360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器密码神器Mimikatz成作案利器,挖矿木马Tor2Mine感染大批“肉鸡矿工团”
- 2020-06-19 11:23:03
随着挖取比特币成本的大幅提升,门罗币成为新趋势,引诱来不少唯利是图的黑产团伙。近期,360安全大脑监测发现,一个活跃于2018年的加密货币挖矿组织Tor2Mine已按捺不住,带着野心卷土重来,通过大肆传播挖矿木马程序等手段控制大量设备,组织开展门罗币挖矿活动。
从360安全大脑监测数据来看,Tor2Mine极其擅长伪装,用户浑然不知便沦为挖矿“黑劳工”,俄罗斯、土耳其、西班牙、埃及等多国已遭殃。不过,广大用户不必太过担心,在360安全大脑的极智赋能下,360安全卫士已可强力拦截查杀Tor2Mine组织挖矿木马,保护广大用户网络安全。
下载站成“藏毒站”,点开运行有“惊喜”
据360安全大脑监测显示,此次Tor2Mine便从“人心”入手,将包含木马病毒的母体程序潜藏于某些下载站,利用已有的用户信任, 骗取下载运行,这相当于毫无戒备之下亲自开启“被盗”模式。
(从某些下载站下载运行的木马母体程序)
“开工”后,Tor2Mine的野心凸显,挖矿木马迅速通过创建计划任务的方式常驻并占用用户电脑,但这并不是故事的“结局”,其还会进行横向渗透传播,真可谓是欲壑难填。
(木马母体程序运行后,通过计划任务等方式常驻被感染机器)
经360安全大脑深入分析,发现其入侵后进行“敛财”的手段主要分为以下几步:
第一步:绕过杀软,清理“拦路虎”
入侵用户电脑后,该挖矿木马会运行一段powershell代码作为XMRigCC挖矿程序加载器,这一操作首先能判断当前进程权限是否属于管理员组,并根据权限的不同,进一步判断是否采取关闭杀软以及创建挖矿相关服务。
(Tor2Mine权限判断与首选项)
如果拥有管理员组权限,木马加载器将挖矿程序的执行路径添加为Windows Defender计划扫描和实时扫描的排除文件路径,并关闭Windows Defender,sophos,Hitman杀软进程。
(Tor2Mine对抗杀软)
当然,这波操作还会设置PowerShell首选项以忽略警告和错误继续静默执行,使其“行动轨迹”更为隐蔽,才能放肆“大干一场”。
第二步:创建计划任务和服务,备齐“挖矿工具”
木马加载器会先尝试清理原本可能存在的旧服务以及挖矿程序,随后下载替换原本的java.exe/javaw.exe作为挖矿主体,该程序作为XMRigCC的变体,与门罗币(XMR)采矿池“eu.minerpool.pw:443”进行通信。
接着,木马加载器还会创建多个计划任务及服务,皆用于运行挖矿程序java.exe/javaw.exe,并通过tor2web服务与暗网服务器通信,就这样,用户悄无声息沦为挖矿肉鸡。
(Tor2Mine创建的计划任务与服务名)
(图门罗币矿池地址以及登录名等信息)
第三步:反监控与横向渗透,可放肆“敛财”
注册完用于挖矿的计划任务后,该挖矿木马将从服务器下载del.ps1尝试关闭taskmgr", "perfmon", "SystemExplorer", "taskman", "ProcessHacker", "procexp64", "procexp", "Procmon", "Daphne"等监控软件的进程;下载ichigo-lite.ps1用于通过github开源项目调用Invoke-PowerDump(获取管理员权限),Invoke-WMIExec,Invoke-TheHash(WMI横向移动),从而达到横向渗透再次加载运行自己的目的。
(Tor2Mine利用开源项目横向渗透)
值得一提的是,在Tor2Mine的已屏蔽代码中,还可以发现利用密码抓取神器Mimikatz获取用户凭证,以用于横向渗透的代码,这就相当于利用“熟人”身份坑“熟人”,防不胜防。
360安全大脑的监测数据也显示,自3月13日后,Tor2Mine挖矿程序增长明显增速,表明Tor2Mine挖矿程序通过横向渗透的方式实现了病毒式传播,控制了大量设备。
(Tor2Mine利用Mimikatz横向渗透)
(Tor2Mine挖矿程序增长趋势图)
挖矿木马无感式作案“一举多得”,360安全大脑全天候严防死守
消费升级时代,顶配电脑越发受到用户追捧,与此同时,这也成为黑客攻击目标,尤其是这些擅长无感式潜伏的挖矿木马程序,其杀伤力不容小觑,一旦“落入敌手”,电脑沦为挖矿“黑劳工”的同时,也会增加硬件损耗。因此广大用户更要提高对此类挖矿木马的防范意识,保护自身网络安全。
最后,针对占用电脑资源的挖矿木马,360安全大脑给出以下几点安全建议:
1、 前往weishi.360.cn,下载安装360安全卫士,对此类挖矿木马威胁进行有效拦截;
2、 开启360安全卫士“网页安全防护”功能,辨别各类虚假诈骗网页,拦截钓鱼网站、危险链接。
3、 若发现系统资源消耗异常增高,要考虑挖矿木马运行的可能,及时使用360安全卫士进行体检扫描,查杀病毒木马;
4、 设置相关服务器/工作站访问权限,避免木马的横向传播;
5、 提高安全意识,建议软件从正规渠道下载,如官方网站或360软件管家等。
IOC信息:
MD5:
222a9bdabc947877026a31ed8333ed0b
fdcad5ceac5368016dfb69718874bddb
URLS:
hxxp://107.181.187.132/v1/check1.ps1
hxxp://107.181.187.132/v1/upd2.ps1
hxxps://v1.fym5gserobhh.pw/check.hta
hxxp://eu1.minerpool.pw/upd.hta
hxxp://eu1.minerpool.pw/eter.hta
hxxp://eu1.minerpool.pw/check.hta
hxxp://107.181.187.132/ps1/del.ps1
hxxp://107.181.187.132/ps1/cleaner.ps1
hxxp://res1.myrms.pw/upd.hta
hxxps://qm7gmtaagejolddt.onion.pet/check.hta
hxxps://eu1.ax33y1mph.pw/check.hta
hxxps://107.181.187.132/test/64.exe
hxxps://107.181.187.132/deps/rng.exe
hxxp://107.181.187.132/ps1/scanner.ps1
hxxps://185.10.68.147/win/3p/ichigo-lite.ps1
hxxp://185.10.68.147/win/sasd.bat
hxxp://185.10.68.147/win/val/ichigo.bin
hxxp://185.10.68.147/win/del.ps1
hxxps://185.10.68.147/win/min/64.exe
hxxp://185.10.68.147/win/update.hta
hxxps://185.10.68.147/win/deps/rx.exe
hxxps://asq.r77vh0.pw/win/checking.ps1
hxxps://asq.r77vh0.pw/win/hssl/r7.hta
hxxp://asq.r77vh0.pw/win/checking.hta
hxxps://asq.d6shiiwz.pw/win/ins/checking.ps1
hxxp://185.10.68.147/win/3p/watcher_np.ps1
hxxp://185.10.68.147/win/checking.hta
hxxp://185.10.68.147/win/php/func.php
hxxp://185.10.68.147/win/checking.ps1
hxxp://185.10.68.147/win/3p/checking.ps1
hxxp://107.181.187.132/win/win10.ps1
hxxp://107.181.187.132/check.hta
hxxp://asq.r77vh0.pw/win/php/func.php
hxxp://185.10.68.147/win/php/watcher.php
hxxp://107.181.187.132/ps1/ichigo_lite.ps1
hxxp://qlqd5zqefmkcr34a.onion.pet/win/checking.hta
hxxp://185.10.68.147/win/3p/mimi/kallen.ps1
hxxps://asq.d6shiiwz.pw/win/hssl/d6.hta
hxxp://fh.fhcwk4q.xyz/win/checking.hta
hxxps://fh.fhcwk4q.xyz/win/checking.hta
hxxp://185.10.68.147/win/sc.ps1
hxxps://qlqd5zqefmkcr34a.onion.pet/win/checking.hta
hxxp://v1.fym5gserobhh.pw/v1/check1.ps1
hxxp://v1.fym5gserobhh.pw/php/func.php
hxxp://107.181.187.132/php/func.php
hxxp://107.181.187.132/v1/bat/zazd.bat
hxxp://107.181.187.132/v1/bat/localcheck.bat
hxxp://107.181.187.132/nopwsh/v1.exe
hxxps://eu1.minerpool.pw/checks.hta
hxxp://107.181.187.132/v1/clocal.ps1
hxxp://107.181.187.132/val/ichigo.bin
hxxp://107.181.187.132/val/ichigo2.bin
hxxps://gitlab.com/jonas112233/test/raw/master/64.exe
hxxps://gitlab.com/jonas112233/test/raw/master/32.exe
京公网安备 11000002000006号