安天捕风团队
1. 概述
近几年全球比特币市场一路走高催生出了一大批“矿工”。与此同时,黑客使用非法的网络手段进行挖矿。近期追踪到利用FTP服务器进行传播挖矿的蠕虫病毒。
2. 样本信息
类型 | 文件 |
名称 | Photo.scr |
大小 | 1.53Mb |
格式 | pe |
MD5 | BEF104BEAC03466E3C73761223941C65 |
壳 | None |
恶意判定 | yes |
病毒类型 | malware |
病毒名 | Trojan[RAT]/Win32.Tepfer.ah |
3. 样本详细分析
该病毒利用FTP服务进行传播,尝试连接控制服务器,进行虚拟货币挖掘的蠕虫僵尸网络,大量入侵网络FTP服务器,并呈迅速爆发趋势,该病毒具有典型蠕虫特征,感染后将尝试连接控制服务器,接收更新、接收控制指令、下载虚拟货币挖矿程序;病毒向磁盘大量写入名称为“photo.scr”的母体,感染本地html、php、aspx等网页文件,嵌入恶意代码,用户访问该网站时,尝试被动传播;并利用字典,主动向网络中的匿名弱口令FTP服务器写入病毒文件,激活感染。
开始对网络中的FTP服务器进行攻击,会对其进行爆破。一旦成功登录尝试,恶意软件的副本被上传到每个可写服务器。此时,能够呈现给用户(例如HTML,PHP和aspx文件)的每个文件都被photo.scr字符串感染。在这个阶段,渲染页面将导致一个易受攻击的浏览器作为下载。若用户打开该类文件会受到感染并进行安装挖矿软件。会将目标服务器的ip,凭据和受感染文件列表将发送到恶意软件的后端服务器。有了这些信息,攻击者可以稍后登录到受感染的FTP服务器,感染更多文件并使受害全体进一步扩大。
挖矿过程如下:
1) photo.scr将自身通过xcpoy命令复制到每一个磁盘的根目录下. 每5秒执行一次复制自身的命令:
2) 从 http://stafftest.ru/test.html?0 的div里下载矿机配置文件.
3) 然后从 http://u.lduxnfz.com/tt/ei.js 解密数据.
4) 将解密的数据放到 %Temp% 文件夹下, 文件名为 pools.txt,
C:\Users\Administrator\AppData\Local\Temp\pools.txt, 这个pools.txt的内容如下:
stratum+tcp://mine.moneropool.com:3333
stratum+tcp://monero.crypto-pool.fr:3333
stratum+tcp://xmr.prohash.NET:7777
stratum+tcp://pool.minexmr.com:5555
这四个地址是矿池的地址。
5)并在同目录下下载生成 NsCPUCNMiner32.exe文件, 或者NsCPUCNMiner64.exe, 并通过从 http://stafftest.ru/test.html?0 获取到的参数开始运行. 比如:
C:\Users\Administrator\AppData\Local\Temp\NsCpuCNMiner32.exe-dbg -1 -ostratum+tcp://mine.moneropool.com:3333 -t1u4Ahxep5d8sdfVfN4XGPTQyUSpLm7gKqYvgqGzxf5raLLZAHQ7dn2oBzYdFCB3M3Gfz74CJQAs7DSMiNFvD1ykAbgSiAzCd4 -p x
这样你的计算机就会沦为挖矿工具,严重消耗cpu和显卡。
4. 解决方案
中毒后解决方法
1) 安装杀毒软件,全盘查杀病毒。
2) 对已感染病毒的网页服务器,可使用文本批量替换工具,删除网页文件中被植入的恶意代码(有photo.scr特征)。
3) 网络监测病毒域名解析行为,对病毒利用域名进行解析的主机,极大可能感染该家族蠕虫病毒。可以对以下几个域名进行重点关注:stafftest.ru(176.126.84.24)hrtests.ru、profetest.ru、testpsy.ru、pstests.ru、qptest.ru、jobtests.ru、iqtesti.ru、managtest.ru、testworks.ru。
4.2 防御措施
1)关闭所有FTP服务匿名访问,修改弱口令账号,已知该家族蠕虫使用以下字典组合攻击FTP服务器,可以避免使用下列账号:anonymous、Admin、admin、www-data、anonymous、administrator、ftp、user、user23;密码:test、password、pass、pass1234、1234、12345、123456、1234567、12345678、123456789、1234567890、qwerty、devry、000000、111111、123123、abc123、admin123、derok010101、windows、123qwe、
email@email.com
2) 内部网络部署蜜罐系统进行感知黑客渗透内网活动
3) 在网络中安装探海流量威胁检测系统,对网络中的可疑流量进行监控,且不会影响网络的正常使用,易于管理监控。
附录一:参考资料
参考链接:
[1] https://www.guardicore.com/2016/06/the-photominer-campaign/
[2]https://www.fireeye.com/blog/threat-research/2016/06/resurrection-of-the-evil-miner.html?from=singlemessage&isappinstalled=1