快速进击的挖矿僵尸网络：单日攻击破10万次

2018-05-25 10:54:07
我要分享


微信扫码分享

背景

2017年9月，360互联网安全中心首家发现了利用msSQL进行大规模入侵并释放挖矿木马的僵尸网络。木马先期通过永恒之蓝漏洞进行传播，后期转为对msSQL进行弱口令攻击传播，入侵成功后释放挖矿木马，获利达数百万之多。相关分析详见我们在2017年发布的报告：《悄然崛起的挖矿机僵尸网络：打服务器挖价值百万门罗币》。

近日，360互联网安全中心又发现了一批使用msSQL进行传播的挖矿木马的新型变种。此次木马攻击主要利用“白利用”这一通常出现在远控或盗号木马上的隐藏手段，说明此类木马已经具有了与安全软件对抗的意识。并且利用自身在扩散形式上的优势快速传播，出现仅6天，单日攻击次数就突破了10万次。另外，该木马早期曾出现过一个仅攻击一次就自我退出的版本，但该版本在大量传播之后便消失，我们怀疑这是一个作者早期用于验证程序功能的测试版：

样本分析

样本通过被入侵后的msSQL进行更新投递，包括一组exe和dll文件，通过白利用方式启动，其中exe文件为某公司带签名程序，名称被命名为help.exe如下

DLL模块被命名为active_desktop_render.dll，其导出表如下

执行逻辑

exe启动后会加载active_desktop_render模块，调用其导出函数SetDesktopMonitorHook，实际样本中直接调用了king1函数。king1函数首先判断当前模块名称，不同的文件名称则执行的流程也会不同，例如当

前名称为assist.exe时，则下载l.txt并内存加载执行，其他如下图所示

之后根据系统版本调整当前工作目录（用于后续文件落地时使用），其中不高于xp版本的位于根目录下/Docume~1/AllUse~1/Applic~1/，否则为/Users/Public/，同时间隔10分钟尝试下载a-n.txt名称的文件，其中大部分文件以插件形式内存加载执行。

插件模块及域名生成算法

通过上文可以知道，该dll的行为实则类似于插件管理器，其大多数情况下通过远程下载模块并自行加载，下图是样本模块加载流程示意图。

插件模块的加载

down_memLoader函数通过死循环等待文件下载成功，

实际下载后的文件内容如下，通过fscanf完成ascii到bin的转换，之后对文件内容在进行解密，然后加载执行导出函数a

域名生成算法(DGA)

样本下拉插件模块的服务器域名并不固定，而是通过前缀后缀方式拼接而成，其中前缀生成算法如下

后缀从如下列表中获取

通过简化之后其域名生成算法如下：

知道域名后，再拼接插件名称得到下载地址，但访问时服务器会检测当前请求的UA部分，样本内嵌的UA名称为onlyme。

d与l模块

d模块延迟十分钟后结束如下进程，其中 manager.exe和diagnosis.exe分别为m和n模块(未获取到),a.exe是提权用到的程序。

l模块负责结束上述进程并重新启动help.exe，间隔时间为10小时。

p模块

p模块在启动后，首先判断当前进程是否拥有管理员权限，若有则创建(已有则打开)名称为helpsys的服务，其二进制文件路径指向自身help.exe程序，如果权限不够，则远程拉取远端 tqdll.txt和tq.txt文件，通过名称可以猜测其主要功能为提权，若成功，则在下次运行时即可创建服务，保证自身持久化驻留服务器。

b模块

b模块是x64环境下使用到的，其部署64位环境下exe(repair.txt)和dll模块(64zhu.txt)，所有exe和dll功能与本文分析基本一致，只不过在x64下运行。同时下拉config.json与x.png，x.png 为xmr矿机(被64zhu.txt内存加载运行)，矿机配置文件config内容如下