原标题: FakeMsdMiner开采病毒分析报告
近日,亚信安全捕获新型开采病毒FakeMsdMiner,该病毒利用永恒蓝、永恒浪漫等国安局漏洞进行攻击传播。 此病毒具有远程控制功能,可以获取系统的敏感信息。 通过修改主机文件拦截其他开采病毒的成果。 由于该病毒的开采程序将伪装成Microsoft系统服务msdtc.exe启动,因此将其命名为FakeMsdMiner。
攻击流程
intranet渗透模块分析详细信息(windowsd.exe程序分析)。
此程序将在C:WINDOWSFontsMysql目录中释放多个文件。 其中包括BAT脚本处理文件、端口扫描文件、永远的蓝色漏洞攻击文件、payload和下载程序构件。
mysql.bat脚本文件:
此脚本的主要功能是删除感染病毒的系统上存在的旧服务,安装并打开新服务MicrosoftMysql,然后添加计划任务cmd.bat。
cmd.bat脚本文件
该脚本的主要功能是端口和IP扫描,检查固定地址以查找出口IP和本机IP,获取IP地址的前两级,将下两级地址连接起来,然后扫描445和450端口,将结果保存在ips.txt中
load.bat脚本:
该脚本的主要功能是运行永蓝、永浪漫等NSA漏洞攻击程序,进行内部网渗透。
开采程序模块(mm.exe文件分析) )。
此模块还释放许多文件,包括开采程序、注入系统DLL文件和远程旋转木马程序。 1 .调用bat脚本,依次启动和运行这些程序。
修改LoadAppInit_DLLs注册表项,将DLL文件注入相应的系统。
将开采程序复制到msdtc.exe文件,伪装为Microsoft系统服务文件msdtc,开始安装服务的门罗货币开采。 使用的采掘机版本为XMRig 2.14.1。
关闭防火墙
删除与此次病毒相关的文件temp2.exe (本模块文件)和temp3.exe (漏洞攻击模块母体文件)。
将相关域名添加到主机文件中,然后指向139.180.214.175。 该地址是此次开采的矿山池的IP,开采木马试图通过将其他矿山池映射到与自己的矿山池对应的IP地址来侵占其他开采程序和木马的收益。
木马模块远程控制(work.exe文件分析) ) ) ) ) )。
首先从资源中检索并释放病毒评分程序,然后添加注册表启动服务。 即使使用资源工具,也可以看到此资源部分实际上是PE文件。
值得注意的是,分析时发现了Gh0st二字。 Gh0st是一个有名的开源远程控制程序,据推测,该远程控制模块很可能是由Gh0st远程控制程序修改的。
Dump提出了资源模块,分析了其主要功能是接受不同的指令执行不同的功能。 这也是常见的远程控制功能。
这包括录音功能。
录像屏幕功能:
在系统中提取权限,获取相关进程等信息:
获取机器窗口信息:
获取机器驱动器信息
要获取机器屏幕信息:
获取日志文件:
将收集的信息远程发送:
相关性分析
分析远程操作时,发现了Gh0st这个字。 Gh0st是一个以前比较流行的开源远程操作程序,目前使用Gh0st获得远程操作和控制的主要群体是“强棘球蚴”,声称来自中国的APT组织。
通过将函数导入Gh0st木马分析,我们发现此程序从Winsock库中导入了很多函数。 也就是说,该程序还可能与远程服务器建立连接,或从远程服务器接收连接。 同样使用了winmm库函数,但该函数wave与录音操作有关。 此远程控制核心代码也使用此库中的函数将录音信息发送到远程服务器。
从导入的库中,我们发现导入了msvfw32.dll文件。 这个DLL看起来为这个程序提供了视频功能,这也与这次远程控制程序将录像信息发送到远程服务器相匹配。
比较两者,他们使用了很多相同的库函数来实现正确的操作。
从代码中也可以看出,他们确实有很多相似的地方。 全部通过switch语句接收不同的指令,完成不同的功能。 例如,录音功能、屏幕录音功能等。
根据以上分析,认为此次开采程序的远程控制代码被Gh0st程序大大修正。
解决方案
使用系统防火墙高级设置阻止到445端口的连接。 此操作会影响使用445端口的服务。
尽量关闭不需要的文件共享
采用高强度密码,避免使用弱密码,定期更换密码;
打开系统自动更新,并检测更新以进行安装。
系统将应用与MS17-010兼容的Microsoft Windows SMB服务器安全更新(4013389 )修补程序。
有关详细信息,请参阅链接。 http://www.catalog.update.Microsoft.com/search.aspx? q=MS17-010回到搜狐,多看看吧
责任编辑: