FakeMsdMiner挖矿病毒预警

相关文章推荐

长情的火柴 · “显示”不是一个有效的命令- ...· 8 月前 ·

暗恋学妹的长颈鹿 · 如何解决用ESLint验证导致报错的问题_f ...· 11 月前 ·

酒量大的饭卡 · Python是怎样定位和修改文件读写位置的？ ...· 1 年前 ·

精明的大白菜 · Vivado doesn't ...· 1 年前 ·

豪情万千的单车 · 安装Apache ...· 1 年前 ·

发布者：lijunhua 发布时间：2019-06-10 浏览次数： 2095

近日，亚信安全截获新型挖矿病毒FakeMsdMiner，该病毒利用永恒之蓝，永恒浪漫等NSA漏洞进行攻击传播。该病毒具有远控功能，可以获取系统敏感信息。其通过修改HOST文件方式截获其他挖矿病毒的成果。由于该病毒的挖矿程序伪装成微软系统服务msdtc.exe进行启动，所以我们将其命名为FakeMsdMiner。
攻击流程

详细分析

内网渗透模块分析（windowsd.exe程序分析）

此程序会在C:\WINDOWS\Fonts\Mysql目录释放多个文件，其中包括BAT脚本处理文件、端口扫描文件、永恒之蓝漏洞攻击文件、payload以及下载程序wget。

mysql.bat脚本文件：
该脚本主要功能是删除感染过该病毒的系统中存在的旧服务，安装并开启新的服务MicrosoftMysql，并添加计划任务cmd.bat。

cmd.bat脚本文件
该脚本主要功能是端口和IP扫描，通过查询固定地址寻找出口IP和本机IP，获取IP地址的前2段，拼接后面2段地址，然后扫描445和450端口，将结果保存在ips.txt中，启动load.bat脚本进行攻击。

load.bat脚本：
该脚本主要功能是运行永恒之蓝、永恒浪漫等NSA漏洞攻击程序，进行内网渗透。

挖矿程序模块（mm.exe文件分析）
该模块同样会释放很多文件，其中包括挖矿程序、注入系统的DLL文件以及远控木马程序。通过调用1.bat脚本，依次启动和运行这些程序。

通过修改LoadAppInit_DLLs注册表项，将DLL文件注入到相应的系统中。

将挖矿程序复制到msdtc.exe文件中，伪装成微软系统服务文件msdtc，并为其安装服务启动门罗币挖矿，其使用的矿机版本为：XMRig 2.14.1。

关闭防火墙

删除与本次病毒相关的文件 temp2.exe(本模块文件)和temp3.exe(漏洞攻击模块母体文件)。

在host文件中追加相关域名指向139.180.214.175，该地址为本次挖矿的矿池IP, 挖矿木马试图通过将其他矿池映射到自己的矿池对应的ip地址，来劫持其他挖矿程序或木马的收益。

远程控制木马模块（work.exe文件分析）
首先从资源截取释放病毒核心程序，然后添加注册表，开启服务。我们使用资源工具也同样可以看到，该资源区段其实就是一个PE文件。

值得注意的是，我们在分析时发现了Gh0st字样，Gh0st是著名的开源远程控制程序，我们猜测该远控模块很有可能是用Gh0st远控程序修改而来。

Dump出资源模块，我们分析发现其主要功能就是接受不同指令执行不同的功能。这也是常见的远控功能。

其中包括录音功能：

录制屏幕功能：

在系统中提权，获取相关进程等信息：

获取机器窗口信息：

获取机器驱动器信息

获取机器屏幕信息：

获取日志文件：

将收集的信息发送至远端

解决方案

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）。
尽量关闭不必要的文件共享；
采用高强度的密码，避免使用弱口令密码，并定期更换密码；
打开系统自动更新，并检测更新进行安装。；
系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序。
详细信息请参考链接：http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010

亚信安全解决方案

亚信安全病毒码版本15.149.60 ，云病毒码版本15.149.71，全球码版本15.149.00已经可以检测，请用户及时升级病毒码版本。
亚信安全OSCE VP / DS DPI开启以下规则拦截该漏洞：
- 1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)
- 1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
- 1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)
- 1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)
- 1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
亚信安全深度发现设备TDA 检测规则如下：
2383:CVE-2017-0144-Remote Code Executeion-SMB(Request)
亚信安全Deep Edge已发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则：

规则名称：微软MS17 010 SMB远程代码执行1-4，规则号:1133635,1133636,1133637,1133638

IOCs

文件名	文件信息	亚信安全检测名
windowsd.exe漏洞攻击程序	ff30717952e1eb557b64608795e0a746	TROJ_EQUATED.J
mm.exe 挖矿母体程序	fc5d56872988a769ac42a4f61be23355	TROJ_GEN.R03BC0PD219
work.exe 远控木马	76fa149ab20f5e05a6e9f042f74f43ac	TROJ_REDOS.SM2
msdtc.exe 挖矿主体程序	52c89ea56e0e4e052e9f26bc0d0fad4b	Coinminer.Win64.TOOLXMR.SMI
远控服务核心程序	E4D55F3459675C3D16ABF84EFF7E4E95	TROJ_REDOS.SM2
Gh0st远控程序	abdabfea475959703fb1957413b39cad	BKDR_FARFLI.SMQ