Bondat蠕蟲再度來襲！控制PC構建挖礦殭屍網路

新聞 04-19

近日，360互聯網安全中心監測到流行蠕蟲家族Bondat的感染量出現一輪小爆發。在這次爆發中，Bondat利用受害機器資源進行門羅幣挖礦，並組建一個攻擊WordPress站點的殭屍網路。根據360網路安全研究院對此次Bondat蠕蟲爆發時使用的控制端域名bellsyscdn.com和urchintelemetry.com的監控數據來看，Bondat蠕蟲此次爆發至少影響15000台個人電腦。

圖1 Bondat蠕蟲控制端域名bellsyscdn.com和urchintelemetry.com訪問量變化趨勢

Bondat蠕蟲最早出現在2013年，是一個能夠執行控制端下發的任意指令的「雲控」蠕蟲家族。Bondat蠕蟲一般通過可移動磁碟傳播，並依靠一個JS腳本完成信息收集、自我複製、命令執行、構建殭屍網路等多項任務。

下圖展示了被感染的U盤情況。

圖2展示了Bondat蠕蟲的簡單工作原理。

圖3 Bondat蠕蟲的簡單工作原理

門羅幣挖礦

早期的Bondat蠕蟲主要通過修改瀏覽器主頁獲利。隨著加密數字貨幣的興起，Bondat蠕蟲也涉足加密數字貨幣挖礦領域。在3月底的這次爆發中，Bondat蠕蟲通過控制端下發門羅幣挖礦代碼並在受害者計算機上運行。圖3展示了控制端下發的門羅幣挖礦代碼。

圖4 Bondat蠕蟲控制端下發的門羅幣挖款代碼

可以看到，Bondat蠕蟲會根據用戶計算機的實際情況使用Chrome瀏覽器、Firefox瀏覽器或Edge瀏覽器的其中之一後台訪問hxxps://xmrmsft.com/hive.html進行挖礦。該頁面中嵌入了基於Coin-hive的挖礦腳本，Bondat蠕蟲實際上藉助了用戶的瀏覽器進行門羅幣挖礦。

圖5 hxxps://xmrmsft.com/hive.html頁面中嵌入的挖礦腳本

有趣的是，Bondat蠕蟲不同於其他挖礦殭屍網路直接將挖礦木馬植入用戶計算機中，而是以不顯示窗口的方式通過瀏覽器訪問指定網頁進行挖礦，其收益相比較直接植入挖礦木馬要低非常多。由於Bondat蠕蟲主要在PC間傳播，PC用戶對於計算機的操作頻率較高，通過瀏覽器挖礦相比較直接植入挖礦木馬隱蔽性更高，這可能也是攻擊者如此選擇的原因。

Bondat蠕蟲主要通過可移動磁碟傳播，並藉助可移動磁碟中的文件隱蔽自身。Bondat蠕蟲會檢索可移動磁碟中特定格式的文件（例如doc、jpg），在創建與這些文件同名的快捷方式的同時隱藏這些文件，而這些快捷方式指向Bondat蠕蟲的啟動器Drive.bat。當用戶使用可移動磁碟時，極有可能將這些快捷方式誤認為為正常文件，進而導致Bondat蠕蟲的執行。圖5展示了被用於隱蔽Bondat蠕蟲的文件格式。

圖6 被用於隱蔽Bondat蠕蟲的文件格式

Bondat蠕蟲也會與殺毒軟體進行對抗，最顯而易見的就是其對主體JS腳本代碼進行大量混淆，這不僅影響殺毒軟體的判斷也增加了分析人員的工作量。圖6展示了Bondat蠕虫部分代碼混淆前後的對比，可以看出原本簡單的代碼經過混淆後變得相當複雜。

圖7 Bondat蠕虫部分代碼混淆前後的對比

此外，Bondat蠕蟲還會嘗試結束部分殺毒軟體和安全軟體進程，涉及的軟體如圖7所示。結束進程同時Bondat蠕蟲會彈出一個如圖8所示的偽造的程序錯誤提示框，此時無論用戶點擊確定或者取消都無法阻止進程結束，並且之後該進程無法再次啟動。攻擊者的本意可能是想偽造殺毒軟體或安全軟體異常退出時的假象，讓用戶誤以為確實是這些軟體內部出現了問題，但這也非常容易引起用戶的懷疑，對於攻擊者而言並不是一種明智的做法。

圖8Bondat蠕蟲嘗試

9 Bondat蠕蟲結束進程時彈出的窗口

構建針對WordPress站點的殭屍網路

除了門羅幣挖礦，我們還發現Bondat蠕蟲通過PowerShell從hxxp://5.8.52.136/setup.php下載殭屍程序，構建針對WordPress站點的殭屍網路。根據監測數據來看，Bondat蠕蟲於4月13日下發殭屍程序，這要稍晚於此次Bondat蠕蟲的爆發時間。

圖10 Bondat蠕蟲對hxxp://5.8.52.136/setup.php訪問量變化趨勢圖

setup.php使用多組弱口令對指定的WordPress站點進行登陸爆破，一旦爆破成功則將站點地址以及登陸帳戶和密碼發送到hxxp://5.8.52.136/put.php。setup.php進行爆破時使用的帳戶名都為「admin」，密碼如圖10所示。

圖11 setup.php進行爆破時使用的密碼

在這一輪爆破攻擊中，Bondat蠕蟲主要針對以字母「j」開頭的WordPress站點。我們推斷，Bondat蠕蟲可能已經進行了多次針對WordPress站點的爆破攻擊。

此外，Bondat蠕蟲下發的殭屍程序還試圖在受害計算機上安裝PHP格式的後門。殭屍程序從hxxp://5.8.52.136/php.zip下載完整的PHP環境安裝在用戶計算機中，並生成如圖11所示的PHP後門。

圖12 Bondat蠕蟲生成的PHP後門

得益於PHP文件的特殊性，Bondat蠕蟲安裝的PHP後門具有更好的免殺特性。在功能上，該後門同樣被用於進行針對WordPress站點的爆破攻擊。

結語

各類U盤傳播的蠕蟲，一直以來都是學校，列印店，各類單位區域網內的「常客」，而Bondat蠕蟲除會引發之前常見蠕蟲的問題之外，還會大量消耗計算機資源，造成計算機卡慢等問題。Bondat蠕蟲在對抗殺軟方面，也做了大量工作，比如拋棄直接植入挖礦木馬轉而選擇瀏覽器挖礦就增加了其隱蔽性。因此用戶更需要對此提高警惕。防禦這類蠕蟲的攻擊，主要可以從以下幾方面入手：

1．使用U盤，移動硬碟時應該格外注意，建議使用具有U盤防護功能的安全軟體；

2．發現計算機長時間異常卡頓，可以使用360安全衛士進行掃描體檢；

3．定期對計算機進行病毒木馬查殺，防止蠕蟲病毒持續駐留。

4．而對於WordPrees站點管理者而言，使用強度較大的登陸密碼，並且及時修補相關漏洞是阻止站點遭到攻擊最有效的方法。

360安全衛士可以全面攔截和查殺此類木馬，使用360安全衛士的用戶無需擔心。

IOC

95.153.31.18

95.153.31.22

bellsyscdn.com

urchintelemetry.com

5.8.52.136/setup.php

5.8.52.136/put.php