freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    新家族挖矿蠕虫NSAMsdMiner可内网传播,企业客户注意防范
    2019-05-29 09:30:14
    所属地 广东省

    概述

    近期腾讯安全御见威胁情报中心捕获到新的挖矿木马家族,该木马使用NSA武器的永恒之蓝、永恒浪漫、永恒冠军、双脉冲星4个工具进行攻击传播。攻击者可完全控制中毒电脑,窃取企业机密信息,并利用中毒电脑资源运行门罗币挖矿程序,该病毒还同时具有劫持其他挖矿木马工作成果的能力。腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。

    24.png

    攻击者利用漏洞攻陷目标机器后,playload从位于某云服务器下载 Windowsd.exe(攻击模块)、work.exe(远程控制模块)、mm.exe(门罗币挖矿模块,32位系统下载的是XMR-NOSSL-x86.exe)到C:\programdata目录下,以子进程方式运行。 

    由于此次的木马特点为使用NSA武器攻击传播,并且将最终的挖矿程序伪装成微软系统服务msdtc.exe进行启动,因此腾讯御见威胁情报中心将其命名为NSAMsdMiner。NSAMsdMiner具有以下特点:

    1、 利用NSA武器中的4款工具在内网横向攻击扩散;

    2、 植入由Gh0st修改而成的远程控制木马,该木马可完全中毒电脑获取敏感信息,包括录音、截图、屏幕录像、下载运行其他恶意程序;

    3、 挖矿程序伪装系统服务msdtc.exe启动,在中毒电脑进行门罗币挖矿操作;

    4、 试图通过修改矿池映射的ip地址,来劫持其他挖矿程序的收益。 

    腾讯御见威胁情报中心监测数据表明,本次攻击主要影响浙江、广东、湖北等地的电脑。

    0.png

    攻击流程

    1.png

    NSAMsdMiner攻击流程

    详细分析

    windowsd.exe(temp3.exe)

    1、释放文件

    在C:\WINDOWS\Fonts\Mysql目录下释放3个批处理文件、端口扫描工具、NSA漏洞攻击工具、playload、下载程序wget。

    2.png

     

    2、创建子进程

    运行mysql.bat批处理程序,主要功能为删除感染过NSAMsdMiner病毒上老的服务MicrosoftMysql和计划任务,使用nssm(微软服务管理工具)程序安装cmd.bat为新的服务MicrosoftMysql,开启服务;使用at命令添加新的任务cmd.bat。

    3.png


    4.png


    3、cmd.bat批处理程序

    从hxxp://45.35.4.107/ip.php、hxxp://2019.ip138.com/ic.asp两个地址查询出口ip以及本机ip,获取要扫描的ip地址前2段,拼接后面2段地址,扫描455和450端口,结果保存在ips.txt中,调用load.bat脚本攻击。

    5.png


    4、load.bat批处理程序

    释放的工具中含有Esteemaudittouch,但load.bat脚本中并未调用,只调用了永恒之蓝、永恒浪漫、永恒冠军、双脉冲星漏洞攻击工具。

    6.png

    mm.exe(temp2.exe):

    1、释放文件

    在C:\WINDOWS\Fonts\Wbem目录下释放文件,包括挖矿程序、注入的dll文件(分64位和32位)、ipp.exe(功能和work.exe相同)。

    7.png

     

    2、创建子进程

    调用1.bat批处理文件:

    运行ipp.exe(功能和work.exe相同) 

    3、修改注册表AppInit_DLLs进行dll注入,注册表32位、64位都做了修改分别对应SecureAssessmentHandler.dll和SecureAssessmentHandlerstor.dll。 

    4关闭防火墙。 

    5、将挖矿程序xx.exe程序拷贝至c:\ProgramData\Microsoft\Windows\GameExplorer\msdtc.exe

    ,安装为系统服务启动,挖矿门罗币。

    8.png

     

    经检测矿机版本为XMRig 2.14.1:

    9.png


    钱包,查询钱包仅挖到0.2个门罗币,相当于一百多人民币

    4B6RmDfGQy37QXHgypebkJ3hS3N5wCt4q586zSVPu4S7UfSxG3rYpjBe8vPa9ziNn9DWiJU548AHRMxURkndYbWkBoRfPRJ 

    矿池:

    mssl1.se6.org:443

    139.99.118.233:443

    xmr.f2pool.com:13531

    47.101.30.124:13531 

    6、删除temp2.exe、temp3.exe。

    10.png

    7、hosts文件中追加域名(一些门罗币矿池)对应ip地址139.180.214.175,该地址实际上为此次的挖矿木马使用的矿池mssl1.se6.org指向的ip,挖矿木马试图通过将其他矿池映射到自己的矿池对应的ip地址,来劫持其他挖矿程序或木马的收益。

    11.png

    work.exe(temp1.exe):

    work.exe从样本自身资源释放库文件606641_res.tmp,文件尾追加用于创建互斥量的字符串”AAAAAABfIA+L0A9/748un2vQAAqaezs7Sf”,把释放的库文件移动到C:\windows\system32\FastUserSwitchingCompatibilityex.dll;FastUserSwitchingCompatibility服务对应的注册表中添加Parameter子键,写入ServiceDll项值为C:\windows\system32\FastUserSwitchingCompatibilityex.dll,启动服务。

    12.png

     

    FastUserSwitchingCompatibilityex.dll为远程控制木马核心程序,

    上线后连接到控制端地址fuck.chakuzi.cc:8447,等待服务器指令,可完成截屏、录音、遍历系统进程、线程注入、投递恶意程序等功能。

    13.png


    经分析控制指令由早年比较流行的木马Gh0st的思路修改而成。

    14.jpg


    录音,发送数据

    15.png

     

    获取窗口信息,发送数据

    15-1.png

    16.png

     

    17.png

     

    获取驱动器信息,发送数据

    18.png


    截屏,发送数据

    19.png


    录制屏幕,发送数据

    20.png

     

    投递恶意程序

    21.png


    读取保存的日志文件,发送

    22.png


    提权,遍历进系统程,获取获取文件名和模块名

    23.png

    安全建议

    1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

    2、下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞;

    3、使用腾讯御点终端安全管理系统拦截病毒攻击。

    4、推荐企业用户部署腾讯御界高级威胁检测系统发现、追踪黑客攻击线索。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)

    25.png


    5、对于已中招用户,除了使用杀毒软件清理NSAMsdMiner病毒外,还可以手动做以下操作:

    删除文件夹:

    C:\Windows\Fonts\Mysql\

    c:\windows\Fonts\Wbem\

    删除文件:

    c:\ProgramData\Microsoft\HelpLibrary\SecureAssessmentHandler.dll

    c:\ProgramData\Microsoft\HelpLibrary\SecureAssessmentHandlerstor.dll

    c:\ProgramData\Microsoft\cmd.exe

    c:\ProgramData\Microsoft\Windows\GameExplorer\msdtc.exe

    c:\Windows\system32\FastUserSwitchingCompatibilityex.dll(文件名后5位是ex.dll的都要删除)

    C:\windows\system32\syslog.dat

    IOCs

    IP

    45.35.4.107

    139.99.118.233

    47.101.30.124

    3.0.144.122 

    C&C

    fuck.chakuzi.cc:8447 

    MD5

    709574b67f09ef0641c727bd058e1482

    0a609787b1743d11b01bacd8a667b329

    54c8b9fe2bbbb3ccfdbe51f396d1d482

    52c89ea56e0e4e052e9f26bc0d0fad4b

    76fa149ab20f5e05a6e9f042f74f43ac

    d26b0efe521507241b92283ffa7c61ca

    821ed5816944c5d62ede670d88d54229

    fc5d56872988a769ac42a4f61be23355

    ff30717952e1eb557b64608795e0a746

    12db4dd31ea32a0ae7b2b87f5b0486d4

    a9ee7a046a9943aa397094ec4b239515

    632e548f860db1c3322101e5e4fb565d 

    URL

    hxxp://qrpic.oss-cn-shenzhen.aliyuncs.com/setup/work.exe

    hxxp://qrpic.oss-cn-shenzhen.aliyuncs.com/setup/mm.exe

    hxxp://qrpic.oss-cn-shenzhen.aliyuncs.com/setup/XMR-NOSSL-x86.exe

    hxxp://qrpic.oss-cn-shenzhen.aliyuncs.com/setup/Windowsd.exe

    hxxp://45.35.4.107/ip.php 

    矿池:

    mssl1.se6.org:443

    139.99.118.233:443

    xmr.f2pool.com:13531

    47.101.30.124:13531

    # 挖矿木马 # NSA武器库 # 门罗币挖矿木马 # NSAMsdMiner
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者