一、概述
騰訊御見威脅情報(bào)中心近期檢測(cè)到利用ZombieboyTools傳播的挖礦木馬家族最新活動(dòng)。木馬對(duì)公開的黑客工具ZombieboyTools進(jìn)行修改,然后將其中的NSA攻擊模塊進(jìn)行打包利用,對(duì)公網(wǎng)以及內(nèi)網(wǎng)IP進(jìn)行攻擊,并在中招機(jī)器執(zhí)行Payload文件x86/x64.dll,進(jìn)一步植入挖礦、RAT(遠(yuǎn)程訪問(wèn)控制)木馬。
漏洞掃描攻擊工具ZombieboyTools
騰訊御見威脅情報(bào)中心在2017年12月已有披露Zombieboy木馬情報(bào),而后的2018年5月及7月友商也發(fā)布了相關(guān)情報(bào)。在本報(bào)告中首先對(duì)黑客于2018.08.14注冊(cè)并使用的C2域名fq520000.com及其樣本進(jìn)行分析,然后通過(guò)對(duì)比Zombieboy木馬在幾輪攻擊中的攻擊手法、惡意代碼特征、C2域名及IP、端口特征的一致性,推測(cè)得出攻擊來(lái)源屬于同一團(tuán)伙,并將其命名為ZombieboyMiner(僵尸男孩礦工)團(tuán)伙。
騰訊御見威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn),ZombieboyMiner(僵尸男孩礦工)木馬出現(xiàn)近一年來(lái),已感染7萬(wàn)臺(tái)電腦,監(jiān)測(cè)數(shù)據(jù)表明該病毒非常活躍。
病毒感染趨勢(shì)
在全國(guó)各地均有中毒電腦分布,廣東、江蘇、浙江位居前三。
影響區(qū)域分布
騰訊安圖高級(jí)威脅追溯系統(tǒng)查詢團(tuán)伙信息)
二、詳細(xì)分析
ZombieboyMiner攻擊流程
Las.exe分析
運(yùn)行后釋放端口掃描工具,NSA利用攻擊工具,以及payload程序到C:
\windows\IIS目錄下。然后利用端口掃描工具,掃描局域網(wǎng)中開放445端口的機(jī)器,再利用NSA工具將payload(x86.dll或x64.dll)注入局域網(wǎng)內(nèi)尚未修復(fù)MS17-010漏洞的機(jī)器。
樣本釋放文件
445端口掃描批處理文件
EternalBlue配置文件
Doublepulsar配置文件
payload分析
payload(x86.dll或x64.dll)從C2地址ca.fq520000.com下載123.exe并在本地以名稱sys.exe執(zhí)行。
payload行為
sys.exe分析
sys.exe下載sm.fq520000.com:443:/1并以文件名las.exe執(zhí)行:
sys.exe行為
同時(shí)從sm.fq520000.com:443:/A.TXT獲取URL地址,使用該地址下載RAT(遠(yuǎn)程訪問(wèn)控制木馬)并以文件名84.exe執(zhí)行(目前1.exe,4~9.exe任可下載)。
A.TXT內(nèi)容
CPUInfo.exe分析
CPUInfo.exe白利用WINDOWS系統(tǒng)程序Srvany.exe來(lái)進(jìn)行啟動(dòng),然后作為主程序負(fù)責(zé)拉起攻擊進(jìn)程以及挖礦進(jìn)程。
白利用Srvany.exe啟動(dòng)
svsohst.exe分析
svsohst.ex負(fù)責(zé)啟動(dòng)門羅幣挖礦程序crss.exe,啟動(dòng)礦機(jī)前設(shè)置礦池地址ad0.fq520000.com以及錢包
44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS作為挖礦參數(shù),然后通過(guò)ShellExecute啟動(dòng)挖礦進(jìn)程。
| 
