感染数万设备!警惕ZombieBoy挖矿木马“丧尸式”传播
2019-07-25 11:00:16 Author: www.freebuf.com(查看原文) 阅读量:89 收藏

近日,深信服安全团队监测到一款名为ZombieBoy的木马悄然感染了国内外各个行业的用户主机。该木马包含了内网扫描、“永恒之蓝”漏洞利用、“双脉冲星”后门、挖矿工具等多个恶意模块,是一款集传播、远控、挖矿功能为一体的混合型木马。该木马的结构类似于“MassMine”,由于释放第一个恶意DLL文件时使用了一个名为ZombieBoy的工具,因此被命名为ZombieBoy挖矿木马。

ZombieBoy木马最早出现于2017年底,国外安全网站于2018年跟踪报道了该木马的相关分析,2018年下旬,安全媒体报道被该木马控制的主机多达七万台。日前,经深信服安全云脑数据监测发现,该木马在各个行业中迅速扩散,其中,安全防护较为薄弱的企业成为感染的重灾区,教育行业、政企单位等均受到不同程度的感染:

木马感染区域没有明确的目标,经统计,全国各省以及国外用户均存在感染现象:

感染现象

受感染的主机上出现明显现象为未知IP策略,该策略会将除了22.148.18.88之外连接445的IP全部阻止。

可疑IP地址查询为一个美国IP。

搜索最新创建的TXT文件,能发现大量IP.TXT文件,是该木马内网传播模块的日志文件:

出现木马目录下恶意文件的计划任务:

ZombieBoy木马详细分析

木马母体会在windows目录下创建一个5位随机字母的文件夹,将攻击所用到的东西以及挖矿等程序释放到该文件夹,并且会将自身拷贝到windows目录下名为boy的文件,再次拷贝自身到随机文件夹下且也为随即名,该随机文件夹的路径名称以及母体副本随机名称保存在C:\\Windows\\IEM\\tps.exe中,创建tps.exe是为了进行伪装:

攻击文件:

创建ipsec_ply和qianye等IP策略:

为boy副本创建服务:

创建aC.exe挖矿程序,挖矿地址为:

44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS

TCP端口扫描模块在进行IP段的扫描,该扫描器为名为WinEggDrop开发的开源扫描器,其项目地址如下:

永恒之蓝漏洞利用工具Cstrl.exe:

双星脉冲后门植入工具chrome.exe:

下载可执行文件123.exe到C:\\Windows\\System32\\sys.exe,并运行:

sys.exe功能为检测是否存在C:\Windows\IEM\tps.exe,下载母体文件并执行:

其中C:\Windows\IEM\tps.exe是配置文件,保存着母体文件创建的随机文件夹路径以及自身副本的随机文件名:

接下来会访问http://v9.monerov8.com:8800/A.txt获取URL地址用于下载恶意文件,当前木马的URL已失效:

从自身释放出并执行84.exe:

生成一个随机数,判断是否大于0×32, 选择不同的端口进行下载执行母体文件并保存为las.exe:

同样会下载执行wk.exe为CPUInfo.exe:

从自身释放脚本文件SB360.bat到windows目录下:

该脚本内容主要是创建IP策略,屏蔽135、139、445 . . .等端口,防止用户机器被其他黑产团队进行攻击,脚本内容如下:

84.exe分析,其导出了一个Update函数:

该样本中存储了一份DLL文件,通过解密DLL文件动态执行,然后调用84.exe的导出函数获取参数,可以直接在Update参数处设置断点(或者在LoadLibrary处进行断点,可以dump出被加密的DLL),该DLL通过自己的Data导出函数调用Update函数:

检测是否存在该服务dazsks gmeakjwxo,没有就进行创建该服务:

将自身拷贝到C:\windows\system32\seser.exe,并设置为隐藏属性,创建服务:

删除自身:

解密出C2地址,用于连接等:

Cpuinfo.exe拉起挖矿等进程,创造攻击链,其内包含了其他的样本文件:

解决方案

1. 更新MS17-010漏洞补丁;

2. 关闭业务上不需要的端口,如135、137、138、139、445等;

3. 深信服为广大个人用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/system/208049.html
如有侵权请联系:admin#unsafe.sh