快速進擊的挖礦殭屍網路：單日攻擊破10萬次

新聞 05-25

背景

2017年9月，360互聯網安全中心首家發現了利用msSQL進行大規模入侵併釋放挖礦木馬的殭屍網路。木馬先期通過永恆之藍漏洞進行傳播，後期轉為對msSQL進行弱口令攻擊傳播，入侵成功後釋放挖礦木馬，獲利達數百萬之多。相關分析詳見我們在2017年發布的報告：《悄然崛起的挖礦機殭屍網路：打伺服器挖價值百萬門羅幣》。

近日，360互聯網安全中心又發現了一批使用msSQL進行傳播的挖礦木馬的新型變種。此次木馬攻擊主要利用「白利用」這一通常出現在遠控或盜號木馬上的隱藏手段，說明此類木馬已經具有了與安全軟體對抗的意識。並且利用自身在擴散形式上的優勢快速傳播，出現僅6天，單日攻擊次數就突破了10萬次。另外，該木馬早期曾出現過一個僅攻擊一次就自我退出的版本，但該版本在大量傳播之後便消失，我們懷疑這是一個作者早期用於驗證程序功能的測試版：

圖1、

樣本分析

樣本通過被入侵後的msSQL進行更新投遞，包括一組exe和dll文件，通過白利用方式啟動，其中exe文件為某公司帶簽名程序，名稱被命名為help.exe如下

圖2

DLL模塊被命名為active_desktop_render.dll，其導出表如下

圖3

執行邏輯

exe啟動後會載入active_desktop_render模塊，調用其導出函數SetDesktopMonitorHook，實際樣本中直接調用了king1函數。king1函數首先判斷當前模塊名稱，不同的文件名稱則執行的流程也會不同，例如當

前名稱為assist.exe時，則下載l.txt並內存載入執行，其他如下圖所示

圖4

之後根據系統版本調整當前工作目錄（用於後續文件落地時使用），其中不高於xp版本的位於根目錄下/Docume~1/AllUse~1/Applic~1/，否則為/Users/Public/，同時間隔10分鐘嘗試下載a-n.txt名稱的文件，其中大部分文件以插件形式內存載入執行。

圖5

插件模塊及域名生成演算法

通過上文可以知道，該dll的行為實則類似於插件管理器，其大多數情況下通過遠程下載模塊並自行載入，下圖是樣本模塊載入流程示意圖。

圖6

插件模塊的載入

down_memLoader函數通過死循環等待文件下載成功，

圖7

實際下載後的文件內容如下，通過fscanf完成ascii到bin的轉換，之後對文件內容在進行解密，然後載入執行導出函數a

圖8

域名生成演算法(DGA)

樣本下拉插件模塊的伺服器域名並不固定，而是通過前綴後綴方式拼接而成，其中前綴生成演算法如下

圖9

後綴從如下列表中獲取

圖10

通過簡化之後其域名生成演算法如下：

知道域名後，再拼接插件名稱得到下載地址，但訪問時伺服器會檢測當前請求的UA部分，樣本內嵌的UA名稱為onlyme。

d與l模塊

d模塊延遲十分鐘後結束如下進程，其中 manager.exe和diagnosis.exe分別為m和n模塊(未獲取到),a.exe是提權用到的程序。

圖11

l模塊負責結束上述進程並重新啟動help.exe，間隔時間為10小時。

p模塊

p模塊在啟動後，首先判斷當前進程是否擁有管理員許可權，若有則創建(已有則打開)名稱為helpsys的服務，其二進位文件路徑指向自身help.exe程序，如果許可權不夠，則遠程拉取遠端tqdll.txt和tq.txt文件，通過名稱可以猜測其主要功能為提權，若成功，則在下次運行時即可創建服務，保證自身持久化駐留伺服器。

圖12

b模塊

b模塊是x64環境下使用到的，其部署64位環境下exe(repair.txt)和dll模塊(64zhu.txt)，所有exe和dll功能與本文分析基本一致，只不過在x64下運行。同時下拉config.json與x.png，x.png 為xmr礦機(被64zhu.txt內存載入運行)，礦機配置文件config內容如下