近期，360安全大腦捕獲到SnakeMiner挖礦木馬的最新版本。此版本新增PrintSpoofer提權(quán)工具，通過(guò)漏洞成功提權(quán)后會(huì)在用戶電腦上植入挖礦木馬以及大灰狼遠(yuǎn)控木馬。

SnakeMiner挖礦木馬最早在2019年被國(guó)內(nèi)安全廠商披露。其主要針對(duì)SQL服務(wù)器進(jìn)行弱口令爆破，爆破成功后通過(guò)漏洞獲取SYSTEM權(quán)限，隨后植入木馬。此次我們捕獲到SnakeMiner最新版本，經(jīng)分析其新增以下幾點(diǎn)功能：

1. 利用ReflectivePEInjection進(jìn)行漏洞利用工具注入 2. 更新漏洞利用，此次Potato系列漏洞—PrintSpoofer 3. 通過(guò)訂閱WMI事件來(lái)持久化駐留遠(yuǎn)控木馬

技術(shù)分析

Win10.ps1 1) 采用PowerSploit模塊中的Invoke-ReflectivePEInjection在內(nèi)存中加載ms20.exe。 2) 請(qǐng)求CC下載HttpA.exe至本地Temp目錄下。

ms20.exe—PrintSpoofer提權(quán)漏洞 該漏洞的核心原理是利用Spooler服務(wù)，使其通過(guò)SYSTEM身份連接命名管道，并發(fā)起身份認(rèn)證協(xié)議（NTML）。隨后通過(guò)NTMLRely獲取SystemToken。 最后具有SeImpersonatePrivilege權(quán)限的攻擊者調(diào)用CreateProcessAsUser（SystemToken）以System權(quán)限啟動(dòng)Powershell.exe與HttpA.exe。 通過(guò)PowerShell通過(guò)修改MpPreference關(guān)閉WindowsDefender的實(shí)時(shí)保護(hù)，并將C:/Windows目錄添加至信任區(qū)。 通過(guò)HttpA.exe釋放挖礦木馬以及大灰狼遠(yuǎn)控木馬。

HttpA.exe HttpA才會(huì)后續(xù)釋放流程。 驗(yàn)證成功后，主要會(huì)進(jìn)行以下幾項(xiàng)操作： 1) WMI事件訂閱釋放遠(yuǎn)控。 2) 釋放Win_Help.dll并通過(guò)Netsh.exe調(diào)用。 3) 木馬放置到注冊(cè)表項(xiàng)中。 4) 為部分系統(tǒng)進(jìn)程（Windows輔助程序）提權(quán)。

WMI事件訂閱釋放遠(yuǎn)控 WMI的命令是以加密的形式存儲(chǔ)在母體木馬文件中，木馬執(zhí)行時(shí)將其解密在創(chuàng)建WMI進(jìn)程去執(zhí)行命令。 要執(zhí)行的WMI事件如下： 通過(guò)WMI事件訂閱定時(shí)執(zhí)行powershell腳本，該腳本base64經(jīng)解碼后內(nèi)容如下： Pow.ps1經(jīng)分析，得知其通過(guò)Invoke-ReflectivePEInjection將遠(yuǎn)控木馬加載到內(nèi)存中去。

釋放Win_Help.dll并通過(guò)Netsh.exe調(diào)用 Win_Help.dll被釋放到System32路徑下，并將其文件路徑存儲(chǔ)到注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh中。 通過(guò)C:\Windows\system32\netsh.exe-h命令，可將Win_Help.dll加載到netsh的進(jìn)程空間中。

木馬放置到注冊(cè)表項(xiàng) 母體在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC添加鍵值RUNDLL,RUN_DLL，并將其木馬的PEBytes存入。 RUN_DLL—大灰狼遠(yuǎn)控木馬 RUNDLL—門(mén)羅幣挖礦木馬的母體

部分系統(tǒng)進(jìn)程提權(quán) 給Windows輔助程序的五個(gè)進(jìn)程添加權(quán)限 主要提升如下權(quán)限：SeRestorePrivilege，SeBackupPrivilege，SeSecurityPrivilege，SeTakeOwnershipPrivilege。 添加成功后，將文件的訪問(wèn)控制權(quán)限修改為EveryOne,目的是實(shí)現(xiàn)沾滯鍵實(shí)現(xiàn)持久化，后續(xù)木馬可能通過(guò)這些進(jìn)程駐留后門(mén)。

Win_Help.dll Win_Help的作用就是注入木馬，通過(guò)傀儡進(jìn)程注入將木馬分別注入到兩個(gè)Svchost進(jìn)程中。

Rpces.exe Rpces.exe存于RUNDLL注冊(cè)表項(xiàng)中,負(fù)責(zé)投遞挖礦木馬。 通過(guò)檢查互斥體”Global\Google__”避免重復(fù)投遞木馬。 創(chuàng)建服務(wù)“NetSh_Fix”，負(fù)責(zé)持久化駐留。 最后請(qǐng)求CC下載挖礦木馬及其錢(qián)包配置信息文件。 其文件路徑及錢(qián)包信息如下

遠(yuǎn)控木馬 校驗(yàn)尾部字符串：SSSSSSVID:2013-SV1（特征） 獲取硬件信息 遠(yuǎn)控模塊將被釋放到C:\Windows\MpMgSvc.dll，調(diào)用其導(dǎo)出函數(shù)并通過(guò)連接C2,根據(jù)不同的指令執(zhí)行對(duì)應(yīng)的操作包括檢索服務(wù)信息，設(shè)置服務(wù)，獲取會(huì)話，用戶信息，關(guān)閉指定進(jìn)程，斷開(kāi)注銷(xiāo)會(huì)話等操作。 CC通信地址：ssh.330com.com

溯源 在分析樣本過(guò)程中，發(fā)現(xiàn)其母體樣本中包含“blackmoon”的字符串。因此筆者猜測(cè)此挖礦木馬也可能出自blackmoon僵尸網(wǎng)絡(luò)家族。

建議查殺 1. 若數(shù)據(jù)庫(kù)必須放在公網(wǎng)上，應(yīng)做好防火墻訪問(wèn)策略以及身份認(rèn)證策略，以防止攻擊者惡意爆破數(shù)據(jù)庫(kù)密碼 2. 及時(shí)更新系統(tǒng)補(bǔ)丁，阻斷Nday漏洞利用 3. 免費(fèi)部署360企業(yè)安全云，主動(dòng)管理數(shù)據(jù)庫(kù)弱口令和攔截弱口令爆破

IOC 01

MD5 dcdcc0aad518d1a5b2e9a4632a0f3b19 ae23397869f2fa06b2a1d638c9d4cdba f65d165845d62ff3d6252ef8a16905d9 328efb187a040b360a9746a0d98dc415 fee800721bd4e33e8d62750fd05494ff d51cd5b721ef945372e9a075ab4090d0 f759513be89f9306f4d4cf3e0319ecae

02 URL http://211.108.74.249:81/32.jpg http://211.108.74.249:81/64.jpg http://211.108.74.249:81/Args.txt

03 Domain down.23ssh.com ssh.330com.com

04 IP 211.108.74.249 220.86.85.75

責(zé)任編輯：

熱點(diǎn)：挖礦 數(shù)據(jù)