从寄生虫到僵尸网络 挖矿木马大起底
作者:星期二, 一月 23, 20180

一、背景

“区块链、比特币”,持续火了大半年的话题。甚至有人将2017年定义为“数字货币的元年”, 炒币一日胜过炒股一年,当然也反之成立……

朋友圈铺天盖地的科普宣传文章,随处可见的培训教学沙龙,连投资圈大佬都要出来隔空喊话,区块链不止“表演”在创业公司的PPT上,甚至还“诞生”出了区块链养鸡这样的融资项目。

2009年,以区块链技术为基础的比特币的诞生为这平淡的一年增添了许多色彩,直到2017年,无论是以比特币为首的数字货币,还是各类山寨币身价飙升幅度超出了每一个人的想象。

“炒币”,这一现象已经超出了一般性投资理财的范畴,而面对“数字货币”如此巨大的利益诱惑,没有人不会心动。当WannaCry勒索病毒爆发时,黑客要求受害者以比特币方式支付赎金,真正让比特币得以被广大消费者认知。如今,他们离我们更近了,并以更常见的模样走进我们身边,那就是“挖矿木马”。

二、什么是挖矿、挖矿木马

在开始之前我们先来简单的说一下什么是“挖矿”,虚拟数字货币,如比特币、门罗币等,并非由特定的货币发行机构发行,而是依据特定算法通过大量运算所得。挖矿程序运用计算机强大的运算力进行大量运算,从而获取虚拟数字货币,这个过程就是人们常说的“挖矿”。但是,由于硬件性能的限制,虚拟数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币。

简而言之挖矿就是获取虚拟数字货币的过程,普通玩家肯定是通过布置大量“矿机”来加速数字货币的获取,由于“虚拟数字货币”拥有诱人的巨大利益,这一看似合理的设置在不法分子眼里却变了个样,他们开始尝试“不同寻常”的挖矿之路,更别说通过木马控制他人电脑在他们看来只是基础技能。

和普通木马一样,“挖矿木马”也是通过特定程序非法控制他人计算机,但不同之处在于,挖矿木马的作用是通过消耗被害主机的资源来获得虚拟数字货币,相比其他木马更具隐蔽性。

但是“挖矿木马”的危害性一点也不小,通过木马传播而沦为“矿工”的受害者电脑,会出现大量耗电,显卡、CPU等硬件急剧损耗等情况。受害者电脑出现CPU资源占用飙升(通常达到75%以上),电脑性能变差,发热量上升等问题,都是“挖矿木马”的功劳。针对近期挖矿病毒肆虐,亚信安全高级威胁应急响应团队将带您深入了解挖矿木马的“秘密”。

挖矿木马比我们想象中“热”

三、挖矿木马的分类

接下来我们详细讲讲挖矿木马的情况,常见的“挖矿木马”形式大致可分为两类:本地挖矿和云端挖矿。本地挖矿木马的代表当属KMSpico Windows“激活”工具,由于盗版Windows系统和office办公软件在国内屡禁不止,因此网络上流传着各种激活工具,比较知名就是KMSpico,黑客经常通过该激活工具传播挖矿病毒“Trojan/Miner”。当Trojan/Miner“遇上”KMSpico后,可造成的影响已不言而喻,尤其是国内刚刚引来一次更换Win10系统的热潮。

从百度指数上我们可以看到,从2013年开始到现在,搜索KMSpico工具的频次,平均每天都有1000+,这还不包括通过搜索KMS、spico、kmco等相关关键词,搜索的相关结果更是接近百万个,由于激活对于国内电脑用户来说是个高频动作,我们离“挖矿木马”多近可想而知。

比本地挖矿木马植入技术更高明的另一种木马植入形式正在悄然崛起,那就是:云端挖矿。云端挖矿是指黑客通过植入带有挖矿木马的JS脚本来窃取用户资源,进行在线挖矿。从行业内部讲,大多数情况下挖矿软件本身是存在后门的,黑客可利用此后门窃取用户的机器资源甚至用户的虚拟货币。

根据亚信安全高级威胁应急响应团队初步调查,确定Coinhive是一个提供恶意JS脚本的网站平台,允许攻击者将脚本挂到自己或被入侵的网站上,所有访问这些网站的用户都可能成为虚拟货币的挖掘矿工。

通俗来讲,Coinhive采矿平台专门为网站开拓“另一种”收入来源:不必在网页上夹带大量广告,只要在网页内嵌入开采Monero(门罗币)的代码即可,这些代码会使用访客电脑的运算资源来开采门罗币。Coinhive会从开采出来的门罗币中收取一定比例的佣金,其余则归网站所有。目前,越来越多的恶意软件开发者偏爱嵌入此类代码。

下图为嵌入网页中挖矿JS代码:

目前,我们检测到植入挖矿脚本的站点类型分布如下:

占比最多的是企业网站,比例高达62%,排在后面的依次是色情、博彩、游戏、小说以及视频等类型的网站。

企业网站存在大量风险

与此同时,许多挖矿平台还存在着诈骗与盗用盗刷信用卡的情况,用户的财产安全在不经意间受到了极大威胁。

四、黑产的影响

那么“挖矿木马”对我们有什么实际的影响呢?据统计,自2017年10月以来,挖矿站点数量呈现上涨趋势,越来越多的网站被发现被植入了挖矿木马,因网站被入侵而被动参与挖矿的网站也在增多。

亚信安全高级威胁应急响应团队的研究人员在发现了一些高流量的挖矿网站的同时,也监测到受影响的用户流量有明显增加。

在“挖矿”这条道路上,黑客为了使自己的利益最大化,可谓无所不用其极。常言道,魔高一尺,道高一丈,邪终不胜正。为了进行全方位的安全防护,亚信安全高级威胁应急响应团队的研究人员对收集到的以下病毒进行全面分析,并还原出病毒进入计算机后的各种行为,力求保障企业与用户安全,让大家对“挖矿木马”有更清晰的了解。

五、“挖矿木马”案例

  • 案例1:进入Windows主机后的“寄生虫” ——Conhosts.exe

我们通过对内存镜像的分析发现,在某台可疑计算机中,conhosts.exe进程占用的CPU空间高达75%,因此我们有理由怀疑该程序是木马程序。通过对进程conhosts.exe进一步分析,我们发现该程序的PID为856,存放路径是c:\windows\fonts,由csrss.exe创建并启动。同时csrss.exe存放路径也是c:\windows\fonts,而正常的csrss.exe存放路径应该存放在c:\windows\system32下,因此可以进一步判断该进程是一个木马程序。

通过分析,我们可以看到程序csrss.exe的所有文件操作、进程操作以及注册表操作,csrss.exe创建了6项注册表,从下图中可以看到,csrss.exe写入了自启动的注册表项等信息,同时创建了conhosts.exe木马程序。

通过对出conhosts.exe的进一步分析,可以明显看出conhosts.exe向矿池建立了链接,如下图所示:

通过矿池这个线索,继续追踪,可以看到c:\windows\Fonts\explorer.exe也是一个伪装的木马进程,通信的端口号为3333,5555和7777,如下图所示:

通过分析,explorer.exe木马进程有如下操作:

1. explorer.exe在c:\windows\Fonts目录下创建病毒所需的.bat,.reg,.exe等文件和2个注册表,如下图所示:

2. explorer.exe与多个IP建立的一系列链接。

3. explorer.exe创建了两个进程。其中一个进程是cmd.exe,另一个进程是attrib.exe。进程cmd.exe执行了cmd /c cd c:\wundows\fonts\&& 1.bat命令。

进程attrib.exe执行命令并隐藏病毒程序,因此,在c:\windows\Fonts目录下看不到.exe,.bat等文件,只能通过命令dir *.exe /a /s查看。

4. explorer.exe与外网通信。

由于木马的传播范围不能确定,因此可以通过检索内网所有机器是否有跟挖矿木马指定的IP有建立链接。如下图所示,我们发现另一台机器也向木马指定的外网IP通信,这就说明这台机器也中了挖矿木马。木马名称:winRARI.exe,进程路径:c:\windows\Fonts。

根据winRARI.exe这个线索继续调查发现winRARI.exe正在操作c:\windows\Fonts下的日志文件,可以猜测,这些日志文件应该是木马产生的日志文件。

另外发现winRARI.exe做了大量的文件操作,并且建立了大量的TCP链接。

根据获取到的外网IP地址和搜索网络协议DNS的查询记录,可以找到矿池地址。

以上为整个分析过程。目前,大部分已经被植入木马的windows计算机中,木马常以exe的方式来创建进程并在内网进行传播,如同案例一中所讲的例子。

但这还不算完,目前互联网中出现了新型的通过SSH协议进行传播的Linux挖矿木马,隐蔽性更强,更易于传播。接下来的案例二就是深入研究这一种挖矿木马的植入过程。

  • 案例2:新型的Linux加密货币挖矿机僵尸网络——PyCryptoMiner

随着IoT设备接受度越来越高,亚信安全高级威胁应急响应团队发现一种新型的Linux加密货币挖矿机僵尸网络——PyCryptoMiner,这种僵尸网络通过SSH协议进行传播。基于Linux系统构建僵尸网络是当今互联网中一种新兴的攻击方式,大量僵尸木马(病毒)都是由PERL/Python/Bash/Go/Ruby等脚本编写。利用脚本语言编写的木马几乎都可以达到静默传播的目的,而且很难被检测到,因此用脚本语言编写的恶意软件可以很容易被混淆。

主流僵尸网络的应用过程都是分为多个阶段执行的,一般在脚本执行后,会从C&C服务器取回一个进行编码后的脚本,而这就是被感染机器的主控制器(木马)。

控制器脚本会在受感染的机器上注册一个定时任务,这样可以长期驻留在感染设备中。脚本含有一个编码后的脚本,每隔6小时执行一次,从受感染的设备上收集敏感信息,同时会检查设备有没有被恶意软件感染,如果被感染,则检查受感染计算机的当前状态(目的、意图),检查是通过搜索预先定义的恶意软件名称来完成的。同时,僵尸主机可以以挖矿节点或者扫描节点的形式出现。

收集的信息会发送给C&C服务器,C&C服务器会以词典的形式将任务详情发回给僵尸主机,进而执行挖矿任务。

由于这两个恶意病毒占用大量的系统资源进行挖矿,对系统性能造成了比较大的影响,但是在调查过程中并没有发现这个病毒对文件进行加密或者有勒索行为,也没有盗取用户的敏感信息,也没有对系统造成破坏,所以,这类病毒隐蔽性极强。但大多数的病毒(木马)在对待我们的主机的时候并没有那么“友好”,所以对于用户来说,最好的方法还是做好防护策略、严密监控服务器资源消耗(CPU/load)。

我们都知道木马很容易变种,很多情况下杀毒软件未必能够识别。随着黑色产业趋于成熟,再加上近期受多个CVE漏洞影响,黑客利用漏洞可以远程在未经任何身份验证的服务器主机上执行任意代码。由于部分漏洞的细节和验证代码已公开,所以出现了大规模利用远程漏洞尝试的攻击。

六、小结

“木马”、”黑色产业”其实对于我们来说已经不是新鲜事物了,据估算,中国的黑产链有上百亿的规模。然而黑产对于利益的追逐越发现代化,它们会”充分”利用所能得到的一切有价值的资源,做到”物尽其用”,就像这次“挖矿木马”的肆虐一样。我们不能坐以待毙,在充分了解以后,采取一切必要的措施来保护自己,绝不能侥幸于对手的懒惰,希望本次分析能够对您有所帮助和启发。

七、附录:IOCs

文件名

酷艺影视vclient.exe 23679283a33d67239544ccd98f7f1580

VIP特权客户端.exe f1573da774f6f38b102d9978f01fafe

VIP客户端.exe 6793fa4cdbb9362b70e236200638ddfc

Xxmr.exe 15560eafda92ce0d1681b7926403d08e

Xt.exe a57e244c9c17edcfcbaaf6d28cb4b62b

Sc2.exe 5de6e84377a665d14ec2a5aa6872ae0b

矿池地址

门罗币矿池地址:

mine.ppxxmr.com:3333

Pool.xinemer.com:5555

Get.bi-chi.com:3333

比特币钻石矿池:

bcd.uupool.cn:6001

云储币矿池地址:

siamining.com:3333

Us-west.siamining.com:3333

Suamining.com:3333

超级现金矿池:

hcash-shanghai.globalpool.cc:3008

hcash-shanghai.globalpool.cc:3032

111.232.38.60:3008

比特币矿池 :

http://wakuang.aimczi.com:3333

http://wakuang.aimczi.com:5555

http://wakuang.aimczi.com:7777

外链C&C:

http://txrdr.com/sitecontent/

https://ooo.0o0.ooo/2017/01/22/

http://pastebin.com/raw/yDnzKz72

http://pastebin.com/raw/rWjyEGDq

http://k.zsw8.cc:8080 (104.223.37.150)

http://i.zsw8.cc:8080 (103.96.75.115)

http://208.92.90.51

http://208.92.90.51:443

http://104.223.37.150:8090

http://37.59.56.102:3333

http://37.59.56.102:5555

http://37.59.56.102:7777

http://37.59.44.193:3333

http://37.59.44.193:5555

http://37.59.44.193:7777

作者:亚信安全攻防实验室

分享:

相关文章

写一条评论

 

 

0条评论