瞄準國內平面設計工作者的挖礦行動
責編:gltian |2023-09-15 17:14:31惡意文件名稱:
瞄準平面設計工作者的挖礦行動
威脅類型:
后門、挖礦
簡單描述:
攻擊者采用惡意腳本與合法安裝器Advanced Install相捆綁的方式,向目標主機釋放遠控木馬M3_Mini_RAT或礦機lolMiner、PhoenixMiner,以達到控制目標主機或利用目標主機挖礦謀取利益的目的。
惡意文件描述
近期,深盾實驗室在運營工作中發現了一起針對3D建模和平面設計從業者的挖礦活動,由于該類行業人員的電腦配置較高,攻擊者可從中獲取更豐厚的挖礦收益。
攻擊者利用合法的安裝器Advanced Install,將它與惡意腳本文件捆綁在一起,從而在安裝時對目標主機上釋放遠控木馬M3_Mini_RAT或挖礦軟件LOLMine、PhoenixMiner,使用戶在毫不知情的情況下被控制,或實施挖礦行為。
事件分析
攻擊者采用兩種方式對目標進行攻擊。第一種方式通過合法安裝程序釋放并執行遠程控制木馬M3_Mini_RAT,以實現對受害者主機的控制。第二種方式則是釋放并執行lolMiner或PhoenixMiner礦機,以利用受害者主機的GPU進行挖礦。
攻擊方式一:釋放遠控木馬
攻擊者采用捆綁安裝的方式,利用Advanced Install安裝程序分兩個階段釋放惡意腳本文件。當用戶啟動該安裝器并進行交互式安裝之前,位于臨時目錄下的腳本文件就已經被釋放完畢。當用戶點擊安裝按鈕時開始釋放第二階段惡意文件,并調用系統進程啟動惡意腳本,并最終在目標主機上運行遠控木馬M3_Mini_RAT。
第一階段,用戶啟動被捆綁的安裝器,名為core.bat的惡意腳本文件被釋放在臨時目錄C:\\Users\\\\AppData\\Local\\Temp目錄下。
該腳本主要功能是將后續釋放在%Appdata%目錄下的cor.ps1添加為計劃任務,通過計劃任務達到使用powershell每分鐘隱秘執行一次該腳本的目的。惡意腳本core.bat內容如下:
第二階段,當用戶交互式點擊“安裝”按鈕后,存在捆綁的安裝程序會在C:\\Users\\\\AppData\\Roaming目錄下生成名為Webgard的文件夾,并釋放惡意腳本cor.ps1與經過加密的遠控木馬core.bin。
惡意腳本cor.ps1中存在攻擊者自帶的秘鑰以及解密算法,主要功能就是解密遠控木馬core.bin并執行,使攻擊者獲得目標主機的訪問權。惡意腳本cor.ps1內容如下:
在文件釋放完畢后,安裝程序調用系統程序msiexe.exe設置參數來隱藏執行惡意腳本core.bat。其中“AI_CORE.BAT”指定了需要執行的惡意腳本文件路徑,“AI_EUIMSI=1”表明該程序在安裝期間需要執行目標core.bat文件,由此完成整條攻擊鏈,最終完成執行遠控木馬的目的。
完整攻擊鏈如下圖所示:
攻擊方式二:釋放挖礦文件
與上一種攻擊方式類似,攻擊者同樣使用利用msiexec.exe隱秘執行腳本的方式,通過計劃任務釋放挖礦文件。
第一階段,用戶啟動被捆綁的安裝器,名為core.bat和win.bat的惡意腳本文件被釋放在C:\\Users\\\\AppData\\Local\\Temp目錄下。
腳本文件core.bat,主要功能是將后續釋放在%Windir%目錄下的腳本core.ps1添加為計劃任務,通過計劃任務調用powershell,每隔兩小時隱秘執行一次該腳本。惡意腳本core.bat內容如下所示:
腳本文件win.bat,主要功能是將后續釋放在%Appdata%目錄下的腳本core.ps1寫入計劃任務,通過計劃任務調用powershell,每隔兩小時隱秘執行一次該腳本。惡意腳本win.bat內容如下所示:
第二階段,當用戶交互式點擊“安裝”按鈕后,安裝程序會在C:\\Users\\\\AppData\\Roaming目錄下生成名為Winsoft的文件夾,并釋放惡意腳本cor.ps1與經過加密的腳本文件core.bin。
惡意腳本文件cor.ps1與攻擊方式一區別不大,其目的依舊是對core.bin進行解密,唯一不同點僅在于解密秘鑰不同。
惡意腳本文件core.bin不再是遠控木馬,而是作為一個下載器,調用powershell去訪問指定的url,并存放至指定目錄中。惡意腳本文件core.bin通過解密后的內容如下所示:
在文件釋放完畢后,安裝程序調用系統程序msiexe.exe設置參數來隱藏執行%TEMP%目錄下的惡意腳本core.bat和win.bat,由此完成鏈式計劃任務創建,達到啟動下載器進行遠端下載的目的。
第三階段,當計劃任務以每兩小時的頻率第一次訪問指定url下載文件后,標志著第三階段文件釋放完畢。下載后的文件被釋放在C:\\Windows目錄下,分別為惡意腳本文件core.ps1與core.bin,以及lolMiner礦機svshost.exe。
腳本文件core.ps1依舊用于解密并啟動腳本文件core.bin,core.bin主要用于啟動并監控礦機文件svshost.exe,啟動該礦機的時候將指定一些參數,如挖礦算法、礦池地址、功率限制、停止溫度等,以完成惡意挖礦行為。解密后的內容如下所示:
完整攻擊鏈如下圖所示:
惡意樣本分析
在本次挖礦行動中,攻擊者采用了M3_Mini_RAT作為遠控工具控制受害者主機。該工具當前版本默認生成powershell腳本負載文件,雖有.Exe和.vbs文件生成的選項但卻并不可選。
該遠控工具擁有文件管理、進程管理、屏幕截圖、麥克風劫持、CMD命令行等功能,具體界面如下圖所示:
在生成的powershell負載中,首先預定義C2地址以及端口,并實現TCP連接功能。
在后續接連實現主機基本信息獲取、驅動器與文件系統信息獲取、進程信息獲取等功能,部分功能如下圖所示:
若TCP連接成功,則進入一個無限循環等待C2發來的指令,具體功能如表所示:
| 命令 | 功能 |
| pc | 調用函數info獲取主機基本信息,并發送至C2 |
| cl/uns | 退出當前程序 |
| dis | 關閉TCP連接 |
| opr/prc | 調用函數process-m獲取正在運行的進程信息,并發送至C2 |
| kpr | 調用powershell命令stop-process結束指定進程 |
| frm/u1 | 發送一個空消息至C2 |
| drv | 調用函數getdrive獲取計算機驅動信息,并發送至C2 |
| fld | 調用函數getfolder獲取指定文件信息,并發送至C2 |
| dwn | 讀取指定文件內容,base64編碼后將數據發送至C2 |
| runas | 嘗試使用[Diagnostics.Process]::start使制定進程以管理員權限啟動 |
| up | 將base64編碼后的內容寫入指定文件中 |
| up1 | 將base64編碼后的內容寫入臨時目錄TEMP的文件中,并使用[System.Diagnostics.Process]::start嘗試以管理員權限啟動指定文件 |
| img | 檢查負載是否被正常投放,通過讀取投放負載的內容并將其轉化為base64編碼數據流,隨后發送至C2 |
| rnf | 將指定文件重命名為指定內容 |
| df | 刪除指定文件 |
| cvs | 將指定數據寫入TCP流中 |
IOC
D2E35594DFC5FD087C36EC57C01BD96D
8FF15FF7CD352F8B521FEEAB121926EC
3ACC0E42D9ED6DD70F4FDF44FA03EA08
505625BE8CA7F6BA18245CA1C0DDC09C
33E1E601DE816EA72A1EAE92D0823F34
C3F0F141F6BC872A8FDD89DC7542E840
D5D01D003F3A321ACF0506D53D8616E0
055EAEC478C4A8490041B8FA3DB1119D
sysnod.duckdns.org
educu.xyz
51.178.39.184
解決方案
處置建議
1. 避免將重要服務在外網開放,若一定要開放,需增加口令復雜度,避免使用弱口令。
2. 避免打開可疑或來歷不明的郵件,尤其是其中的鏈接和附件等,如一定要打開未知文件,請先使用殺毒軟件進行掃描。
3. 安裝信譽良好的防病毒/反間諜軟件,定期進行系統全盤掃描,并刪除檢測到的威脅,按時升級打補丁。
來源:深信服千里目安全技術中心