病毒预警
据深圳博安特科技了解,近日,亚信安全截获新型挖矿病毒FakeMsdMiner,该病毒利用“永恒之蓝”、“永恒浪漫”等NSA漏洞进行攻击传播。该病毒具有远控功能,可以获取系统敏感信息。其通过修改HOST文件方式截获其他挖矿病毒的成果。由于该病毒的挖矿程序伪装成微软系统服务msdtc.exe进行启动,所以亚信安全将其命名为FakeMsdMiner。
FakeMsdMiner挖矿病毒攻击流程
FakeMsdMiner挖矿病毒详细分析
内网渗透模块分析(windowsd.exe程序分析)
此程序会在C:WINDOWSFontsMysql目录释放多个文件,其中包括BAT脚本处理文件、端口扫描文件、永恒之蓝漏洞攻击文件、payload以及下载程序wget。
mysql.bat脚本文件:该脚本主要功能是删除感染过该病毒的系统中存在的旧服务,安装并开启新的服务MicrosoftMysql,并添加计划任务cmd.bat。
cmd.bat脚本文件:该脚本主要功能是端口和IP扫描,通过查询固定地址寻找出口IP和本机IP,获取IP地址的前2段,拼接后面2段地址,然后扫描445和450端口,将结果保存在ips.txt中,启动load.bat脚本进行攻击。
load.bat脚本:该脚本主要功能是运行永恒之蓝、永恒浪漫等NSA漏洞攻击程序,进行内网渗透。
挖矿程序模块(mm.exe文件分析)
该模块同样会释放很多文件,其中包括挖矿程序、注入系统的DLL文件以及远控木马程序。通过调用1.bat脚本,依次启动和运行这些程序。
通过修改LoadAppInit_DLLs注册表项,将DLL文件注入到相应的系统中。
将挖矿程序复制到msdtc.exe文件中,伪装成微软系统服务文件msdtc,并为其安装服务启动门罗币挖矿,其使用的矿机版本为:XMRig 2.14.1。
将防火墙关闭。
删除与本次病毒相关的文件temp2.exe(本模块文件)和temp3.exe(漏洞攻击模块母体文件)。
在host文件中追加相关域名指向139.180.214.175,该地址为本次挖矿的矿池IP,挖矿木马试图通过将其他矿池映射到自己的矿池对应的ip地址,来劫持其他挖矿程序或木马的收益。
远程控制木马模块(work.exe文件分析)
首先从资源截取释放病毒核心程序,然后添加注册表,开启服务。研究人员使用资源工具也同样可以看到,该资源区段其实就是一个PE文件。
值得注意的是,研究人员在分析时发现了Gh0st字样,Gh0st是著名的开源远程控制程序,推测该远控模块很有可能是用Gh0st远控程序修改而来。
Dump出资源模块,研究人员分析发现,其主要功能就是接受不同指令执行不同的功能。这也是常见的远控功能。
其中包括录音功能:
录制屏幕功能:
在系统中提权,获取相关进程等信息:
获取机器窗口信息:
获取机器驱动器信息:
获取机器屏幕信息:
获取日志文件:
将收集的信息发送至远端:
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)。
尽量关闭不必要的文件共享;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
打开系统自动更新,并检测更新进行安装。
系统打上MS17-010对应的Microsoft Windows SMB服务器安全更新(4013389)补丁程序。详细信息请参考链接:http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010
亚信安全产品解决方案
亚信安全病毒码版本15.149.60,云病毒码版本15.149.71,全球码版本15.149.00已经可以检测,请用户及时升级病毒码版本。
亚信安全OSCE VP / DS DPI开启以下规则拦截该漏洞:
1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE- 2017-0146)
1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)
1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)
1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
亚信安全深度发现设备TDA检测规则如下:
2383:CVE-2017-0144-Remote Code Executeion-SMB(Request)
亚信安全Deep Edge已发布了针对微软远程代码执行漏洞CVE-2017-0144的4条IPS规则:
规则名称:微软MS17 010 SMB远程代码执行1-4,规则号:1133635,1133636,1133637,1133638
IOCs