还在用工具激活系统?小心被当做矿机!
事件描述1、现象描述近日,深信服EDR安全团队捕获到一个伪装成激活软件Windows Loader的病毒样本。经分析,该样本并没有激活功能,其主要功能是安装广告软件以及挖矿程序。挖矿程序会拉起系统进程并在其中注入挖矿代码,并循环监控taskmgr.exe进程,如果检测到taskmgr.exe进程则终止挖矿,使得受害者比较难以察觉。http://sec.sangfor.com.cn/statics/img/upload/event_imgs/0ac832a4d4c892c80cb2dc3d0981ebb1.png2、行为分析2.1 病毒母体病毒母体图标伪装成Windows Loader:http://sec.sangfor.com.cn/statics/img/upload/event_imgs/bb253fee2eb3373186166dcdf3b4fb6b.png
其实是用CreateInstall制作的安装包:
http://sec.sangfor.com.cn/statics/img/upload/event_imgs/21003147f7500fe514dd5b70f7b5fe9a.png
安装界面:
http://sec.sangfor.com.cn/statics/img/upload/event_imgs/6a17c851d3e49c2b4631be0cda1b7ee0.png
释放如下几个文件到C:\Program Files (x86)\KMSPico 10.2.1 Final目录并运行脚本WINLOADER_SETUP.BAT。
http://sec.sangfor.com.cn/statics/img/upload/event_imgs/3d88237ac3b90279ce0c68005e17a6cf.pngWINLOADER_SETUP.BAT依次运行WindowsLoader.exe、Registry_Activation_2751393056.exe和activation.exe。
http://sec.sangfor.com.cn/statics/img/upload/event_imgs/0027dae1b209894775e3fede44679168.pngWindowsLoader.exe与Registry_Activation_2751393056.exe都是广告软件,activation.exe则是挖矿程序。
2.2 WindowsLoader.exe
首先是WindowsLoader.exe,可以看出病毒作者显然是个摄影爱好者,在程序的资源中也不忘插入自己喜欢的艺术照(已马赛克处理)。
http://sec.sangfor.com.cn/statics/img/upload/event_imgs/dc5ed08f3ce3f1e35ee20b0a0001cc48.pngWindowsLoader.exe安装界面:
http://sec.sangfor.com.cn/statics/img/upload/event_imgs/beaca3b3c5f5163a6d0595da63f04281.png会下载并安装RunBooster:http://sec.sangfor.com.cn/statics/img/upload/event_imgs/bb34c806be1425fe25da89bfe5f792af.png安装RunBooster服务:http://sec.sangfor.com.cn/statics/img/upload/event_imgs/fd1db7ec4ff49ba772951613b8738f23.pngRunBoosterUpdateTask升级任务计划:http://sec.sangfor.com.cn/statics/img/upload/event_imgs/8e86008c77a8994e1c706f13b8f25242.pngRunBooster的抓包行为:http://sec.sangfor.com.cn/statics/img/upload/event_imgs/c24bd11c2beba294d5da66d22c947969.pnghttp://sec.sangfor.com.cn/statics/img/upload/event_imgs/de1ed1c3cf644b57709543febe07ee8f.png2.3 Registry_Activation_2751393056.exeRegistry_Activation_2751393056.exe安装界面:http://sec.sangfor.com.cn/statics/img/upload/event_imgs/330767858c8503259d8aca86efd672ad.png功能存在问题,下载的exe文件没有带后缀名:http://sec.sangfor.com.cn/statics/img/upload/event_imgs/a4977447c88cf2a38bde2ab3e6e479cc.png2.4 activation.exe首先在Local目录下新建cypjMERAky文件夹并将自己拷贝到下面。http://sec.sangfor.com.cn/statics/img/upload/event_imgs/a6a99f9ef45e37fb64a4b105c392673c.png添加注册表自启动项。http://sec.sangfor.com.cn/statics/img/upload/event_imgs/d75441baf2a376148379b8e3cc8e1175.pnghttp://sec.sangfor.com.cn/statics/img/upload/event_imgs/d18ab9508047dc08620cb7a063b72410.png检测是否存在taskmgr.exe进程。http://sec.sangfor.com.cn/statics/img/upload/event_imgs/256aa55ece72e1afa50ebcf78e3ee362.png如果taskmgr.exe进程不存在则拉起系统进程wuapp.exe,参数为“ -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u minepool@gmx.com -p x -t 2”。http://sec.sangfor.com.cn/statics/img/upload/event_imgs/5e164c06fa0c28dc38211bc07ea325a8.png将挖矿程序注入到wuapp.exe进程。http://sec.sangfor.com.cn/statics/img/upload/event_imgs/3bac5e3d871eefd6efd1c99dd087562e.png挖矿程序为开源的cpuminer-multi 1.2-dev。http://sec.sangfor.com.cn/statics/img/upload/event_imgs/73ff65e1186702d4b34cccefd4101ccd.png进入循环,守护注册表自启动项,并检测taskmgr.exe进程,如果检测到则终止wuapp.exe。http://sec.sangfor.com.cn/statics/img/upload/event_imgs/455406662e0270cd69d5225f66c33c9e.png解决方案解决方案(1)不从不明网站下载软件,不要点击来源不明的邮件以及附件;(2)及时给电脑打补丁,修复漏洞;(3)尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;(4)安装专业的终端/服务器安全防护软件,深信服EDR能够有效查杀该病毒。http://sec.sangfor.com.cn/statics/img/upload/event_imgs/5bb32d25a1401835f8ea56fe22cae5cf.png
页:
[1]