色情广告挂马分析:记一次挂马与挖矿之间的“亲密接触”
1. 背景:
近日,腾讯安全反病毒实验室发现,有一类木马通过网页广告挂马的方式大规模传播。广告内容为色情链接,诱导用户点击。链接中嵌入了一段触发IE漏洞的JS脚本,如果用户电脑的IE浏览器没有及时打好补丁,那么点击链接后将会中招。 木马除了给受害者电脑上添加后门、窃取隐私信息之外,还会运行数字货币挖矿的程序从中获利。同时反病毒实验室还发现,木马作者服务器上还保存着 linux 等平台的木马,以及大量受控服务器后台地址,有可能进一步发动挖矿等更大规模的攻击。
下面带来详细的分析。
2. 技术分析:
2.1. 挂马
色情广告网页中内嵌了带有混淆的JS脚本
解密后是利用 CVE-2016-0189 漏洞
CVE-2016-0189 漏洞是 IE 浏览器脚本引擎漏洞,影响 IE9/10/11 浏览器,由于漏洞利用简单且影响范围大,稳定性好,不容易造成崩溃, CVE-2016-0189 漏洞已经成为黑客最常用的漏洞工具之一。木马会从服务器上下载可执行文件在用户电脑上执行。
登录到木马的服务器,发现木马服务器上存放着有pe ,elf,压缩包 等格式的文件。文件中包含了后门木马程序,开源挖矿工具以及疑似被攻击目标,下面我们从这几个方面进行 详细介绍 。
2.2. 后门木马
服务器上Server.exe,build.exe ,dashu.exe三个文件,是同一类型的后门程序。 通过对比,只是在创建服务程序时,服务名称和描述不一样
后门程序第一次运行时会检查服务是否已经存在,如果不存在的话,会把自己重命名为随机文件名,然后拷贝到 C:\windows\system32 文件夹下, 以服务的 形式启动
如果是通过服务的形式启动,就执行后门逻辑。
目前分析,后门主要的危害包括:下载并执行恶意文件,启动IE访问某个 恶意URL等。
这里下载的可执行文件,黑客可以根据自己的需求进行配置。如果配置了服务器上存放的挖矿程序 system.exe,那么此时 肉鸡就变成了黑客的发财工具。
除了以上两个功能外,还包含了大概31种其他的与服务器进行交互的功能。基本思路是接受服务器 传来的参数,解密并执行。
经过分析,服务器上存放 sbwang、gnmbs 等 elf 文件,也是带有后门功能的 linux 木马 。
2.3 挖矿工具
服务器中的最后一个 system.exe 是与挖矿有关的可执行文件。运行后,system.exe 会在 C:\sys 目录下释放多个 文件,随后拉起 nheqminer1.exe 进程,运行参数包含矿池地址和钱包地址, 并修改注册表 ,设置 system.exe 开机自启动,这样中招用户每次开机后,都会执行挖矿的程序,给木马作者带来 源源不断的收益。
上图展示的 system.exe 所释放的文件,属于 github 开源的挖 矿框架 nheqminer 。这里挖掘的是 Zcash ,Zcash 类似比特币 ,但又有所不同。比特币等数字货币以交易的隐蔽性著称,但可以通过比特币区块链的记录追踪交易,人们可以准确获知比特币的发送者。Zcash 对交易数据进行了匿名处理,而不是像比特币那样要将交易数据公布于大众。同时 , 挖矿消耗资源较少,个人电脑即可满足挖矿的需求。
2.4. 被攻击目标
ips.rar 文件中存放的是扫描到的部署有 phpmyadmin 的服务器地址
这些 ip 基本都是某云 服务商的服务器地址,黑客目标可能是想攻击 部署在其服务器上的应用。搜索黑客挂马服务器的ip,也能看出一些端倪。
1. 背景:
近日,腾讯安全反病毒实验室发现,有一类木马通过网页广告挂马的方式大规模传播。广告内容为色情链接,诱导用户点击。链接中嵌入了一段触发IE漏洞的JS脚本,如果用户电脑的IE浏览器没有及时打好补丁,那么点击链接后将会中招。 木马除了给受害者电脑上添加后门、窃取隐私信息之外,还会运行数字货币挖矿的程序从中获利。同时反病毒实验室还发现,木马作者服务器上还保存着 linux 等平台的木马,以及大量受控服务器后台地址,有可能进一步发动挖矿等更大规模的攻击。
下面带来详细的分析。
2. 技术分析:
2.1. 挂马
色情广告网页中内嵌了带有混淆的JS脚本
解密后是利用 CVE-2016-0189 漏洞
CVE-2016-0189 漏洞是 IE 浏览器脚本引擎漏洞,影响 IE9/10/11 浏览器,由于漏洞利用简单且影响范围大,稳定性好,不容易造成崩溃, CVE-2016-0189 漏洞已经成为黑客最常用的漏洞工具之一。木马会从服务器上下载可执行文件在用户电脑上执行。
www.wnhack.com
登录到木马的服务器,发现木马服务器上存放着有pe ,elf,压缩包 等格式的文件。文件中包含了后门木马程序,开源挖矿工具以及疑似被攻击目标,下面我们从这几个方面进行 详细介绍 。
2.2. 后门木马
服务器上Server.exe,build.exe ,dashu.exe三个文件,是同一类型的后门程序。 通过对比,只是在创建服务程序时,服务名称和描述不一样
后门程序第一次运行时会检查服务是否已经存在,如果不存在的话,会把自己重命名为随机文件名,然后拷贝到 C:\windows\system32 文件夹下, 以服务的 形式启动
copyright 无奈人生
如果是通过服务的形式启动,就执行后门逻辑。
目前分析,后门主要的危害包括:下载并执行恶意文件,启动IE访问某个 恶意URL等。
这里下载的可执行文件,黑客可以根据自己的需求进行配置。如果配置了服务器上存放的挖矿程序 system.exe,那么此时 肉鸡就变成了黑客的发财工具。
除了以上两个功能外,还包含了大概31种其他的与服务器进行交互的功能。基本思路是接受服务器 传来的参数,解密并执行。
经过分析,服务器上存放 sbwang、gnmbs 等 elf 文件,也是带有后门功能的 linux 木马 。
内容来自无奈安全网
2.3 挖矿工具
服务器中的最后一个 system.exe 是与挖矿有关的可执行文件。运行后,system.exe 会在 C:\sys 目录下释放多个 文件,随后拉起 nheqminer1.exe 进程,运行参数包含矿池地址和钱包地址, 并修改注册表 ,设置 system.exe 开机自启动,这样中招用户每次开机后,都会执行挖矿的程序,给木马作者带来 源源不断的收益。
上图展示的 system.exe 所释放的文件,属于 github 开源的挖 矿框架 nheqminer 。这里挖掘的是 Zcash ,Zcash 类似比特币 ,但又有所不同。比特币等数字货币以交易的隐蔽性著称,但可以通过比特币区块链的记录追踪交易,人们可以准确获知比特币的发送者。Zcash 对交易数据进行了匿名处理,而不是像比特币那样要将交易数据公布于大众。同时 , 挖矿消耗资源较少,个人电脑即可满足挖矿的需求。 copyright 无奈人生
2.4. 被攻击目标
ips.rar 文件中存放的是扫描到的部署有 phpmyadmin 的服务器地址
这些 ip 基本都是某云 服务商的服务器地址,黑客目标可能是想攻击 部署在其服务器上的应用。搜索黑客挂马服务器的ip,也能看出一些端倪。
copyright 无奈人生