近日,騰訊遊戲安全中心捕獲一款網吧内傳播的惡意軟體。原以為是正常的網吧盜号木馬,但詳細分析之後發現并非如此。經證明該惡意軟體是目前發現的首款利用 Windows SMB 漏洞傳播,釋放虛拟貨币礦機挖礦的殭屍電腦叢集。
2017 年 7 月 10 日左右,由騰訊網吧守護 TSPN 和順網聯合團隊在某網吧内發現異常的 svchost.exe 程序,以及與之相關 spoolsv.exe 程序,遂提取樣本到安全中心進行人工核實。
拿到樣本後從外觀看與系統自帶的程序無異,但檢視屬性發現 spoolsv.exe 是一個壓縮檔案,于是開始産生警覺。
嘗試使用 7zip 解壓此檔案後,發現了驚天大秘密——NSA 攻擊工具包。從字面上我們可以看到永恒之藍、永恒冠軍字樣的攻擊配置檔案。同時我們在解壓之後的檔案中也找到了與樣本同名的兩個可執行體,以及同名的 xml 配置檔案。
打開 svchost.xml 檢視一下,發現正式永恒之藍的攻擊配置檔案。
打開 spoolsv.xml 檢視一下,發現了另一個 NSA 工具 DoublePulsar 的攻擊配置檔案。
于是猜測壓縮包内的 svchost.exe 是 EternalBlue 攻擊程式,壓縮包内的 spoolsv.exe 則是 DoublePulsar 後門。
嘗試手工運作這兩個可執行檔案,發現的确是指令行工具,隻是配置檔案不正确,無法完成攻擊。
了解到樣本的真身之後,我們開始認為這是一個和 WannaCry 一樣的勒索病毒,但是仔細想一下發現樣本并沒有造成網吧電腦的大規模爆發,也沒有業主有回報,于是懷疑這并非是一起簡單的勒索病毒事件。
深入分析後發現初始的 spoolsv.exe(我們稱之為母體)并非簡簡單單的釋放攻擊包,其自身在釋放攻擊載荷之後,還會開啟對區域網路絡 445 端口的瘋狂掃描,一旦發現區域網路内開放的 445 端口,就會将目标 IP 位址及端口寫入 EternalBlue 的配置檔案中,然後啟動 svchost.exe 進行第 1 步溢出攻擊。第 1 步攻擊的結果會記錄在 stage1.txt 中,攻擊完成後,母體會檢查攻擊是否成功,若攻擊成功,則繼續修改 DoublePulsar 的配置檔案,并啟動 spoolsv.exe(壓縮包内的 DoublePulsar,并非母體)在目标計算機安裝後門,此稱之為第 2 步攻擊,結果會記錄在 stage2.txt 中。
這就完了嗎?僅此而已嗎?那這玩意兒到底是為了啥?這不科學,沒有病毒僅僅是為了傳播兒傳播,但是此時我們的樣本在實驗室内已經不再繼續工作了。于是我們在網吧中繼續抓取到這東西的精彩後續:被安裝了 DoublePulsar 後門的計算機中 lsass.exe 程序被注入了一段 shellcode,這和外網公布的 DoublePulsar 的行為一模一樣,但樣本中的這段 shellcode 利用 lsass.exe 程序在區域網路被感染的其他計算機上下載下傳了另一個神秘的可執行檔案,而這個檔案正是我們樣本中一直沒有提到的 svchost.exe(與母體在同一目錄下)。
而這個 svchost.exe 可不是 EternalBlue。那麼它是啥?通過仔細的分析,我們發現它會做三件事情:
第一,先把自己添加到計劃任務的一個不起眼的地方,讓人感覺是一個合法的任務,進而達到自啟動的目的。
第二,在區域網路其他電腦上下載下傳一個母體檔案,以便于二次傳播。
第三,釋放一個 ServicesHost.exe 程序并以指定的參數執行這個程序。
繼續跟蹤這個 ServicesHost.exe 以及啟動參數,發現了一個驚天大秘密,也就是整套傳播機制的終極目的——挖礦。
從此程式的啟動參數中我們看到了一個敏感的域名"xmr.pool.minergate.com",Google 一下發現這是一個國外各種數字貨币的礦池,網站提供了各種數字貨币的礦池位址,隻要在網站注冊賬戶,就可以利用礦機參與挖礦。而我們的樣本中的礦機則是一款 GITHUB 上的開源礦機xmrig,挖礦的賬戶則是 **[email protected]**這個賬戶,挖的正式一種不是很常見的數字貨币——門羅币。
說道門羅币我們也要看一下這東西到底值多少錢,随便找了個交易平台看了一下,實時價格約人民币 277 元,價值雖然沒有 BTC 那麼高,但也不低,挖礦收益應該不少。
總體來看,惡意軟體的釋放、執行流程比較傳統,但利用的攻擊和漏洞相對比較新,在 SMB 漏洞被廣泛利用到勒索軟體的時候,作者卻開啟了另一扇淘金的大門。下面為大家圖示總結一下此款惡意軟體的傳播和執行流程。
從 VDC 管家平台上看,此木馬的傳播量呈逐日上升階段,還需要持續關注打擊。在發文時,此款木馬已經能夠被騰訊電腦管家識别,并有效清除。
最後,提醒各位玩家及網吧業主應該及時更新作業系統更新檔,避免被多次割韭菜,導緻 WannaCry 傷疤未愈,僵屍礦機又來撒鹽!