這篇文章給大家介紹WMAMiner挖礦蠕蟲(chóng)實(shí)例分析，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

湖州網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、自適應(yīng)網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)公司成立于2013年到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專(zhuān)注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

概述

蘭云科技銀河實(shí)驗(yàn)室在多個(gè)監(jiān)測(cè)點(diǎn)用“蘭眼下一代威脅感知系統(tǒng)”檢測(cè)到多起同類(lèi)未知威脅事件，殺毒軟件檢測(cè)率非常低，經(jīng)過(guò)分析發(fā)現(xiàn)這是某個(gè)挖礦僵尸網(wǎng)絡(luò)的肉雞更新程序，為了躲避殺毒軟件查殺，特地將主控程序加密并放到資源中。樣本通過(guò)MS17-010（永恒之藍(lán)）漏洞進(jìn)行傳播，定時(shí)和C&C進(jìn)行連接接受命令和更新模塊，主要目的為挖掘門(mén)羅幣，基于挖礦木馬的典型行為，我們將此蠕蟲(chóng)組建的僵尸網(wǎng)絡(luò)命名為WMAMiner botnet。

蘭眼下一代威脅感知系統(tǒng)檢測(cè)截圖    

VirusTotal檢測(cè)截圖    

0x1 釋放主控樣本

通過(guò)分析發(fā)現(xiàn)僵尸網(wǎng)絡(luò)擁有x86和x64平臺(tái)的惡意組件，這里以x86平臺(tái)作為分析，樣本首先獲取系統(tǒng)目錄并和下面字符串拼接，拼接出如下:

C:\WINDOWS\system32\EnrollCertXaml.dll

C:\WINDOWS\system32\wmassrv.dll

C:\WINDOWS\system32\WMASTrace.ini

首先刪除上面三個(gè)文件

之后獲取資源，創(chuàng)建并寫(xiě)入文件C:\WINDOWS\system32\EnrollCertXaml.dll中

   
這個(gè)文件并不是一個(gè)可執(zhí)行文件

先是讀入文件內(nèi)容然后解密將解密的內(nèi)容寫(xiě)入C:\WINDOWS\system32\wmassrv.dll中

可以發(fā)現(xiàn)解密后是一個(gè)可執(zhí)行文件

之后是獲取C:\WINDOWS\system32\svchost.exe的文件時(shí)間，并設(shè)置成wmassrv.dll、EnrollCertXaml.dll的文件時(shí)間

可以看到這樣文件的修改時(shí)間就跟系統(tǒng)其他文件的修改時(shí)候大致相同了，對(duì)主機(jī)檢查起到一定的迷惑效果

之后便是設(shè)置wmassrv.dll為服務(wù)程序，并設(shè)置持久化

   
   
最后刪除自身

0x2 主控模塊

主控模塊流程圖

作為服務(wù)的主控模塊，會(huì)首先創(chuàng)建C:\WINDOWS\system32\WMASTrace.ini，并寫(xiě)入一個(gè)加號(hào)

會(huì)先停止一些服務(wù)，一些是之前僵尸網(wǎng)絡(luò)留下的服務(wù)

在初始化之后，便是開(kāi)啟多線程，每個(gè)線程都是一個(gè)模塊

0x2.1 更新模塊

每5個(gè)小時(shí)連接 sand.lcones.com和plam.lcones.com 兩個(gè)地址    

如果連接成功，樣本會(huì)首先連接sand.lcones.com/resource    

如果有內(nèi)容會(huì)下載plam.lcones.com/modules.dat     

如果返回值等于200

寫(xiě)入EnrollCertXaml.dll 文件中

0x2.2 C&C通信模塊

 本樣本共有兩個(gè)C&C地址，一個(gè)是通過(guò)http協(xié)議進(jìn)行通信，一個(gè)是通過(guò)tcp協(xié)議進(jìn)行通信

0x2.2.1 HTTP 通信

通信地址為tecate.traduires.com,沒(méi)隔5隔小時(shí)連接一次

收集系統(tǒng)信息    

拼接成如下圖所示，并發(fā)送    

通過(guò)返回?cái)?shù)據(jù)解析有下面三個(gè)命令

命令 0 啟動(dòng)某個(gè)進(jìn)程

命令1 下載并執(zhí)行 通過(guò)regsvr32.exe

   

命令2 下載到臨時(shí)文件夾并執(zhí)行

0x2.2.2 TCP通信

TCP通信模塊也是5個(gè)小時(shí)連接一次

連接的域名為split.despcartes.tk，有趣的是在這里面做了些間接調(diào)用，隱藏了些關(guān)鍵函數(shù)

進(jìn)行連接，端口為8080

連接成功接收數(shù)據(jù)

收集的發(fā)送系統(tǒng)信息

0x2.3 挖礦模塊

釋放TasksHostServices.exe 經(jīng)過(guò)分析這個(gè)是開(kāi)源門(mén)羅幣挖掘工具h(yuǎn)ttps://github.com/xmrig/xmrig/releases

通過(guò)以下參數(shù)進(jìn)行啟動(dòng)

0x2.4 傳播模塊 

釋放C:\WINDOWS\SpeechsTracing\spoolsv.exe  并執(zhí)行，該模塊會(huì)首先釋放Crypt,而這個(gè)其實(shí)是一個(gè)ZIP壓縮包

解壓縮后我們發(fā)現(xiàn)是NSA泄露的漏洞利用包

通過(guò)掃描內(nèi)網(wǎng)445端口，進(jìn)行傳播

配置文件

傳播成功后，會(huì)將x86.dll或者64.dll作為payload,繼續(xù)看看x86.dll的功能

首先會(huì)監(jiān)聽(tīng) 52137端口

而這時(shí)spoolsv.exe會(huì)讀取EnrollCertXaml.dll并連接并發(fā)送    

X86接收EnrollCertXaml.dll并解密出wmassrv.dll 注冊(cè)成服務(wù) 開(kāi)始下一輪傳播    

0x2.5防止停止模塊

樣本還是實(shí)時(shí)查看電腦中是否開(kāi)啟了任務(wù)管理器，如果開(kāi)啟，則會(huì)關(guān)閉

0x2.6 web服務(wù)器模塊

會(huì)安裝 開(kāi)源WebHost\\mongoose工具，作為服務(wù)器，監(jiān)聽(tīng)  63257端口    

如果連接成功，則會(huì)發(fā)送EnrollCertXaml.dll    

近年隨著區(qū)塊鏈技術(shù)的興起，區(qū)塊鏈幣的流行，黑客也越來(lái)越集中關(guān)注挖礦帶來(lái)的經(jīng)濟(jì)利益，與之對(duì)應(yīng)的挖礦類(lèi)威脅越來(lái)越嚴(yán)重。此類(lèi)木馬在隱蔽性強(qiáng)，主動(dòng)內(nèi)網(wǎng)傳播，建議客戶部署相應(yīng)安全設(shè)備，及時(shí)打好補(bǔ)丁，關(guān)閉445等端口，提前做好挖礦類(lèi)威脅的安全防范。

關(guān)于WMAMiner挖礦蠕蟲(chóng)實(shí)例分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。