尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
下載後文件名
MD5
功能
%appdata%Microsoftcred.ps1
E05827E44D487D1782A32386123193EF
Powershell攻擊模塊
%temp%mn.exe
66EA09330BEE7239FCB11A911F8E8EA3
挖礦模塊
%temp%4-8個字符的隨機名稱
CDF6384E4CD8C20E7B22C2E8E221F8C8
python編寫的攻擊模塊
%temp%ddd.exe
8A2042827A7FCD901510E9A21C9565A8
新增挖礦模塊
表:病毒下載的各模塊
新版挖礦木馬病毒「DTLMiner」不僅會導致中毒機器CPU占用率過高,機器卡頓,同時還會導致顯卡占用率過高,顯卡發熱等現象,嚴重影響用戶正常工作。目前瑞星ESM已能成功查殺該病毒的最新版本。
圖:瑞星ESM查殺截圖
「DTLMiner」挖礦木馬的黑歷史:
2018年12月,「驅動人生」的升級模塊被不法分子利用傳播挖礦木馬病毒「DTLMiner」,短期內感染數萬台計算機。
2019年2月、3月又分別進行了更新,增加了數字簽名與弱口令攻擊,攻擊面進一步增大,同時又躲避查殺。
此次瑞星截獲的「DTLMiner」已經是第5次變種。
針對該木馬病毒對企業網路安全帶來的潛在威脅,瑞星安全專家建議:
1、安裝永恒之藍漏洞補丁,防止病毒通過漏洞植入;
2、系統和數據庫不要使用弱口令帳號密碼;
3、多台機器不要使用相同密碼,病毒會抓取本機密碼,攻擊局域網中的其它機器;
4、安裝殺毒軟件,保持防護開啟。
新版挖礦木馬病毒「DTLMiner」通過漏洞和弱口令攻擊植入,創建快捷方式開機自啟動。
圖:病毒創建的快捷方式
快捷方式運行之後,執行flashplayer.tmp。此文件是一個腳本,使用JS 調用PowerShell腳本下載。
圖:flashplayer.tmp 內容
圖:多層混淆的下載模塊
最終解密出下載腳本,腳本運行後首先獲取本機網卡mac地址,獲取本機安裝的殺毒軟件信息。
圖:獲取本機網卡和殺軟信息
之後隨機延時一段時間。
圖:延時一段時間
判斷配置文件是否存在,如果不存在則下載對應樣本。
圖:根據配置文件下載對應樣本
1)如果配置文件k1.log不存在,則創建計劃任務持久駐留。
根據用戶權限不同,創建的計劃任務不同,如果當前用戶是管理員權限則訪問:http://v.y6h.net/g?h + 當前日期,如果當前用戶非管理員權限則訪問:http://v.y6h.net/g?l + 當前日期。
圖:下載更新腳本
計劃任務的功能是訪問此網址,使用PowerShell執行獲取到的內容。目前此網址處於無法訪問狀態,攻擊者隨時可以開啟,下發任意腳本。
2)如果配置文件kkkk2.log不存在,則下載new.dat保存為cred.ps1,內容是混淆的PowerShell腳本。
圖:下載cred.ps1
判斷文件大小是否正確,如果正確則創建計劃任務定時執行cred.ps1。
圖:執行cred.ps1
cred.ps1 腳本被多層混淆。
圖:多層混淆的cred.ps1 腳本
解密後可以看到,此版本是V5。
圖:病毒版本
此模塊主要還是為了攻擊。
圖:cred.ps1 腳本主要功能
調用永恒之藍漏洞攻擊。
圖:永恒之藍漏洞攻擊
eb7函數針對win7和win2008。
圖:eb7函數
eb8函數針對win8和win2012。
圖:eb8函數
SMB弱口令攻擊。
圖:SMB弱口令
完整的密碼列表如下,如果使用以下密碼,建議盡快修改。
123456″,”password”,”PASSWORD”,”123.com”,”[email protected]”,”Aa123456″,”qwer12345″,”[email protected]”,”[email protected]”,”golden”,”[email protected]#qwe”,”[email protected]”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”[email protected]”,”999999″,”Passw0rd”,”[email protected]#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]$$w0rd”,”[email protected]$$word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”
圖:cred.ps1攻擊模塊內置的弱口令列表
攻擊成功後,調用CopyRun函數,將 FlashPlayer.lnk和flashplayer.tmp植入被攻擊機器,被攻擊機器又會開始新的一輪循環,下載病毒攻擊其它機器。
圖:植入病毒
3)如果配置文件333.log不存在,則下載mn.dat,命名為mn.exe,此模塊就是之前的挖礦模塊。
圖:下載mn.exe
4)如果配置文件kk4.log不存在,則下載ii.da,並使用4-8位隨機字母命名,例如 hjqgbs.exe,此模塊就是之前的攻擊模塊,使用Python開發,使用pyinstaller打包。
圖:下載ii.dat 並隨機命名
判斷下載的文件大小是否正確,如果正確則創建計劃任務運行此exe,根據不同的權限使用不同的方法運行,如果是管理員權限,直接創建計劃任務運行此exe。
圖:運行下載的exe
如果非管理員權限,則釋放run.vbs腳本,將run.vbs腳本設置為計劃任務,通過腳本運行此exe。
圖:調用vbs腳本運行下載的exe
釋放的run.vbs腳本。
圖:vbs腳本內容
此exe仍然使用竊取的數字簽名。
圖:竊取的數字簽名
解包後可以看到Python腳本。
圖:Python腳本
腳本使用了base64編碼。
圖:base64編碼的腳本
解碼後得到病毒的Python代碼,代碼中的關鍵字符串也進行了混淆。
圖:混淆的代碼
圖:混淆的代碼
去混淆後,可以看到最終的病毒代碼,病毒最開始會通過內存映射,檢測當前版本。首先打開內存映射讀取內容,如果沒有獲取到映射的內存,則創建內存映射將自身的路徑+「**」+當前版本號+「$$」寫入到新創建的內存映射中。
圖:內存映射
如果獲取到內存映射,則解析映射中的版本號和內存映射中的文件路徑,計算MD5。如果當前程序的MD5和內存映射中路徑對應的文件MD5相同,則不執行操作。
圖:計算MD5
否則判斷當前版本是否大於內存映射中的版本,如果大於結束之前版本的進程,當前程序復制過去。
圖:判斷版本
之後就是攻擊傳播的部分,病毒內置的攻擊IP段、弱口令帳號密碼列表。
圖:弱口令列表
弱口令密碼又進行了擴充,完整的密碼如下,如果當前計算機或者數據庫軟件使用了此列表中的密碼,建議盡快修改密碼。
‘123456’,’password’,’qwerty’,’12345678′,’123456789′,’123′,’1234′,’123123′,’12345′,’12345678′,’123123123′,’1234567890′,’88888888′,’111111111′,’000000′,’111111′,’112233′,’123321′,’654321′,’666666′,’888888′,’a123456′,’123456a’,’5201314′,’1qaz2wsx’,’1q2w3e4r’,’qwe123′,’123qwe’,’a123456789′,’123456789a’,’baseball’,’dragon’,’football’,’iloveyou’,’password’,’sunshine’,’princess’,’welcome’,’abc123′,’monkey’,'[email protected]#$%^&*’,’charlie’,’aa123456′,’Aa123456′,’admin’,’homelesspa’,’password1′,’1q2w3e4r5t’,’qwertyuiop’,’1qaz2wsx’,’sa’,’sasa’,’sa123′,’sql2005′,’1′,'[email protected]’,’sa2008′,’1111′,’passw0rd’,’abc’,’abc123′,’abcdefg’,’sapassword’,’Aa12345678′,’ABCabc123′,’sqlpassword’,’1qaz2wsx’,’1qaz!QAZ’,’sql2008′,’ksa8hd4,[email protected]~#$%^&*()’,’4yqbm4,m`[email protected]~#$%^&*(),.; ‘,’4yqbm4,m`[email protected]~#$%^&*(),.;’,’A123456′,’database’,’saadmin’,’sql2000′,’admin123′,'[email protected]’,’sql123′,’sasasa’,’adminsa’,’sql2010′,’sa12345′,’sa123456′,’saadmin’,’sqlpass’
圖:Python攻擊模塊內置的密碼列表
病毒仍然會抓取密碼,因此局域網中多台機器使用相同密碼,一台機器中毒,也會導致其它機器被攻擊。
圖:抓取密碼
永恒之藍漏洞攻擊。
圖:永恒之藍漏洞
開啟共享,將病毒發送過去。
圖:發送病毒
SMB弱口令攻擊。
圖:SMB弱口令攻擊
MS SQL數據庫弱口令攻擊。
圖:MS SQL弱口令攻擊
5)如果配置文件kk5.log不存在,則下載ddd.dat,命名為ddd.exe,此模塊為新版挖礦模塊,會下載顯卡挖礦相關的驅動。
圖:下載挖礦模塊ddd.exe
挖礦模塊運行後界面。
圖:挖礦模塊界面
挖礦模塊除了使用CPU挖礦之外,還會下載顯卡挖礦相關的驅動,使用顯卡進行挖礦。
圖:下載的顯卡驅動
6)最後訪問控制服務器,將本機狀態信息信息上傳到控制服務器,便於統計感染狀態。
統計的信息包括本地網卡mac地址、安裝的殺毒軟件、系統版本、感染標誌、當前用戶組、當前用戶名等。
圖:統計信息
IOC
md5:
17891737D9970812FE875D0B955B0E15
7441A59ABB6B4C96D0EAC70D884E8008
8A2042827A7FCD901510E9A21C9565A8
CDF6384E4CD8C20E7B22C2E8E221F8C8
E05827E44D487D1782A32386123193EF
3E96A29E82513C5859D5E508A75FA974
66EA09330BEE7239FCB11A911F8E8EA3
Domain:
mm.abbny.com
mm.beahh.com
lplp.beahh.com
lplp.abbny.com
lpp.beahh.com
lpp.abbny.com
ip:
128.199.64.236
27.102.107.137
27.102.118.147