您现在的位置是:主页 > Web前端技术 > Web前端技术
WMAMiner挖矿蠕虫实例分析编程语言
IDCBT2022-01-12【服务器技术】人已围观
简介这篇文章给大家介绍WMAMiner挖矿蠕虫实例分析,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。 概述 兰云科技银河实验室在多个监测点用“兰眼下一代威胁感
这篇文章给大家介绍WMAMiner挖矿蠕虫实例分析,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。
概述兰云科技银河实验室在多个监测点用“兰眼下一代威胁感知系统”检测到多起同类未知威胁事件,杀毒软件检测率非常低,经过分析发现这是某个挖矿僵尸网络的肉鸡更新程序,为了躲避杀毒软件查杀,特地将主控程序加密并放到资源中。样本通过MS17-010(永恒之蓝)漏洞进行传播,定时和C&C进行连接接受命令和更新模块,主要目的为挖掘门罗币,基于挖矿木马的典型行为,我们将此蠕虫组建的僵尸网络命名为WMAMiner botnet。
兰眼下一代威胁感知系统检测截图
VirusTotal检测截图
通过分析发现僵尸网络拥有x86和x64平台的恶意组件,这里以x86平台作为分析,样本首先获取系统目录并和下面字符串拼接,拼接出如下:
C:\WINDOWS\system32\EnrollCertXaml.dll
C:\WINDOWS\system32\wmassrv.dll
C:\WINDOWS\system32\WMASTrace.ini
首先删除上面三个文件
之后获取资源,创建并写入文件C:\WINDOWS\system32\EnrollCertXaml.dll中
这个文件并不是一个可执行文件
先是读入文件内容然后解密将解密的内容写入C:\WINDOWS\system32\wmassrv.dll中
可以发现解密后是一个可执行文件
之后是获取C:\WINDOWS\system32\svchost.exe的文件时间,并设置成wmassrv.dll、EnrollCertXaml.dll的文件时间
可以看到这样文件的修改时间就跟系统其他文件的修改时候大致相同了,对主机检查起到一定的迷惑效果
之后便是设置wmassrv.dll为服务程序,并设置持久化
最后删除自身
主控模块流程图
作为服务的主控模块,会首先创建C:\WINDOWS\system32\WMASTrace.ini,并写入一个加号
会先停止一些服务,一些是之前僵尸网络留下的服务
在初始化之后,便是开启多线程,每个线程都是一个模块
0x2.1 更新模块每5个小时连接 sand.lcones.com和plam.lcones.com 两个地址
如果连接成功,样本会首先连接sand.lcones.com/resource
如果有内容会下载plam.lcones.com/modules.dat
如果返回值等于200
写入EnrollCertXaml.dll 文件中
本样本共有两个C&C地址,一个是通过http协议进行通信,一个是通过tcp协议进行通信
0x2.2.1 HTTP 通信
标签:很赞哦! ()