近期,360安全大脑监测到KingMiner挖矿木马的最新变种较为活跃,病毒作者利用SqlServer弱口令爆破获取系统权限,进而植入挖矿木马。该木马采用白利用的方式挖取门罗币。病毒作者为保证挖矿流程成功执行,在XP以上系统中,还会执行备用流程,利用powershell内存加载的方式挖取门罗币,整体的病毒流程,如下图所示:
KingMiner挖矿木马的感染分布图
不过广大用户无需担心,360安全卫士已支持针对该类木马的拦截查杀,建议广大用户及时下载安装360安全卫士保护电脑隐私及财产安全。
弱口令爆破获取系统权限
清理旧部伺机开展新一轮挖矿
在利用SQLserver弱口令取得系统权限后,KingMiner挖矿木马会执行%UserProfile%\Music\1.vbs清理老旧版本,然后下载最新的病毒变种进行部署,在XP以上系统中,除了安装白利用的病毒模块外,还会执行powershell反射加载挖矿动态库的备用流程。整体代码逻辑如下:
1.vbs下载*a1.zip,但是此文件并非压缩文件,而是一个xml格式的文件,其DOM对象中存储着以base64编码后的病毒压缩包,这种方式能在一定程度上躲避安全软件的检测。
1.vbs下载该xml文件并解析出其中的压缩文件,将其存储到%UserProfile%\Music目录下并在解压后执行alger.exe,相关代码如下:
解压后的目录结构如下图所示,其中alger.exe是病毒利用的白文件,携带Google的有效数字签名:
alger.exe运行后会加载病毒动态库goopdate.dll,该动态库会读取x.txt中的内容进行解密,解密出libxmrig.dll,解密逻辑如下图所示:
解密出的libxmrig.dll携带如下字符串,是病毒作者自己编译的xmrig开源挖矿程序:
libxmrig.dll会读取config.json中的配置信息开始挖矿,相关配置信息,如下图所示:
XP以上系统差别待遇
部署备用挖矿流程双管齐下
当系统是windows xp以上时,还会执行备用流程,利用powershell反射加载的方式确保挖矿流程成功执行:
当检测到alger.exe进程不在运行时,就下载n.txt进行执行,n.txt下载241*.txt进行解密,解密后是libxmrig.dll挖矿程序,然后加载libxmrig.dll开始挖矿。相关逻辑如下:
“零成本、高收入”利益驱动下
黑产成为挖矿木马运作新模式
由于利用挖矿木马挖矿是一种几乎零成本的获利方式,即使加密货币价格走势变动不定,一些大型挖矿家族仍能将挖矿生意做到风生水起。在这种“零成本、高收入“的盈利模式下,挖矿木马幕后的操纵者也由”野路子”黑客转向商业化程度极高的黑产组织,部分黑产家族彼此之间还进行着”商业合作”。
如2019年6月,360安全大脑监测到大型挖矿僵尸网络“WannaMine”进行的一次更新中,除了启用新的域名外,它在通过“永恒之蓝”漏洞攻击武器传播的基础上增加了SSH爆破、MsSQL爆破、SMB爆破,将魔爪伸向数据库与Linux服务器,在受害机器中植入挖矿木马与DDoS木马。这就是说,WannaMine可能与其他黑产家族进行合作,摇身一变成为“军火商”为其他黑产家族定制化恶意程序。可以预测,未来挖矿黑产疆域必将进一步扩大,各大家族间的合作也将更加普遍,为谋求更高额利润,企业自然也会成为挖矿家族眼中的“盘中餐”。
当下挖矿木马发展形势严峻,为避免损失进一步扩大,360安全大脑建议广大用户做好以下防御措施,抵御挖矿攻击:
1、360安全卫士可拦截该类木马的攻击,广大用户可前往weishi.360.cn,下载安装360安全卫士保护电脑安全;
2、KingMiner主要通过爆破SqlServer服务器的弱口令进行传播,用户可以通过修改弱口令来有效的防御此类木马的入侵;
3、发现电脑异常时,及时使用360安全卫士进行体检扫描,查杀病毒木马;
4、及时为系统和应用软件打补丁,关闭不必要的端口和服务。
来源 360安全卫士 |
|
|
|
评论
直达楼层