“匿铲”挖矿木马活动分析
近期,安天CERT通过网络安全监测发现了一起新的挖矿木马攻击事件,该挖矿木马从2023年11月开始出现,期间多次升级组件,目前版本为3.0。截止到发稿前,该挖矿木马攻击事件持续活跃,感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等,因此安天CERT将该挖矿木马命名为“匿铲”。
在此次攻击活动中,攻击者利用了两个比较新颖的技术以对抗反病毒软件,第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR,这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器(内存加载的小型可执行文件)来完成,主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序,独立的PowerShell脚本用于解密并内存加载控制器,控制器用来控制内核驱动程序。虽然被滥用的旧版本内核驱动程序早已更新,但目前仍能被非法利用并有效结束大多数反病毒软件。第二个技术是利用MSDTC服务加载后门DLL,实现自启动后门,达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制,在开启MSDTC服务后,该组件会搜索oci.dll,默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下,通过PowerShell脚本中的命令创建MSDTC服务,这样该服务会加载oci.dll后门,形成持久化操作。
“匿铲”挖矿木马首先会从放马服务器上下载名为“get.png”的PowerShell脚本,解码后执行哈希验证、创建计划任务、禁用系统自带杀毒软件和创建服务等操作。之后会下载“kill.png”脚本和“delete.png”、“kill(1).png”两个压缩文件,脚本解码出shellcode代码,shellcode代码经过解密得到控制器(一个可执行文件)并注入到powershell.exe进程中,两个压缩文件经过解压缩得到反病毒厂商的旧版本内核驱动程序“aswArPots.sys”和“IObitUnlockers.sys”,由控制器调用,终止杀毒软件和EDR程序等。还会根据受害主机自身系统型号下载对应的“86/64.png”的压缩文件,解压缩后会得到oci.dll文件,通过MSDTC服务调用实现DLL劫持后门。在“get.png”脚本中还看到了下载“backup.png”脚本的地址,但下载函数还未实现,可能后续版本会加,该脚本主要功能是发送心跳接收命令等。最后“get.png”脚本会下载“smartsscreen.exe”程序,该程序会下载挖矿程序及其组件进行挖矿。
图2‑1 攻击流程图
样本梳理与功能分析
3.1 样本梳理
针对该挖矿木马攻击,对其样本及功能进行梳理,如下表所示:
样本名 | 落地名 | 样本路径 | 功能 |
get.png | 不落地 | 内存中 | 初始投放载荷,下载后续样本,持久化 |
backup.png | 无 | 无 | 初始投放载荷没有定义下载该样本,推测后续增加 |
run.bat | run.bat | C:\Users\Public | powershell命令下载get.png |
kill.png | 不落地 | powershell.exe内存中 | 终止杀毒软件和EDR等进程 |
kill.png(1) | aswArPots.sys | C:\Windows\System32\drivers | |
delete.png | IObitUnlockers.sys | C:\Windows\System32\drivers | 强制删除文件和进程 |
86.png/64.png | oci.dll | C:\Windows\System32 | DLL劫持后门 |
smartsscreen.png | smartsscreen.exe | C:\Windows\Fonts | 下载挖矿程序等 |
curl.png | curl.exe | C:\Windows\Fonts | curl官方文件 |
config.json | config.json | C:\Windows\Fonts | 挖矿配置文件 |
taskhostw.png | taskhostw.exe | C:\Windows\Fonts | XMRig挖矿程序 |
WinRing0x64/32.png | WinRing0x64/32.sys | C:\Windows\Fonts | 挖矿驱动程序 |
config.txt | 不落地 | 无 | 包含版本信息及样本哈希 |
表3‑2 挖矿程序中的矿池地址和钱包地址
矿池地址 | 钱包地址 |
111.90.143.130:80 | ZEPHYR2ty7pYE3wUdjLn1QKsFLiatXdMZHZzQSJToaoFM1LvWPzuqsvdtLzXRRk2hhFTxLCvLnAr4XJBCvrVfUeP8F6XC7QLgza47 |
93.95.228.47:80 | |
zephyr.herominers.com:1123 |
3.2 样本功能分析
3.2.1 核心脚本模块分析(get.png)
图3‑3 释放空间
图3‑10 配置信息
3.2.2 远控模块分析(backup.png)
3.2.3 对抗模块分析(kill.png)
3.2.4 自我更新模块分析(86/64.png)
图3‑18 自我更新下载get.png
3.2.5 挖矿组件下载器模块分析(smartsscreen.exe)
挖矿木马落地排查与清除方案
4.1 挖矿木马落地识别
计划任务
计划任务名 | 对应样本路径 |
DefaultBrowserUpdate | C:\Users\Public\run.bat |
OneDriveCloudBackup | cmd.exe /c start C:\Windows\Fonts\smartsscreen.exe |
OneDriveCloudSync | cmd.exe /c C:\Windows\System32\sc.exe start msdtc |
2. 文件
文件名 | 路径 |
smartsscreen.exe | C:\Windows\Fonts |
taskhostw.exe | |
WinRing0x64/32.sys | |
curl.exe | |
config.json | |
run.bat | C:\Users\Public\run.bat |
oci.dll | C:\Windows\System32 |
aswArPots.sys | C:\Windows\System32\drivers |
IObitUnlockers.sys |
3. 服务
服务名 | 对应注册表 |
MSDTC | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC |
4. 进程
进程名 | 路径 |
powershell.exe | 内存执行 |
smartsscreen.exe | C:\Windows\Fonts |
taskhostw.exe |
5. 网络
IP | 功能 |
111.90.158.40 | 挂马服务器 |
111.90.143.130:80 | 矿池地址 |
93.95.228.47:80 |
结束相应进程,smartsscreen.exe、taskhostw.exe和powershell.exe。
图4‑2 结束相应进程
删除挖矿程序等对应目录中的样本。
图4‑3 删除对应目录样本
删除对应的驱动文件,aswArPots.sys和IObitUnlockers.sys。重启MSDTC服务,如不是自身创建,可对应删除该服务。
图4‑4 删除对应驱动文件
事件对应的ATT&CK映射图谱
针对攻击者投放挖矿木马的完整过程,安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示。
图5‑1 事件对应的ATT&CK映射图谱
攻击者使用的技术点如下表所示:
ATT&CK阶段/类别 | 具体行为 | 注释 |
执行 | 利用命令和脚本解释器 | 使用PowerShell脚本命令 |
持久化 | 执行流程劫持 | 利用oci.dll劫持 |
利用计划任务/工作 | 创建计划任务 | |
防御规避 | 进程注入 | shellcode注入到powershell.exe中 |
修改注册表 | 修改注册表 | |
反混淆/解码文件或信息 | 反混淆PowerShell命令 | |
使用Rootkit | aswArPots.sys反Rootkit监控 | |
削弱防御机制 | 禁用Windows Defender | |
发现 | 发现文件和目录 | 查找指定目录最大文件 |
发现系统时间 | 获取系统时间 | |
命令与控制 | 编码数据 | 回传编码数据 |
影响 | 资源劫持 | 占用CPU资源 |
针对挖矿攻击,安天建议企业采取如下防护措施:
1. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本;
2. 加强SSH口令强度:避免使用弱口令,建议使用16位或更长的口令,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
3. 及时更新补丁:建议开启自动更新功能安装系统补丁,服务器应及时更新系统补丁;
4. 及时更新第三方应用补丁:建议及时更新第三方应用如Redis等应用程序补丁;
5. 开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;
6. 主机加固:对系统进行渗透测试及安全加固;
7. 部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;
8. 安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。
IoCs |
111.90.158.40 |
93.95.225.137 |
111.90.143.130 |
93.95.228.47 |
download.yrnvtklot.com |
ftp.yrnvtklot.com |
online.yrnvtklot.com |
zephyr.herominers.com |
hxxp://111.90.158.40/config.txt |
hxxp://111.90.158.40/curl.png |
hxxp://111.90.158.40/kill.png |
hxxp://111.90.158.40/smartsscreen.png |
hxxp://111.90.158.40/get.png |
hxxp://111.90.158.40/msdtc/86.png |
hxxp://111.90.158.40/msdtc/64.png |
hxxp://111.90.158.40/drives/kill.png |
hxxp://111.90.158.40/drives/delete.png |
hxxp://111.90.158.40/backup.png |
hxxp://111.90.158.40/config.json |
hxxp://111.90.158.40/info.txt |
hxxp://111.90.158.40/taskhostw.png |
hxxp://111.90.158.40/WinRing0x64.png |
hxxp://93.95.225.137/update |
hxxp://93.95.225.137/result |
AE465AF2287D24CCDEEC8035A1E3F159 |
B9E37DD582A6FF810672F9B33865C217 |
851284B85ACA7D8E966F3F0DCF9AA33B |
C3834835873B9D7D6B9A2436F748AA51 |
DC6CD17105168171C27FB167239636E1 |
8D31AE369E67EE0B412D889299F2B4B2 |
AA8FFE5D6495AFB8515E1B7C27A7A4AC |
271520C83F847743AA6EACCD1B949797 |
F6F15D525D1C893B996A01E1EA5CCC63 |
1801337FF3C1CBEC9B97ED0F7B79AC0B |
参考资料:
https://www.aon.com/cyber-solutions/aon_cyber_labs/yours-truly-signed-av-driver-weaponizing-an-antivirus-driver/