WannaMine僵尸网络升级爆破手段再掀风浪,360安全大脑强力拦截查杀!

WannaMine僵尸网络升级爆破手段再掀风浪,360安全大脑强力拦截查杀!

北京时间6月5日,360安全大脑发现大型挖矿僵尸网络“WannaMine”进行了一次大规模更新。除了启用新的域名外,“WannaMine”僵尸网络在通过“永恒之蓝”漏洞攻击武器传播的基础上增加了SSH爆破、MsSQL爆破、SMB爆破,将魔爪伸向数据库与Linux服务器,在受害机器中植入挖矿木马与DDoS木马。图1展示了WannaMine僵尸网络的攻击趋势,不难看出在更新之后其攻击趋势出现一定的增长。



图1 WannaMine僵尸网络攻击趋势

“WannaMine”僵尸网络也称为“PowerGhost”,自去年4月份起开始活跃。“WannaMine”僵尸网络通过“永恒之蓝”漏洞攻击武器扩张自身,并使用大量的“无文件”攻击技术躲避安全软件的查杀,这些技术也一直沿用至今。如今,“WannaMine”僵尸网络已经是挖矿僵尸网络中的佼佼者,然而它依然野心勃勃,在这次更新中,“WannaMine”将MsSQL数据库和Linux服务器纳入其攻击目标中,意图扩张势力范围,攫取更多利益。


  1. 攻击细节

这次更新中,“WannaMIne”僵尸网络启用了一个新的域名“to0ls.com”。启动更新时,“WannaMine”通过驻留在受控机器中的计划任务执行远程PowerShell脚本“hxxp://auth.to0ls.com/vercheck”。



图2 vercheck.ps1部分代码

vercheck.ps1尝试结束Windows Defender的实时防护之后,从auth.to0ls.commail.to0ls.com、111.90.140.35、185.234.218.40四个地址其中之一下载并执行“WannaMine”僵尸网络主体antivirus.ps1。

antivirus.ps1主要由挖矿模块、DDoS模块、Mimikatz横向渗透模块、扫描爆破模块和“永恒之蓝”攻击模块五个模块组成。antivirus.ps1部分代码如图3所示。



图3 antivirus.ps1部分代码

挖矿模块和Mimikatz横向渗透模块都是经过base64编码的PE文件。“WannaMine”解码这两个模块内容之后,将其反射注入到PowerShell的内存中执行。这两个模块与“WannaMine”之前的版本相比变化不大,在此不做详细分析。

永恒之蓝模块与“WannaMine”僵尸网络之前版本相比也没太大变化。通过“永恒之蓝”漏洞攻击武器成功入侵其他计算机之后,“WannaMine”会该计算机中执行与更新起始相同的PowerShell代码以将该计算机转化为僵尸机。为了保证对目标机器的持续控制,“WannaMine”还会在目标机器上创建计划任务与WMI filter,在机器中持续驻留并定时与控制端通信。



图4 “永恒之蓝”shellcode,红框中为攻击成功后执行的命令



图5 “WannaMine”的持续驻留方式

与之前版本相比差别最大的是爆破扫描模块。在这次更新中,“WannaMine”僵尸网络的爆破扫描模块包含了SMB爆破、MsSQL爆破和SSH爆破功能。

SMB爆破功能作为Mimikatz横向渗透模块的补充,通过爆破局域网中存在弱口令的机器传播自身。SMB爆破模块部分代码如图6所示。



图6 SMB爆破功能部分代码

MsSQL爆破功能是针对MsSQL数据库定制的,一旦爆破成功即在目标机器上执行指定命令。



图7 MsSQL爆破功能部分代码

SSH爆破功能是一个跨平台的爆破功能,这也是“WannaMine”僵尸网络首次涉足linux服务器。对于被爆破成功的Windows服务器,“WannaMine”会在机器上执行上文提到的vercheck.ps1脚本,对于被爆破成功的Linux服务器,“WannaMine”则会从上文提到的四个地址其中之一下载文件shell并执行。



图8 SSH爆破功能部分代码



图9 “WannaMine”针对Windows和Linux服务器不同的处理

针对Linux的服务器的shell文件实际上也是一个挖矿木马,会结束Linux服务器上一些安全软件的进程之后进行挖矿和远程控制。



图10 Shell文件部分代码

除了挖矿之外,“WannaMine”还会在控制的Windows系统计算机中植入DDoS木马。这些工作由RunDDOS函数完成,该函数在目标机器中释放木马加载器cohernece.txt和DDoS木马java-log-9527.log并启动木马加载器加载DDoS木马。DDoS木马接收控制端的指令完成相应工作,C&C地址为doc.to0ls.com



图11 RunDDOS函数部分代码



图12 DDoS木马根据控制端指令完成相应功能


  1. 防护建议
  2. 及时为系统和应用软件打补丁,关闭不必要的端口和服务;
  3. 使用高强度的Windows登陆密码、SSH登陆密码、MsSQL数据库密码等;
  4. 安装安全软件并保持安全软件正常开启


  1. IOC

auth.to0ls.com

mail.to0ls.com

111.90.140.35

185.234.218.40

4fe2de6fbb278e56c23e90432f21f6c8

1db902385b4480a76e4527605eb9f825

b6c71db65a0a9341857f2107872dc33a

发布于 2019-06-10

文章被以下专栏收录