WMAMiner挖礦蠕蟲分析

概述

近日，蘭雲科技銀河實驗室在多個監測點用「蘭眼下一代威脅感知系統」檢測到多起同類未知威脅事件，殺毒軟體檢測率非常低，經過分析發現這是某個挖礦殭屍網路的肉雞更新程序，為了躲避殺毒軟體查殺，特地將主控程序加密並放到資源中。樣本通過MS17-010（永恆之藍）漏洞進行傳播，定時和C&C進行連接接受命令和更新模塊，主要目的為挖掘門羅幣，基於挖礦木馬的典型行為，我們將此蠕蟲組建的殭屍網路命名為WMAMiner botnet。

蘭眼下一代威脅感知系統檢測截圖

VirusTotal檢測截圖

0x1 釋放主控樣本

通過分析發現殭屍網路擁有x86和x64平台的惡意組件，這裡以x86平台作為分析，樣本首先獲取系統目錄並和下面字元串拼接，拼接出如下:

C:WINDOWSsystem32EnrollCertXaml.dll

C:WINDOWSsystem32wmassrv.dll

C:WINDOWSsystem32WMASTrace.ini

首先刪除上面三個文件

之後獲取資源，創建並寫入文件C:WINDOWSsystem32EnrollCertXaml.dll中

這個文件並不是一個可執行文件

先是讀入文件內容然後解密將解密的內容C:WINDOWSsystem32wmassrv.dll中

可以發現解密後是一個可執行文件

之後是獲取C:WINDOWSsystem32svchost.exe的文件時間，並設置成wmassrv.dll、EnrollCertXaml.dll的文件時間

可以看到這樣文件的修改時間就跟系統其他文件的修改時候大致相同了，對主機檢查起到一定的迷惑效果

之後便是設置wmassrv.dll為服務程序，並設置持久化

最後刪除自身

0x2 主控模塊

主控模塊流程圖

作為服務的主控模塊，會首先創建C:WINDOWSsystem32WMASTrace.ini，並寫入一個加號

會先停止一些服務，一些是之前殭屍網路留下的服務

在初始化之後，便是開啟多線程，每個線程都是一個模塊

0x2.1 更新模塊

如果返回值等於200

寫入EnrollCertXaml.dll 文件中

0x2.2 C&C通信模塊

本樣本共有兩個C&C地址，一個是通過http協議進行通信，一個是通過tcp協議進行通信

0x2.2.1 HTTP 通信

收集系統信息

拼接成如下圖所示，並發送

通過返回數據解析有下面三個命令

命令 0 啟動某個進程

命令1 下載並執行 通過regsvr32.exe

命令2 下載到臨時文件夾並執行

0x2.2.2 TCP通信

TCP通信模塊也是5個小時連接一次

進行連接，埠為8080

連接成功接收數據

收集的發送系統信息

0x2.3 挖礦模塊

釋放TasksHostServices.exe 經過分析這個是開源門羅幣挖掘工具https://github.com/xmrig/xmrig/releases

通過以下參數進行啟動

0x2.4 傳播模塊

釋放C:WINDOWSSpeechsTracingspoolsv.exe 並執行，該模塊會首先釋放Crypt,而這個其實是一個ZIP壓縮包

解壓縮後我們發現是NSA泄露的漏洞利用包

通過掃描內網445埠，進行傳播

配置文件

傳播成功後，會將x86.dll或者64.dll作為payload,繼續看看x86.dll的功能

首先會監聽 52137埠

而這時spoolsv.exe會讀取EnrollCertXaml.dll並連接並發送

X86接收EnrollCertXaml.dll並解密出wmassrv.dll 註冊成服務 開始下一輪傳播

0x2.5防止停止模塊

樣本還是實時查看電腦中是否開啟了任務管理器，如果開啟，則會關閉

0x2.6web伺服器模塊

會安裝 開源WebHost\mongoose工具，作為伺服器，監聽63257埠

如果連接成功，則會發送EnrollCertXaml.dll

0x3 總結

近年隨著區塊鏈技術的興起，區塊鏈幣的流行，黑客也越來越集中關注挖礦帶來的經濟利益，與之對應的挖礦類威脅越來越嚴重。此類木馬在隱蔽性強，主動內網傳播，建議客戶部署相應安全設備，及時打好補丁，關閉445等埠，提前做好挖礦類威脅的安全防範。

0x4 IOC

掛馬IP

103.103.128.140

103.212.69.170

185.128.24.117

216.250.99.32

樣本MD5：

7d3cf6bce43a115399f0daaa4b425417

69d8e2d62cb2f8e2a23cc949ebdb4e3d

7cf27d79edb5ecb5d5d1907bcbf35f28

5e7476b86719eb9b8974ba72b0c7fb77

f607cbae28857d5521bc4acd7d6f3d2b

8996253c3c19fce90fee9ff4869437f3

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！