近日,阿里雲安全發現一種新型挖礦蠕蟲RDPMiner,通過爆破Windows Server 3389端口RDP服務的方式進行挖礦***傳播,致使用戶CPU佔用率暴漲,機器卡頓,更被創建名爲DefaultAccount的賬號。***者可暢通無阻遠程登錄機器威脅用戶業務和數據安全。
據該蠕蟲連接的某礦池公佈的HashRate,預估僅該礦池即有2000+機器連接進行挖礦,阿里雲安全專家判斷該挖礦蠕蟲擴散性還在持續且活躍度高,且用戶管理賬號弱密碼設置更給***者創造了有利的條件。
本文以RDPMiner整體***流程爲主線,通過對***、獲利、對抗與維持等進行詳細分析,還原RDPMiner整個過程。並在文末給出專家建議,同時也提醒用戶加強密碼設置。
背景
在接到用戶反饋Windows Server服務器CPU佔用率暴漲,並被創建DefaultAccount的賬號後,阿里云云防火牆同步監控到這些機器向外發出大量RDP請求。阿里雲安全研究人員進行分析後,發現用戶主機上運行着挖礦程序,導致CPU佔用率居高不下。
進一步分析,***者利用該蠕蟲程序暴力破解RDP服務、創建用戶名爲DefaultAccount的賬號、修改註冊表、開啓挖礦程序。 接着再通過這臺被***的機器對互聯網其他主機進行爆破,進而達到***、獲利、持久化等功能。
且挖礦蠕蟲的***者具有較強的對抗意識,大部分二進制程序都被製作成了SFXRAR自解壓縮程序(Self Extracting Archives)進行密碼加密,並在執行完功能後,統一由腳本進行清理。阿里雲安全監測到該蠕蟲最早出現於2017年11月,持續時間長達1年多。
此次RDPMiner事件中,***ip來源地伊朗、美國、中國基本持平。由於中國的***ip很大部分是由於主機被***之後變成繼續***的肉雞,故最初發起***的ip以伊朗和美國居多。
RDPMiner蠕蟲***及傳播流程解析
惡意程序示意圖
如下圖所示:***者在成功控制一臺機器後,爲進行下一輪的RDP爆破***,首先會在該機器的c:usersadministratordesktop目錄下,植入並運行名爲sector-v1.exe的多功能惡意程序工具包。工具包中的程序都進行了sfxrar加密,需要輸入密碼才能正常運行。
惡意工具包運行界面
根據進程啓動記錄,***者使用了工具包中的c-f 4 reza,從http://111.63.225.242:8082//c-f4r.exe下載了並運行了c-f4r.exe,釋放出d-f.exe、m-r.exe、res.exe和A-C-M.exe等多個可執行惡意程序。這裏的下載源服務器111.63.225.242與諸多***事件相關,根據abuseipdb網站的ip濫用記錄,111.63.225.242曾多次被用戶舉報涉及***行爲,值得關注。
而多個惡意程序中的A-C-M.exe在運行之後,又將進一步釋放svchost.exe、ds.exe、nl.exe、user.txt、pass.txt、backdoor-reg-nl-restart.bat等惡意程序、惡意腳本和配置文件。
其中,svchost.exe執行時,一方面釋放及啓動挖礦程序serverGui.exe,另一方面執行下圖腳本中所示命令添加前文用戶反饋的DefaultAccount惡意賬號,並通過操作註冊表將自身添加到Windows系統啓動項中,達到持久化***的目的。
svchost.exe文件生成示意圖
而nl.exe原名爲NLBrute.exe,是一款最早由俄羅斯人開發的Windows系統3389爆破軟件。***者使用它來達到傳播蠕蟲,進一步擴大***範圍的目的。
RDPMiner活動時間線
如上圖所示,從2017年11月開始***者便開始採用各種工具進行爆破、挖礦***,使用過的掃描工具除了nl.exe(NLBrute)之外,還有kportscan3.exe等。同樣地,爲了逃避雲上惡意程序的查殺,***者用來挖礦的工具也經歷了至少兩輪迭代。
挖礦工具名稱變化時間線
儘管***者使用的挖礦工具名稱、哈希值不斷變化,但本質上都是開源挖礦軟件xmrig經過修改而成,因此使用方式與xmrig十分相似。
RDPMiner各模塊功能
***:RDP暴力破解
通過A-C-M.exe釋放出如下文件,程序啓動後會調用nl.exe,該程序更爲廣泛使用的名稱是NLBrute,專門用於對3389端口進行爆破。
A-C-M.exe運行釋放文件
如圖所示,程序啓動後會加載文件Part1到Part17所存儲的IP地址,去重後共計427975個,去重後爲427934個IP,nl.exe會加載這些IP地址而後持續對外爆破半個小時,結束後調用backdoor-reg-nl-restart對程序和IP地址簿進行刪除,在主機上不留下任何痕跡,由於該類動作,使得該類樣本難以發現。
獲利:挖礦
***者通過A-C-M.exe釋放svchost.exe(路徑爲:C:/Windows/debug/svchost.exe),而後svchost.exe釋放ServerGUi.exe(路徑爲:C:/Users/Administrator/AppData/Local/Temp/2/ServerGUi.exe)進行挖礦,該程序基於xmrig修改,挖礦支持指令如下所示:
當前***者錢包地址在某挖礦平臺上的日平均Hash Rate約25KH/s,目前全網數千臺機器正在連接該礦池,這個挖礦速率意味着***者本次挖礦每日收益僅爲約8.73美元,側面說明在如今幣價狂跌的背景下,***挖礦的收益不再像過去那樣誘人。***者仍然樂此不疲,對用戶而言傷害不減。 
***者錢包地址在supportxmr.com礦池的記錄
對抗與維持:創建RDP賬號、註冊表操作與痕跡清理
爲了對抗安全人員的分析,***者對全部文件進行了SFX加密並且都設置了密碼,通過運行時自解壓將文件釋放出並運行相關的腳本文件,如圖所示是A-C-M.exe文件中的SFX腳本命令,當程序解密後會運行nl.exe文件和執行backdoor-reg-nl-restart腳本。
;The comment below contains SFX script commands
Path=C:UsersAdministratorDesktop
Setup=nl.exe
Setup=backdoor-reg-nl-restart
Overwrite=1
Silent=1
前文提到,***者運行nl.exe,通過RDP服務爆破***之後,會通過Opppps.bat腳本添加DefaultAccount賬號。而爲了避免賬號被用戶發現並刪除,svchost.exe還會運行“cmd /c REG add HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v”將自身運行加到自啓動項裏。
此外爲避免程序運行時Windows UAC彈框引起用戶察覺,該惡意程序還包含了如下圖所示的註冊表命令,設置"EnableLUA"註冊表項以及關閉Windows自帶的防火牆。
而當執行完對外掃描任務、註冊表修改等任務後,會執行backdoor-reg-nl-restart腳本,結束相關進程和清理程序釋放的文件。由於對外3389端口掃描設定了時間1800秒(半小時)或3600秒(一小時),所以該類樣本較難進行捕獲。如圖所示,是backdoor-reg-nl-restart腳本。
start taskmgr
net user administrator /active:no
...
timeout 1800
DEL /F /Q "C:Windowsdebuguser.reg"
DEL /F /Q "C:Windowsdebugta.reg"
DEL /F /Q "C:WindowsdebugDwd.reg"
taskkill /im nl.exe /f
taskkill /im nl.exe /f
taskkill /im nl.exe /f
DEL /F /Q "C:Users%username%Desktopnl.exe"
DEL /F /Q "C:Users%username%Desktopnl.exe"
DEL /F /Q "C:Users%username%Desktopnl.exe"
DEL /F /Q "C:Users%username%Desktoppass.txt"
DEL /F /Q "C:Users%username%Desktopuser.txt"
DEL /F /Q "C:Users%username%Desktopsettings.ini"
taskkill /im A-C-M.exe /f
DEL /F /Q "C:Users%username%DesktopA-C-M.exe"
DEL /F /Q "C:Users%username%Desktoppart1.txt"
DEL /F /Q "C:Users%username%Desktoppart2.txt"
...
DEL /F /Q "C:Users%username%Desktoppart17.txt"
echo HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options [1]>>temp.ini
regini temp.ini
del temp.ini
net user administrator /active:yes
DEL "%~f0"
安全建議
針對此次RDPMiner***,阿里雲安全向用戶提供兩點安全建議:
RDP弱密碼導致的3389暴力破解仍然是Windows Server服務器的用戶需要重點關注的風險,應儘量避免使用弱密碼,此外可以選擇購買阿里雲的雲防火牆實現主機暴力破解的防禦和安全隔離。
對於已感染的客戶,建議儘快購買阿里雲安全管家服務,在安全專家的指導下進行病毒清理和安全加固。
**附錄
IOCs**
錢包地址
493NdGNLF2C5EgQ11rYUA5gWqCLKrjY8w6Wrfev2cCXzW7UwepJ4yUv16A2zQfyWsWRk4wnGwpsUd7hLGr5TQFxYDnYK6Ta
礦池地址:
pool.supportxmr.com:3333
minexmr.com
xmr-asia1.nanopool.org:14444
159.69.206.220:3333
惡意程序DNS請求:
min.microsoftupdcenter.info