瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

下載後文件名

MD5

功能

%appdata%Microsoftcred.ps1

E05827E44D487D1782A32386123193EF

Powershell攻擊模塊

%temp%mn.exe

66EA09330BEE7239FCB11A911F8E8EA3

挖礦模塊

%temp%4-8個字符的隨機名稱

CDF6384E4CD8C20E7B22C2E8E221F8C8

python編寫的攻擊模塊

%temp%ddd.exe

8A2042827A7FCD901510E9A21C9565A8

新增挖礦模塊

表:病毒下載的各模塊

新版挖礦木馬病毒「DTLMiner」不僅會導致中毒機器CPU占用率過高,機器卡頓,同時還會導致顯卡占用率過高,顯卡發熱等現象,嚴重影響用戶正常工作。目前瑞星ESM已能成功查殺該病毒的最新版本。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第1張

圖:瑞星ESM查殺截圖

「DTLMiner」挖礦木馬的黑歷史:

2018年12月,「驅動人生」的升級模塊被不法分子利用傳播挖礦木馬病毒「DTLMiner」,短期內感染數萬台計算機。

2019年2月、3月又分別進行了更新,增加了數字簽名與弱口令攻擊,攻擊面進一步增大,同時又躲避查殺。

此次瑞星截獲的「DTLMiner」已經是第5次變種。

針對該木馬病毒對企業網路安全帶來的潛在威脅,瑞星安全專家建議:

1、安裝永恒之藍漏洞補丁,防止病毒通過漏洞植入;

2、系統和數據庫不要使用弱口令帳號密碼;

3、多台機器不要使用相同密碼,病毒會抓取本機密碼,攻擊局域網中的其它機器;

4、安裝殺毒軟件,保持防護開啟。

新版挖礦木馬病毒「DTLMiner」通過漏洞和弱口令攻擊植入,創建快捷方式開機自啟動。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第2張

圖:病毒創建的快捷方式

快捷方式運行之後,執行flashplayer.tmp。此文件是一個腳本,使用JS 調用PowerShell腳本下載。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第3張

圖:flashplayer.tmp 內容

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第4張

圖:多層混淆的下載模塊

最終解密出下載腳本,腳本運行後首先獲取本機網卡mac地址,獲取本機安裝的殺毒軟件信息。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第5張

圖:獲取本機網卡和殺軟信息

之後隨機延時一段時間。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第6張

圖:延時一段時間

判斷配置文件是否存在,如果不存在則下載對應樣本。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第7張

圖:根據配置文件下載對應樣本

1)如果配置文件k1.log不存在,則創建計劃任務持久駐留。

根據用戶權限不同,創建的計劃任務不同,如果當前用戶是管理員權限則訪問:http://v.y6h.net/g?h + 當前日期,如果當前用戶非管理員權限則訪問:http://v.y6h.net/g?l + 當前日期。

圖:下載更新腳本

計劃任務的功能是訪問此網址,使用PowerShell執行獲取到的內容。目前此網址處於無法訪問狀態,攻擊者隨時可以開啟,下發任意腳本。

2)如果配置文件kkkk2.log不存在,則下載new.dat保存為cred.ps1,內容是混淆的PowerShell腳本。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第8張

圖:下載cred.ps1

判斷文件大小是否正確,如果正確則創建計劃任務定時執行cred.ps1。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第9張

圖:執行cred.ps1

cred.ps1 腳本被多層混淆。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第10張

圖:多層混淆的cred.ps1 腳本

解密後可以看到,此版本是V5。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第11張

圖:病毒版本

此模塊主要還是為了攻擊。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第12張

圖:cred.ps1 腳本主要功能

調用永恒之藍漏洞攻擊。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第13張

圖:永恒之藍漏洞攻擊

eb7函數針對win7和win2008。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第14張

圖:eb7函數

eb8函數針對win8和win2012。

圖:eb8函數

SMB弱口令攻擊。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第15張

圖:SMB弱口令

完整的密碼列表如下,如果使用以下密碼,建議盡快修改。

123456″,”password”,”PASSWORD”,”123.com”,”[email protected]”,”Aa123456″,”qwer12345″,”[email protected]”,”[email protected]”,”golden”,”[email protected]#qwe”,”[email protected]”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”[email protected]”,”999999″,”Passw0rd”,”[email protected]#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]”,”[email protected]$$w0rd”,”[email protected]$$word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”

圖:cred.ps1攻擊模塊內置的弱口令列表

攻擊成功後,調用CopyRun函數,將 FlashPlayer.lnk和flashplayer.tmp植入被攻擊機器,被攻擊機器又會開始新的一輪循環,下載病毒攻擊其它機器。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第16張

圖:植入病毒

3)如果配置文件333.log不存在,則下載mn.dat,命名為mn.exe,此模塊就是之前的挖礦模塊。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第17張

圖:下載mn.exe

4)如果配置文件kk4.log不存在,則下載ii.da,並使用4-8位隨機字母命名,例如 hjqgbs.exe,此模塊就是之前的攻擊模塊,使用Python開發,使用pyinstaller打包。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第18張

圖:下載ii.dat 並隨機命名

判斷下載的文件大小是否正確,如果正確則創建計劃任務運行此exe,根據不同的權限使用不同的方法運行,如果是管理員權限,直接創建計劃任務運行此exe。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第19張

圖:運行下載的exe

如果非管理員權限,則釋放run.vbs腳本,將run.vbs腳本設置為計劃任務,通過腳本運行此exe。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第20張

圖:調用vbs腳本運行下載的exe

釋放的run.vbs腳本。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第21張

圖:vbs腳本內容

此exe仍然使用竊取的數字簽名。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第22張

圖:竊取的數字簽名

解包後可以看到Python腳本。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第23張

圖:Python腳本

腳本使用了base64編碼。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第24張

圖:base64編碼的腳本

解碼後得到病毒的Python代碼,代碼中的關鍵字符串也進行了混淆。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第25張

圖:混淆的代碼

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第26張

圖:混淆的代碼

去混淆後,可以看到最終的病毒代碼,病毒最開始會通過內存映射,檢測當前版本。首先打開內存映射讀取內容,如果沒有獲取到映射的內存,則創建內存映射將自身的路徑+「**」+當前版本號+「$$」寫入到新創建的內存映射中。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第27張

圖:內存映射

如果獲取到內存映射,則解析映射中的版本號和內存映射中的文件路徑,計算MD5。如果當前程序的MD5和內存映射中路徑對應的文件MD5相同,則不執行操作。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第28張

圖:計算MD5

否則判斷當前版本是否大於內存映射中的版本,如果大於結束之前版本的進程,當前程序復制過去。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第29張

圖:判斷版本

之後就是攻擊傳播的部分,病毒內置的攻擊IP段、弱口令帳號密碼列表。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第30張

圖:弱口令列表

弱口令密碼又進行了擴充,完整的密碼如下,如果當前計算機或者數據庫軟件使用了此列表中的密碼,建議盡快修改密碼。

‘123456’,’password’,’qwerty’,’12345678′,’123456789′,’123′,’1234′,’123123′,’12345′,’12345678′,’123123123′,’1234567890′,’88888888′,’111111111′,’000000′,’111111′,’112233′,’123321′,’654321′,’666666′,’888888′,’a123456′,’123456a’,’5201314′,’1qaz2wsx’,’1q2w3e4r’,’qwe123′,’123qwe’,’a123456789′,’123456789a’,’baseball’,’dragon’,’football’,’iloveyou’,’password’,’sunshine’,’princess’,’welcome’,’abc123′,’monkey’,'[email protected]#$%^&*’,’charlie’,’aa123456′,’Aa123456′,’admin’,’homelesspa’,’password1′,’1q2w3e4r5t’,’qwertyuiop’,’1qaz2wsx’,’sa’,’sasa’,’sa123′,’sql2005′,’1′,'[email protected]’,’sa2008′,’1111′,’passw0rd’,’abc’,’abc123′,’abcdefg’,’sapassword’,’Aa12345678′,’ABCabc123′,’sqlpassword’,’1qaz2wsx’,’1qaz!QAZ’,’sql2008′,’ksa8hd4,[email protected]~#$%^&*()’,’4yqbm4,m`[email protected]~#$%^&*(),.; ‘,’4yqbm4,m`[email protected]~#$%^&*(),.;’,’A123456′,’database’,’saadmin’,’sql2000′,’admin123′,'[email protected]’,’sql123′,’sasasa’,’adminsa’,’sql2010′,’sa12345′,’sa123456′,’saadmin’,’sqlpass’

圖:Python攻擊模塊內置的密碼列表

病毒仍然會抓取密碼,因此局域網中多台機器使用相同密碼,一台機器中毒,也會導致其它機器被攻擊。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第31張

圖:抓取密碼

永恒之藍漏洞攻擊。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第32張

圖:永恒之藍漏洞

開啟共享,將病毒發送過去。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第33張

圖:發送病毒

SMB弱口令攻擊。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第34張

圖:SMB弱口令攻擊

MS SQL數據庫弱口令攻擊。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第35張

圖:MS SQL弱口令攻擊

5)如果配置文件kk5.log不存在,則下載ddd.dat,命名為ddd.exe,此模塊為新版挖礦模塊,會下載顯卡挖礦相關的驅動。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第36張

圖:下載挖礦模塊ddd.exe

挖礦模塊運行後界面。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第37張

圖:挖礦模塊界面

挖礦模塊除了使用CPU挖礦之外,還會下載顯卡挖礦相關的驅動,使用顯卡進行挖礦。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第38張

圖:下載的顯卡驅動

6)最後訪問控制服務器,將本機狀態信息信息上傳到控制服務器,便於統計感染狀態。

統計的信息包括本地網卡mac地址、安裝的殺毒軟件、系統版本、感染標誌、當前用戶組、當前用戶名等。

瑞星率先捕獲挖礦木馬「DTLMiner」 中毒後似乎聞到了燒顯卡的味道 科技 第39張

圖:統計信息

IOC

md5:

17891737D9970812FE875D0B955B0E15

7441A59ABB6B4C96D0EAC70D884E8008

8A2042827A7FCD901510E9A21C9565A8

CDF6384E4CD8C20E7B22C2E8E221F8C8

E05827E44D487D1782A32386123193EF

3E96A29E82513C5859D5E508A75FA974

66EA09330BEE7239FCB11A911F8E8EA3

Domain:

mm.abbny.com

mm.beahh.com

lplp.beahh.com

lplp.abbny.com

lpp.beahh.com

lpp.abbny.com

ip:

128.199.64.236

27.102.107.137

27.102.118.147

About 尋夢園
尋夢園是台灣最大的聊天室及交友社群網站。 致力於發展能夠讓會員們彼此互動、盡情分享自我的平台。 擁有數百間不同的聊天室 ,讓您隨時隨地都能找到志同道合的好友!