式儘可能地提供一個相對安全的工作環境。剩下兩個檔案分別為audliodg.exe將要啟動的挖礦程式,分別為32位和64位的版本。
詳見分析:
啟動程式首先根據檢測出來的入侵終端位數來將32位或64位版本的挖礦程式複製到temp目錄下偽裝成chromes.exe,然後搜尋audiodg.exe程式,終止下方四個程式。
接下來其會建立兩個執行緒,這兩個執行緒會盡可能地保證挖礦程式能夠穩定地執行下來,且進行挖礦的時候CPU資源足夠豐富:
第一個執行緒會每隔1.5秒檢查一次工作管理員的存在,如果存在,且挖礦程式正在執行的時候,其會終止挖礦程式,目的是防止被運維人員利用工作管理員察覺到程式存在。
第二個執行緒會每隔30分鐘執行一次,其目的似乎在於統計程式列表中非挖礦程式的單CPU消耗時長,如果達到某一條件就試圖終止這個程式:
主執行緒在建立完這兩個執行緒之後,會為挖礦程式設定礦池地址以及挖礦受益者使用者等引數:
4.tmp挖礦程式
g.rar安裝包釋放的兩個字尾為tmp的檔案事實上為一款開源的挖礦工具xmrig的32位與64位版本:
有意思的是研究人員根據威脅情報查到截至發稿,該挖礦病毒仍未獲取任何收益:
加固建議
1. 加強終端安全意識,不隨意下載執行來源不明的檔案。
2. 儘量關閉不必要的檔案共享許可權。
3. 更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
4. 安裝反病毒軟體定期進行終端檢測。
深信服產品解決方案
1.深信服安全感知、下一代防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
2.深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
3.深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4.深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
作為國內前沿的網路安全廠商,深信服多年來持續投入勒索防護研究,內容涵蓋黑產洞察、病毒研究、情報追蹤、投放分析,並沉澱出完整覆蓋突破邊界、病毒投放、加密勒索、橫向傳播等勒索攻擊鏈的系統性解決方案,目前已協助1000+各行業使用者有效構建起了勒索病毒防護最佳實踐。
作為國內前沿的網路安全廠商,深信服多年來持續投入勒索防護研究,內容涵蓋黑產洞察、病毒研究、情報追蹤、投放分析,並沉澱出完整覆蓋突破邊界、病毒投放、加密勒索、橫向傳播等勒索攻擊鏈的系統性解決方案,目前已協助1000+各行業使用者有效構建起了勒索病毒防護最佳實踐。