“驅動人生”挖礦木馬分析及其清除方案
0x00 概述
自2018年12月份”驅動人生“挖礦木馬爆發以來,此木馬一直處於活躍狀態,更新版本更是達到了20+次。此木馬感染量之大,傳播速度之快,可稱得上是國內挖礦排行”第一“的木馬。
從最開始的有文件落地的單獨可執行EXE,到後來的python版EXE,再到隨機膨脹文件版本,再到後來的PowerShell無文件攻擊版本。從單一攻擊手法,到後來的漏洞攻擊,域內滲透,暴力破解,
多種傳播手段,它一直都保持着當前較流行的攻擊技術,隱藏技術。持續的予政企機構造成麻煩,與安全廠商對抗,也給”黑灰產同行做榜樣”。
所以,我有必要用文章記錄一下此木馬的一些技術細節,和對抗它的方式。
0x10 更新版本
抓取到的20191009最新樣本如下圖:
部分早期版本:
自2018年12月份爆發以來較大的技術更新版本,如下圖:
(圖:“驅動人生”挖礦木馬較大技術更新版本,引用自 騰訊威脅情報中心)
0x20 分析
木馬樣本版本較多,此處分析以最新版本(20191009)爲例:
0x21 病毒危害
1.病毒會創建計劃任務持續使用PowerShell.exe下載其他惡意程序。
2.病毒運行挖礦程序佔用計算機資源,影響正常使用。
3.病毒運行木馬程序用於自身持久化駐留和操控計算機。
注:通過任務管理器查看CPU較高使用率和多個PowerShell.exe進程,能初步判斷機器中了此木馬,查看其計劃任務有隨機名 調用PwoerShell確定木馬病毒存在。
(圖:多個隨機名稱計劃任務,調用PowerShell執行加密參數)
0x22 解密代碼混淆
根據之前經驗,病毒代碼經過多次加密混淆,直接使用簡單暴力的方式解密(詳細方法見老王的文章)
解密前:
解密後(這個版本解密完還是有些簡單的混淆,但是不太影響閱讀):
0x23 傳播手段
1.永恆之藍漏洞傳播
2.pass-the-hash域滲透
3.弱口令暴力破解
4.“震網“漏洞啓動盤和網絡共享感染
5.CVE 2019-0708遠程桌面漏洞傳播(此傳播手段在樣本中暫時未完善)
分析傳播手段部分截圖:
0x24 IOCs
MD5(191009Version):
E7633ED33E30F6B0CEA833244138DD77
D67A06BB04A9DD48735E1B6C9B5A7EEC
9E72DE890EEB784A875EF57B85B3EE1D
A48EA878F703C32DDAC33ABC6FAD70D3
B3ED3C00D5B23928D54DA007D6B47480
C72DD126281ABA416B666DE46337C1D7
415AAE4F26158A16F2D6A5896B36E2A8
EAB61163CD93BA0CBBD38D06E199F1AB
F7591BC2A9C6A85A63032ABDB53976DB
0x25 相關鏈接
騰訊威脅情報中心:高危預警:永恆之藍下載器木馬再更新,集成BlueKeep漏洞攻擊能力
瑞星安全實驗室:“DTLMiner”再次更新 成爲首個利用BlueKeep漏洞的病毒
江民安全實驗室:Trojan.Miner.gbq挖礦病毒分析報告
FREEBUF:一場精心策劃的針對驅動人生公司的定向攻擊活動分析
安全客:驅動人生旗下應用分發惡意代碼事件分析 - 一個供應鏈攻擊的案例
0x30 手工清除方案
1.進程:結束如下圖目錄進程
2.服務:清除帶有如下參數的服務
3.自啓動:清除啓動名稱爲Ddriver,Ddrivers,WebServers的啓動項
4.防火牆:刪除防火牆規則
刪除入站規則名爲UDP,開放65532端口的規則;
刪除入站規則名爲UDP2,開放65531端口的規則;
刪除入站規則名爲ShareService,開放65533端口的規則;
5.計劃任務:刪除名稱爲Rsta和其他隨機名稱的計劃任務,刪除包含如下參數的計劃任務
6.文件:刪除如下圖目錄文件
注:如上的清除方式是根據多個病毒版本綜合的手工特徵處理方式,如果遇到機器上沒有對應的項就跳過繼續檢查清理下一項
0x40 工具清除方案
1.根據系統版本運行清理工具即可(建議斷網後清理,清理後重啓)
0x50 安全建議
1.卸載或及時更新驅動人生系列軟件
2.及時更新系統補丁,如微軟MS17-010,MS16-014,CVE-2019-0708,CVE-2017-8464漏洞補丁
3.服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解,如本地admin賬戶不常使用應該禁止
4.服務器暫時關閉不必要的端口(如135,139,445,3389)
5.及時更新安全軟件,更新病毒庫等