病毒分析之“驱动人生”挖矿木马分析及其清除方案
“驱动人生”挖矿木马分析及其清除方案
0x00 概述
自2018年12月份”驱动人生“挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次。此木马感染量之大,传播速度之快,可称得上是国内挖矿排行”第一“的木马。
从最开始的有文件落地的单独可执行EXE,到后来的python版EXE,再到随机膨胀文件版本,再到后来的PowerShell无文件攻击版本。从单一攻击手法,到后来的漏洞攻击,域内渗透,暴力**,
多种传播手段,它一直都保持着当前较流行的攻击技术,隐藏技术。持续的予政企机构造成麻烦,与安全厂商对抗,也给”黑灰产同行做榜样”。
所以,我有必要用文章记录一下此木马的一些技术细节,和对抗它的方式。
0x10 更新版本
抓取到的20191009最新样本如下图:
部分早期版本:
自2018年12月份爆发以来较大的技术更新版本,如下图:
(图:“驱动人生”挖矿木马较大技术更新版本,引用自 腾讯威胁情报中心)
0x20 分析
木马样本版本较多,此处分析以最新版本(20191009)为例:
0x21 病毒危害
1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。
2.病毒运行挖矿程序占用计算机资源,影响正常使用。
3.病毒运行木马程序用于自身持久化驻留和操控计算机。
注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名 调用PwoerShell确定木马病毒存在。
(图:多个随机名称计划任务,调用PowerShell执行加密参数)
0x22 解密代码混淆
根据之前经验,病毒代码经过多次加密混淆,直接使用简单暴力的方式解密(详细方法见老王的文章)
解密前:
解密后(这个版本解密完还是有些简单的混淆,但是不太影响阅读):
0x23 传播手段
1.永恒之蓝漏洞传播
2.pass-the-hash域渗透
3.弱口令暴力**
4.“震网“漏洞启动盘和网络共享感染
5.CVE 2019-0708远程桌面漏洞传播(此传播手段在样本中暂时未完善)
分析传播手段部分截图:
0x24 IOCs
MD5(191009Version):
E7633ED33E30F6B0CEA833244138DD77
D67A06BB04A9DD48735E1B6C9B5A7EEC
9E72DE890EEB784A875EF57B85B3EE1D
A48EA878F703C32DDAC33ABC6FAD70D3
B3ED3C00D5B23928D54DA007D6B47480
C72DD126281ABA416B666DE46337C1D7
415AAE4F26158A16F2D6A5896B36E2A8
EAB61163CD93BA0CBBD38D06E199F1AB
F7591BC2A9C6A85A63032ABDB53976DB
0x25 相关链接
腾讯威胁情报中心:高危预警:永恒之蓝下载器木马再更新,集成BlueKeep漏洞攻击能力
瑞星安全实验室:“DTLMiner”再次更新 成为首个利用BlueKeep漏洞的病毒
FREEBUF:一场精心策划的针对驱动人生公司的定向攻击活动分析
安全客:驱动人生旗下应用分发恶意代码事件分析 - 一个供应链攻击的案例
0x30 手工清除方案
1.进程:结束如下图目录进程
2.服务:清除带有如下参数的服务
3.自启动:清除启动名称为Ddriver,Ddrivers,WebServers的启动项
4.防火墙:删除防火墙规则
删除入站规则名为UDP,开放65532端口的规则;
删除入站规则名为UDP2,开放65531端口的规则;
删除入站规则名为ShareService,开放65533端口的规则;
5.计划任务:删除名称为Rsta和其他随机名称的计划任务,删除包含如下参数的计划任务
6.文件:删除如下图目录文件
注:如上的清除方式是根据多个病毒版本综合的手工特征处理方式,如果遇到机器上没有对应的项就跳过继续检查清理下一项
0x40 工具清除方案
1.根据系统版本运行清理工具即可(建议断网后清理,清理后重启)
0x50 安全建议
1.卸载或及时更新驱动人生系列软件
2.及时更新系统补丁,如微软MS17-010,MS16-014,CVE-2019-0708,CVE-2017-8464漏洞补丁
3.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力**,如本地admin账户不常使用应该禁止
4.服务器暂时关闭不必要的端口(如135,139,445,3389)
5.及时更新安全软件,更新病毒库等