0x1 概述
近日,腾讯御见威胁情报中心发现几起用户感染挖矿木马事件,对其分析溯源发现木马是老牌PhotoMiner木马,该木马2016年首次被发现,该木马通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围,目前该木马门罗币挖矿累计金额已经达到惊人的8900万人民币,成为名副其实的“黄金矿工”。
0x2 威胁等级(中危)
危害评估:★★★☆☆
该木马通过FTP和SMB达到自传播,扩大受害范围。
影响评估:★★★☆☆
该木马自2016年被发现,但现在依然活跃,并且挖矿金额已经高达8900万。
技术评估:★★☆☆☆
该木马通过弱口令感染传播。
0x3 影响面
弱口令 FTP Server、SMB服务
0x4 样本分析
该挖矿木马伪装成屏幕保护程序.scr文件,使用文件夹图标,大部分Windows用户使用默认设置“不显示文件扩展名”,因而该木马会被用户误认为文件夹而去双击。
木马运行后,首先会去访问远程服务器,获取挖矿配置信息,配置信息已被加密,木马访问获取到配置信息再去解密。
解密后的配置信息
如果远程服务器没有返回配置信息,则会启用样本内置钱包地址和矿池,在确定配置信息后,会从自身资源文件中提取矿机程序,并释放到%temp%目录下。利用ShellExecute函数启动矿机程序。启动矿机程序后设置注册表自启动,并且将自身复制到各个磁盘根目录下。
设置注册表启动
复制到所有磁盘根目录
复制完后,开启线程,线程首先生成随机IP作为FTP服务器进行内置密码字典破解。
内置密码字典
破解成功进入FTP服务器后,进行文件查找,查找目标后缀为php、PHP、htm、HTM、xml、XML、dhtm、DHTM、phtm、xht、htx、mht、bml、asp、shtm的网页格式文件,找到后在文件中添加包含自身的
插入iframe元素
遍历插入结束后,将FTP服务器信息发送回C2服务器。
0x5 关联分析
根据该木马特点溯源分析其实是PhotoMiner木马,该木马最早发现与2016年6月,擅长利用FTP服务器字典爆破进行传播,在部分受害者服务器上可以看到被种下的Photo.scr木马。
受害者服务器上被感染Photo.scr
当其他用户去访问FTP服务器上的感染页面时,就会自动下载Photo.scr,被下载后利用自身伪装成屏幕保护程序,诱使受害者运行。
被感染的页面
在溯源时发现PhotoMiner还支持SMB传播的变种。
溯源过程发现感染两种版本的PhotoMiner
Info.zip为同时支持ftp和smb传播的变种,该变种为NSIS安装包,运行后,挖矿与Photo.src一样,不过还利用arp -a 和 net view获取本地缓存,再使用net use进行帐号密码猜解,成功后,将自身复制到可远程访问和自启动位置。
Net use进行帐号密码猜解
全球受PhotoMiner感染FTP服务器分布比例。中国(26%)、美国(25%)、德国(12%)位居前三。
对其相关钱包地址查询后发现,PhotoMiner挖矿木马已经挖取门罗币高达80094枚,按最新价格折算,已累计金额达到8911万人民币。
已挖取到的门罗币
挖取的总金额
0x6 解决方案
腾讯御见威胁情报中心提醒用户不要随意下载、运行来历不明的程序,企业网管应正确配置FTP和SMB服务器访问权限,不要使用容易被暴力破解的简单口令。腾讯电脑管家的“反挖矿防护”功能可以拦截各类挖矿木马,还可拦截各种含有挖矿脚本的带毒网页,网友可以使用腾讯电脑管家保护自己的系统,避免成为病毒控制的矿工。
领取专属 10元无门槛券
私享最新 技术干货