1234WG(广海社区) - 多人游戏的Hacker秘籍分享论坛!

 找回密码
 立即注册
搜索
查看: 47613|回复: 144

[转账] 挖矿木马DTLMiner最新变种

[复制链接]

18

主题

114

帖子

336

积分

财主

Rank: 2

UID
428306
交易币
0 元
威望
0 点
贡献
38 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
3 小时
发表于 2019-4-9 18:53:12 | 显示全部楼层 |阅读模式

财主 |主题 18|帖子 114|积分 336

暂时开放免费注册(无需邀请码),论坛将在2020年开启邀请码注册制!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
挖矿木马病毒“DTLMiner”最新变种,新版本病毒更换了IP和域名,并且增加了一个挖矿模块,新版挖矿模块会下载显卡驱动,利用显卡进行挖矿,大幅提升挖矿速度的同时会导致系统卡顿,显卡发热。目前,瑞星云安全系统显示,已有数千用户感染该挖矿病毒。; n8 ]* t  F  T& J! t
  下载后文件名MD5功能5 k: n: @: [5 z) y3 i- y1 a
  %appdata%Microsoftcred.ps1E05827E44D487D1782A32386123193EFPowershell攻击模块8 c* m) N! s# F1 M. J: S
  %temp%mn.exe66EA09330BEE7239FCB11A911F8E8EA3挖矿模块
4 o4 S* q4 r* E8 |0 U  %temp%-8个字符的随机名称CDF6384E4CD8C20E7B22C2E8E221F8C8python编写的攻击模块
* A/ ?1 a; V  }2 I6 q0 @( H1 `7 O  %temp%ddd.exe8A2042827A7FCD901510E9A21C9565A8新增挖矿模块6 V$ f$ }4 e0 g! X3 g) @5 I, q2 c
  表:病毒下载的各模块
0 i/ T, J8 w  s. V3 B$ ]  新版挖矿木马病毒“DTLMiner”不仅会导致中毒机器CPU占用率过高,机器卡顿,同时还会导致显卡占用率过高,显卡发热等现象,严重影响用户正常工作。目前瑞星ESM已能成功查杀该病毒的最新版本。; y3 j& W0 |( J* o
1_22029048289.jpg 9 W* h0 X6 J& w
  图:瑞星ESM查杀截图" b2 l. h" W: C8 u/ Z4 R6 J, H7 D
  “DTLMiner”挖矿木马的黑历史:
1 J! B( C* W# @; B% t  2018年12月,“驱动人生”的升级模块被不法分子利用传播挖矿木马病毒“DTLMiner”,短期内感染数万台计算机。
* x7 A; G& s* ~7 \2 Z% Z: g- y  2019年2月、3月又分别进行了更新,增加了数字签名与弱口令攻击,攻击面进一步增大,同时又躲避查杀。
4 x1 D: \0 u+ b5 x- M! F" G  此次瑞星截获的“DTLMiner”已经是第5次变种。
' X4 I1 P4 ^1 s8 v9 z! j3 [# I$ B  针对该木马病毒对企业网络安全带来的潜在威胁,瑞星安全专家建议:% T1 s; T) q9 J: Z; a: P% F
1、 安装永恒之蓝漏洞补丁,防止病毒通过漏洞植入;. Z5 ~: P  G* p
2、 系统和数据库不要使用弱口令账号密码;
$ h- I8 _% ?& w& h* {% d1 \3、 多台机器不要使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;
- ^; b& Y4 _; l  _0 q4、 安装杀毒软件,保持防护开启。3 @' A, X- Z, S7 X! M
  技术分析
5 T2 o5 G' f( X. c  新版挖矿木马病毒“DTLMiner”通过漏洞和弱口令攻击植入,创建快捷方式开机自启动。; h3 g8 D; g5 k4 `- C' _
1_22029063037.jpg
* y; u# R9 A' A6 o  图:病毒创建的快捷方式( |+ K) o# ?' X
  快捷方式运行之后,执行flashplayer.tmp。此文件是一个脚本,使用JS 调用PowerShell脚本下载。3 i5 h$ k/ j& @# z
1_22029088791.jpg
2 t; z% N- g9 l% E  图:flashplayer.tmp 内容
( w5 H  r% v, ~0 j4 w  X  下载的文件就是下载模块,此模块会下载攻击模块和挖矿模块。下载模块使用多层混淆。- o- W  |' H: m8 X) F3 `
1_22029103540.jpg
- `2 p3 W8 _: \* v  图:多层混淆的下载模块
- c( o+ @0 _: h/ S* ~  最终解密出下载脚本,脚本运行后首先获取本机网卡mac地址,获取本机安装的杀毒软件信息。8 ~+ e8 C& |" Z) o' `
1_22029125275.jpg
  }6 L: R. r) {  图:获取本机网卡和杀软信息3 f+ B1 Z5 Y+ e; x  e$ [
  之后随机延时一段时间。- b" {1 I+ s6 L+ s/ a* @9 v1 i5 ~
1_220291424.jpg
) S; J! r7 I& {( r3 C  图:延时一段时间
9 W. k# N" t; n6 L  判断配置文件是否存在,如果不存在则下载对应样本。: t* ]/ [/ @# q
1_22029165778.jpg
4 b+ M+ u6 n& |  _% p, b# c+ h  图:根据配置文件下载对应样本) j' A* y. w3 e' y5 d5 i" {
  1)如果配置文件k1.log不存在,则创建计划任务持久驻留。* u1 E5 L. \9 |/ P% o8 N
  根据用户权限不同,创建的计划任务不同,如果当前用户是管理员权限则访问:http://v.y6h.net/g?h + 当前日期,如果当前用户非管理员权限则访问:http://v.y6h.net/g?l + 当前日期。
( Z( R' o) h2 h$ `8 B+ p$ G 1_2202918526.jpg
* m- T1 p1 X$ L1 g$ G* W. V  图:下载更新脚本/ n; c. N# d8 j( `% S& @. Y: C
  计划任务的功能是访问此网址,使用PowerShell执行获取到的内容。目前此网址处于无法访问状态,攻击者随时可以开启,下发任意脚本。
! I% t5 |) T8 f9 x  2)如果配置文件kkkk2.log不存在,则下载new.dat保存为cred.ps1,内容是混淆的PowerShell脚本。8 I. M& G$ ~0 _+ r+ o
1_22029206280.jpg
: g( m/ H5 g4 S; J6 g  图:下载cred.ps1' c3 M2 ?  i) h1 i8 _+ `
  判断文件大小是否正确,如果正确则创建计划任务定时执行cred.ps1。6 r# N/ p3 l+ g/ i# \' u
1_22029221029.jpg / T; `! l, a: m& X, w/ l/ J- Y0 F" E
  图:执行cred.ps10 @' Y$ l: w% d$ w
  cred.ps1 脚本被多层混淆。5 y1 N3 E: t2 w* a4 O2 i
1_22029246782.jpg . ~+ G- o1 b; F8 m9 z5 {( a/ J# R; f
  图:多层混淆的cred.ps1 脚本, D* o, I- c% k) `8 G1 o
  解密后可以看到,此版本是V5。9 u; i; }1 \6 u9 _* C1 q* o( J
1_22029261531.jpg " ?# C. Q3 ?8 A4 g0 E2 R
  图:病毒版本
( S$ @1 e* a! @& ?: `5 ]7 r  此模块主要还是为了攻击。1 p4 q" |: X7 Y4 E6 b
1_22029289161.jpg ( Q: s2 c0 `. Y
  图:cred.ps1 脚本主要功能
7 V% z8 w$ \0 [4 w4 A  调用永恒之蓝漏洞攻击。
0 b. k& C+ I/ D* b 1_22029303910.jpg
+ `3 T) L: G4 n0 g: O  图:永恒之蓝漏洞攻击
3 Y3 b4 {  f( O* b# O; i6 v5 l  eb7函数针对win7和win2008。" I" R1 L3 ?# x0 @; L
1_22029329663.jpg 8 ?4 g. E. w) I( K; A/ E3 R- r
  图:eb7函数
( ~& i- ~' ^2 f8 U4 l# P  eb8函数针对win8和win2012。" a+ r6 T: P8 {
1_22029344412.jpg ( s) Y' v: b3 z- _
  图:eb8函数8 l( ?, n6 v6 y% s1 ?
  SMB弱口令攻击。
* V" y# X: Q9 }5 P/ @/ V9 d+ \( J" i 1_2202936165.jpg % j$ f! T$ x" |
  图:SMB弱口令
# C) H# U. t1 r! Z$ ?  完整的密码列表如下,如果使用以下密码,建议尽快修改。: f1 H6 U6 ]) }3 M2 [
  123456","password","PASSWORD","123.com","admin@123","Aa123456","qwer12345","Huawei@123","123@abc","golden","123!@#qwe","1qaz@WSX","Ab123","1qaz!QAZ","Admin123","Administrator","Abc123","Admin@123","999999","Passw0rd","123qwe!@#","football","welcome","1","12","21","123","321","1234","12345","123123","123321","111111","654321","666666","121212","000000","222222","888888","1111","555555","1234567","12345678","123456789","987654321","admin","abc123","abcd1234","abcd@1234","abc@123","p@ssword","P@ssword","p@ssw0rd","P@ssw0rd","P@SSWORD","P@SSW0RD","P@$$w0rd","P@$$word","iloveyou","monkey","login","passw0rd","master","hello","qazwsx","password1","qwerty","baseball","qwertyuiop","superman","1qaz2wsx","fuckyou","123qwe","zxcvbn","pass","aaaaaa","love","administrator"2 ?2 N8 K; R0 e% m& _
  图:cred.ps1攻击模块内置的弱口令列表6 h  V4 H- z5 D! h- x* h& V. `
  攻击成功后,调用CopyRun函数,将 FlashPlayer.lnk和flashplayer.tmp植入被攻击机器,被攻击机器又会开始新的一轮循环,下载病毒攻击其它机器。
& J3 _, g; F2 y! o 1_22029384914.jpg 4 B* m6 g7 L  E/ [& j
  图:植入病毒
; H! N+ k" `4 l0 c8 x7 q9 T( e& u  3)如果配置文件333.log不存在,则下载mn.dat,命名为mn.exe,此模块就是之前的挖矿模块。
" S3 v! g4 ?% e; A# ` 1_2202940668.jpg 4 l& s3 Q- @/ s
  图:下载mn.exe. I3 j2 j' K# A/ p3 w3 F
  4)如果配置文件kk4.log不存在,则下载ii.da,并使用4-8位随机字母命名,例如 hjqgbs.exe,此模块就是之前的攻击模块,使用Python开发,使用pyinstaller打包。5 T( T5 ^6 e: x
1_22029425416.jpg / h' q& c% w) B' J0 g$ c: }
  图:下载ii.dat 并随机命名, g/ X8 n9 B# |' Q. l/ X- b
  判断下载的文件大小是否正确,如果正确则创建计划任务运行此exe,根据不同的权限使用不同的方法运行,如果是管理员权限,直接创建计划任务运行此exe。
+ G; o. _# k: n, C 1_22029447152.jpg
. e: b+ S. h0 `  图:运行下载的exe
) u- l/ c  c# U" |7 U- z8 L! M% N2 B  如果非管理员权限,则释放run.vbs脚本,将run.vbs脚本设置为计划任务,通过脚本运行此exe。  P. _( H& q5 W# J
1_22029461901.jpg
* ?7 Q! B5 x. L* N  图:调用vbs脚本运行下载的exe0 j( _- I! F" O2 g  k" |
  释放的run.vbs脚本。
  a, c4 L. l" f5 c& |# R 1_22029487654.jpg
7 A0 `7 G& c* s: b+ E2 j0 o  图:vbs脚本内容
/ J3 [4 G6 s9 O+ [1 d5 X6 Y1 k: ]  此exe仍然使用窃取的数字签名。. X9 ?* ?* C5 B- `

! ]! j2 e* g4 P! p' b0 W$ f+ H 1_22029502403.jpg , j  ~- W# l2 g
& W4 o3 A$ d& \. i6 O& ]% y
  图:窃取的数字签名
' I1 t& K+ }# ^, A" [* O  解包后可以看到Python脚本。9 _! Z% z: e7 V1 Q3 e
1_22029528157.jpg
+ r) n/ g5 _2 G& ]  图:Python脚本
$ F$ @" o! \. K1 u* M7 D! [* I  脚本使用了base64编码。
0 g$ |# _6 M1 L  G4 R/ A 1_22029542905.jpg
- D$ Y' F0 K$ T9 Q7 r  图:base64编码的脚本
* V! h9 S9 |+ I/ ~( F  解码后得到病毒的Python代码,代码中的关键字符串也进行了混淆。
. u  n7 L# I, ^ 1_22029568659.jpg : k2 }  t0 p2 M' S
  图:混淆的代码, w( |" H' a$ W/ r/ D
1_22029583408.jpg
3 V2 F  r, a& T* [; ?  图:混淆的代码3 h- J9 ]# r' j
  去混淆后,可以看到最终的病毒代码,病毒最开始会通过内存映射,检测当前版本。首先打开内存映射读取内容,如果没有获取到映射的内存,则创建内存映射将自身的路径+“**”+当前版本号+“$$”写入到新创建的内存映射中。
4 ^) u% E5 `) q! v! m" K; U3 s+ o 1_22029603179.jpg 7 z" o9 M8 p& R( i6 ~, z
  图:内存映射
! D' \, k3 d5 i# w  如果获取到内存映射,则解析映射中的版本号和内存映射中的文件路径,计算MD5。如果当前程序的MD5和内存映射中路径对应的文件MD5相同,则不执行操作。; A9 @% a  j6 m! G0 g7 b) @
1_22029627927.jpg 6 E' D& `2 G( ]  x- Z! H
  图:计算MD59 t1 J% g  _. s* ^( Z  Z# C' N
  否则判断当前版本是否大于内存映射中的版本,如果大于结束之前版本的进程,当前程序复制过去。
5 V6 ~% |# ?7 H5 [ 1_22029643681.jpg 9 Z+ m* S- K& y
  图:判断版本" Q% K8 R2 ]1 z( }- `
  之后就是攻击传播的部分,病毒内置的攻击IP段、弱口令账号密码列表。3 x# t& [" w% |6 E8 ]% I: B: B5 v
1_22029668430.jpg - Q7 O$ K+ r9 E) @* V( O
  图:弱口令列表4 M$ b0 L, l) N, Z. C9 B1 E
  弱口令密码又进行了扩充,完整的密码如下,如果当前计算机或者数据库软件使用了此列表中的密码,建议尽快修改密码。
# M! a. m, k( u8 d" {  '123456','password','qwerty','12345678','123456789','123','1234','123123','12345','12345678','123123123','1234567890','88888888','111111111','000000','111111','112233','123321','654321','666666','888888','a123456','123456a','5201314','1qaz2wsx','1q2w3e4r','qwe123','123qwe','a123456789','123456789a','baseball','dragon','football','iloveyou','password','sunshine','princess','welcome','abc123','monkey','!@#$%^&*','charlie','aa123456','Aa123456','admin','homelesspa','password1','1q2w3e4r5t','qwertyuiop','1qaz2wsx','sa','sasa','sa123','sql2005','1','admin@123','sa2008','1111','passw0rd','abc','abc123','abcdefg','sapassword','Aa12345678','ABCabc123','sqlpassword','1qaz2wsx','1qaz!QAZ','sql2008','ksa8hd4,m@~#$%^&*()','4yqbm4,m`~!@~#$%^&*(),.; ','4yqbm4,m`~!@~#$%^&*(),.;','A123456','database','saadmin','sql2000','admin123','p@ssword','sql123','sasasa','adminsa','sql2010','sa12345','sa123456','saadmin','sqlpass'( ]1 e& J  B3 q0 V
  图:Python攻击模块内置的密码列表- B" u5 w7 y# j2 g7 @2 v
  病毒仍然会抓取密码,因此局域网中多台机器使用相同密码,一台机器中毒,也会导致其它机器被攻击。
* j3 X+ j6 b& Q/ j* l( ?( J: ` 1_22029684183.jpg : q8 p1 ]' E! {, H$ j" d
  图:抓取密码$ O$ b- I( y: w
  永恒之蓝漏洞攻击。
) K( Y- Q: W; p: N 1_22029708932.jpg % V0 \9 \. |# _1 V4 A& t. \
  图:永恒之蓝漏洞8 a/ V, N+ e. R$ x
  开启共享,将病毒发送过去。
" I# D- P" h& I. e6 }% _ 1_22029724685.jpg
# {# Z; I0 n9 ?" m7 e4 |  图:发送病毒
  [* J: e& C5 j! y, ~) [( e+ {  SMB弱口令攻击。% `; y) X7 F0 N8 g$ \
1_22029749434.jpg
! Z1 ^% ]+ o/ U. C" ?  图:SMB弱口令攻击
' c* r) [' _" `  MS SQL数据库弱口令攻击。
; U+ R1 T- U4 T5 M; L; b 1_22029761170.jpg
# R. n, m# u2 D  图:MS SQL弱口令攻击
# w4 q9 a- D$ T' h% j# f  5)如果配置文件kk5.log不存在,则下载ddd.dat,命名为ddd.exe,此模块为新版挖矿模块,会下载显卡挖矿相关的驱动。' M0 x7 m% ^3 |: e3 A" }
1_22029785919.jpg # Y6 Q" W$ ]# E; r1 [' L
  图:下载挖矿模块ddd.exe- e  q% P8 e" U) ]; g$ Y% T" w
  挖矿模块运行后界面。
; [+ l9 L* m0 b6 Y! z3 t 1_22029801672.jpg : T3 ~" P) H* r
  图:挖矿模块界面
- V9 _( k6 h4 j" q- p+ X  挖矿模块除了使用CPU挖矿之外,还会下载显卡挖矿相关的驱动,使用显卡进行挖矿。
! n9 K$ W( f/ o5 G  H 1_22029826421.jpg
- y/ k0 h, k# V  图:下载的显卡驱动
' D' J2 D4 y- k- {  6)最后访问控制服务器,将本机状态信息信息上传到控制服务器,便于统计感染状态。3 v. m. v( J! H* V$ Q! [
  统计的信息包括本地网卡mac地址、安装的杀毒软件、系统版本、感染标志、当前用户组、当前用户名等。
5 l% c4 w- r2 N# {5 T 1_22029842174.jpg 1_22029866923.jpg
7 j. F6 X& Y& G6 v



联系我时,请说是在 1234WG(广海社区) 上看到的,谢谢!

1

主题

79

帖子

164

积分

农夫

Rank: 1

UID
429078
交易币
0 元
威望
0 点
贡献
41 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
5 小时
发表于 2019-4-9 18:54:12 | 显示全部楼层

农夫 |主题 1|帖子 79|积分 164

有道理。。。
回复

使用道具 举报

1

主题

39

帖子

80

积分

农夫

Rank: 1

UID
429313
交易币
0 元
威望
0 点
贡献
44 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
9 小时
发表于 2019-4-9 18:54:13 | 显示全部楼层

农夫 |主题 1|帖子 39|积分 80

不错不错,楼主您辛苦了。。。
回复

使用道具 举报

0

主题

77

帖子

154

积分

农夫

Rank: 1

UID
429030
交易币
0 元
威望
0 点
贡献
41 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
5 小时
发表于 2019-4-9 18:55:14 | 显示全部楼层

农夫 |主题 0|帖子 77|积分 154

前排,哇咔咔
回复

使用道具 举报

0

主题

86

帖子

172

积分

农夫

Rank: 1

UID
428643
交易币
0 元
威望
0 点
贡献
47 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
4 小时
发表于 2019-4-9 18:55:33 | 显示全部楼层

农夫 |主题 0|帖子 86|积分 172

学习了,谢谢分享、、、
回复

使用道具 举报

0

主题

42

帖子

16

积分

农夫

Rank: 1

UID
429276
交易币
0 元
威望
0 点
贡献
30 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
7 小时
发表于 2019-4-9 18:55:53 | 显示全部楼层

农夫 |主题 0|帖子 42|积分 16

路过 帮顶 嘿嘿
回复

使用道具 举报

2

主题

76

帖子

164

积分

农夫

Rank: 1

UID
428381
交易币
0 元
威望
0 点
贡献
46 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
4 小时
发表于 2019-4-9 19:09:06 | 显示全部楼层

农夫 |主题 2|帖子 76|积分 164

有道理。。。
回复

使用道具 举报

0

主题

46

帖子

28

积分

农夫

Rank: 1

UID
429249
交易币
0 元
威望
0 点
贡献
41 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
8 小时
发表于 2019-4-9 19:09:07 | 显示全部楼层

农夫 |主题 0|帖子 46|积分 28

我了个去,顶了
回复

使用道具 举报

0

主题

73

帖子

146

积分

农夫

Rank: 1

UID
428558
交易币
0 元
威望
0 点
贡献
18 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
2 小时
发表于 2019-4-9 19:09:29 | 显示全部楼层

农夫 |主题 0|帖子 73|积分 146

路过,支持一下啦
回复

使用道具 举报

2

主题

32

帖子

74

积分

农夫

Rank: 1

UID
429202
交易币
0 元
威望
0 点
贡献
43 点
宣传
0 人
买入金额
0 元
卖出金额
0 元
纠纷记录
0 单
在线时间
7 小时
发表于 2019-4-9 19:12:49 | 显示全部楼层

农夫 |主题 2|帖子 32|积分 74

我也顶起出售广告位
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

广海公告上一条 /1 下一条

QQ|Archiver|手机版|小黑屋|1234WG

GMT+8, 2020-6-1 20:18 , Processed in 0.448026 second(s), 44 queries .

1234WG - https://www.1234wg.com © 2012-2019

本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除