安全路透社
当前位置:安全路透社 > 网络转载 > 正文

色情广告挂马分析:记一次挂马与挖矿之间的“亲密接触”

1. 背景

近日,腾讯安全反病毒实验室发现,有一类木马通过网页广告挂马的方式大规模传播广告内容色情链接,诱导用户点击。链接中嵌入了一段触发IE漏洞的JS脚本,如果用户电脑IE浏览器没有及时打好补丁那么点击链接后将会中招。 木马除了给受害者电脑上添加后门、窃取隐私信息之外,还会运行数字货币挖矿的程序从中获利。同时反病毒实验室还发现,木马作者服务器上还保存着 linux 等平台的木马,以及大量受控服务器后台地址,有可能进一步发动挖矿等更大规模的攻击。

下面带来详细的分析

2. 技术分析

2.1. 挂马

色情广告网页中内嵌带有混淆JS脚本

挂马脚本

解密后是利用 CVE-2016-0189 漏洞

漏洞利用

CVE-2016-0189 漏洞是 IE 浏览器脚本引擎漏洞,影响 IE9/10/11 浏览器,由于漏洞利用简单且影响范围大,稳定性好,不容易造成崩溃, CVE-2016-0189 漏洞已经成为黑客最常用的漏洞工具之一。木马会从服务器上下载可执行文件在用户电脑上执行。

木马下载文件执行

登录到木马的服务器,发现木马服务器上存放着pe elf压缩包 等格式的文件。文件包含了后门木马程序,开源挖矿工具以及疑似被攻击目标,下面我们从这几个方面进行 详细介绍

文件详情

2.2. 后门木马

服务器Server.exebuild.exe dashu.exe三个文件,是同一类型的后门程序。 通过对比,只是在创建服务程序,服务名称和描述不一样

后门木马 

后门程序第一次运行时会检查服务是否已经存在,如果不存在的话,会把自己重命名为随机文件名,然后拷贝到 C:\windows\system32 文件夹下, 以服务 形式启动

后门程序运行

如果通过服务的形式启动,就执行后门逻辑。

执行后门逻辑 

目前分析,后门主要的危害包括:下载执行恶意文件,启动IE访问某个 恶意URL等。

后门主要危害 

这里下载的可执行文件,黑客可以根据自己的需求进行配置。如果配置了服务器上存放的挖矿程序 system.exe,那么此时 肉鸡就变成了黑客的发财工具。

除了以上两个功能外,还包含了大概31其他的与服务器进行交互的功能。基本思路是接受服务器 传来的参数,解密并执行

经过分析,服务器上存放 sbwang、gnmbs 等 elf 文件,也是带有后门功能的 linux 木马

带有后门的木马

2.3  挖矿工具

服务器中的最后一个 system.exe 是与挖矿有关的可执行文件。运行后,system.exe 会在 C:\sys  目录下释放多个 文件,随后拉起 nheqminer1.exe 进程,运行参数包含矿池地址钱包地址 修改注册表 设置 system.exe 开机自启动,这样中招用户每次开机后,都会执行挖矿的程序,给木马作者带来 源源不断的收益。

挖矿工具

上图展示的 system.exe 所释放的文件,属于 github 开源的挖 框架 nheqminer 。这里挖掘的是 Zcash ,Zcash 类似比特币 ,但又有所不同。比特币等数字货币以交易的隐蔽性著称,但可以通过比特币区块链的记录追踪交易,人们可以准确获知比特币的发送者。Zcash 对交易数据进行了匿名处理,而不是像比特币那样要将交易数据公布于大众。同时 , 挖矿消耗资源较少,个人电脑即可满足挖矿的需求。

2.4. 被攻击目标

ips.rar 文件存放的扫描到的部署有 phpmyadmin 的服务器地址

服务器地址 

这些 ip 基本都是 服务服务器地址,黑客目标可能是想攻击 部署在其服务上的应用。搜索黑客挂马服务器的ip,也能看出一些端倪。

黑客挂马服务器的ip 

这个ip曾经进行过各种类型的攻击,包括端口扫描,ssh登录。猜测目的应该为了攻击并获取云上服务器的权限 进行挂马或者部署 自己的恶意程序,从而完成 规模更大,目的性更明确的攻击。

3. 溯源

3.1 影响范围

下面第一幅图展示漏洞每日拦截趋势情况第二幅图是 后门样本的广度情况。对比两幅图,可以看到七月中旬以后,拦截次数病毒广度都呈现上升趋势

漏洞每日拦截趋势情况 

后门样本的广度情况 

查看受害人的地理分布,发现广东和山东江苏 河南等,是本次挂马挖矿的重灾区。

受害人的地理分布 

3.2. 挖矿地址

木马运行时会通过隐藏窗口创建一个挖矿进程,通过监控木马命令行行为可以发现,运行参数中配置有挖矿池地址,钱包地址等参数。

关键行为与进程行为 

查询地址钱包的信息,能够看到为此钱包挖矿的机器。两天内已有 500个机器为此地址挖过矿。

地址钱包信息 

查询到的挖矿机器数据来看,挖矿数小于 后门中招的机器数。可以看出,木马作者并没有利用挂马的后门程序给全体受害者推送挖矿程序,只有部分受害者变成了 矿工如果 黑客哪天想多赚钱,下发挖矿程序 这么多肉鸡的帮助下, 实现财富自由也是分分钟的事情。

3.3 C&C服务器

挖掘现有C&C服务器信息我们还发现了作者其他的 C&C 服务器地址 通过现有掌握的数据,我们整理出来了 C&C 服务器,挂马服务器还有样本之间的关联。 图中的紫色样本,表示此样本部署在了挂马服务器 同时也连接了 C&C 服务器。 两类服务器之间的关联通过样本建立了起来。

C&C服务器 与挂马服务器

总结

前文分析看到,此次挂马挖矿在七月中旬后有个爆发 漏洞拦截次数和样本的广度都有一个明显的上升。并且挂马服务器的挖矿样本频繁更新, 病毒目前活跃度较大  

*本文作者:腾讯电脑管家,转载请注明来自 FreeBuf.COM 

未经允许不得转载:安全路透社 » 色情广告挂马分析:记一次挂马与挖矿之间的“亲密接触”

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册