如何進行FakeMsdMiner挖礦病毒的分析

如何進行FakeMsdMiner挖礦病毒的分析，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

亞信安全截獲新型挖礦病毒FakeMsdMiner，該病毒利用永恒之藍，永恒浪漫等NSA漏洞進行攻擊傳播。該病毒具有遠控功能，可以獲取系統敏感信息。其通過修改HOST文件方式截獲其他挖礦病毒的成果。由于該病毒的挖礦程序偽裝成微軟系統服務msdtc.exe進行啟動，所以我們將其命名為FakeMsdMiner。

攻擊流程

詳細分析

內網滲透模塊分析（windowsd.exe程序分析）

此程序會在C:\WINDOWS\Fonts\Mysql目錄釋放多個文件，其中包括BAT腳本處理文件、端口掃描文件、永恒之藍漏洞攻擊文件、payload以及下載程序wget。

mysql.bat腳本文件：

該腳本主要功能是刪除感染過該病毒的系統中存在的舊服務，安裝并開啟新的服務MicrosoftMysql，并添加計劃任務cmd.bat。

cmd.bat腳本文件

該腳本主要功能是端口和IP掃描，通過查詢固定地址尋找出口IP和本機IP，獲取IP地址的前2段，拼接后面2段地址，然后掃描445和450端口，將結果保存在ips.txt中，啟動load.bat腳本進行攻擊。

load.bat腳本：

該腳本主要功能是運行永恒之藍、永恒浪漫等NSA漏洞攻擊程序，進行內網滲透。

挖礦程序模塊（mm.exe文件分析）

該模塊同樣會釋放很多文件，其中包括挖礦程序、注入系統的DLL文件以及遠控木馬程序。通過調用1.bat腳本，依次啟動和運行這些程序。

通過修改LoadAppInit_DLLs注冊表項，將DLL文件注入到相應的系統中。

將挖礦程序復制到msdtc.exe文件中，偽裝成微軟系統服務文件msdtc，并為其安裝服務啟動門羅幣挖礦，其使用的礦機版本為：XMRig 2.14.1。

關閉防火墻

刪除與本次病毒相關的文件 temp2.exe(本模塊文件)和temp3.exe(漏洞攻擊模塊母體文件)。

在host文件中追加相關域名指向139.180.214.175，該地址為本次挖礦的礦池IP, 挖礦木馬試圖通過將其他礦池映射到自己的礦池對應的ip地址，來劫持其他挖礦程序或木馬的收益。

遠程控制木馬模塊（work.exe文件分析）

首先從資源截取釋放病毒核心程序，然后添加注冊表，開啟服務。我們使用資源工具也同樣可以看到，該資源區段其實就是一個PE文件。

值得注意的是，我們在分析時發現了Gh0st字樣，Gh0st是著名的開源遠程控制程序，我們猜測該遠控模塊很有可能是用Gh0st遠控程序修改而來。

Dump出資源模塊，我們分析發現其主要功能就是接受不同指令執行不同的功能。這也是常見的遠控功能。

其中包括錄音功能：

錄制屏幕功能：

在系統中提權，獲取相關進程等信息：

獲取機器窗口信息：

獲取機器驅動器信息

獲取機器屏幕信息：

獲取日志文件：

將收集的信息發送至遠端：

關聯性分析

我們在分析遠控時發現了Gh0st字樣，Gh0st是之前一款較為流行的開源遠程控制程序，目前使用Gh0st以獲取遠程訪問和控制的主要群體是“鐵虎（Iron Tiger）”，自稱來自中國的APT組織。

我們通過對Gh0st木馬導入函數分析，可知該程序從Winsock庫中導入了很多函數，這也意味著該程序可能與遠程服務器建立連接或者從遠端服務器接收連接。同樣也使用了winmm庫函數，此函數wave與錄音操作有關系。在本次遠控核心代碼中也同樣使用了該庫的函數，用于將錄音信息發送至遠端服務器。

通過導入的庫，我們看到一個msvfw32.dll文件被導入。看起來這個DLL為該程序提供了視頻功能，這也與我們本次遠控程序中將錄屏信息發送至遠端服務器相呼應。

們將兩者對比，他們都使用了很多相同的庫函數，以便實現相應的操作。

通過代碼我們也發現，他們的確有很多相似的地方，都是通過switch語句接收不同的指令，進而完成不同的功能。例如錄音功能、錄屏功能等。

通過以上分析我們認為，本次挖礦程序的遠控代碼很大程度上是通過Gh0st程序修改而來。

解決方案

利用系統防火墻高級設置阻止向445端口進行連接（該操作會影響使用445端口的服務）。

盡量關閉不必要的文件共享；

采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼；

打開系統自動更新，并檢測更新進行安裝。

系統打上MS17-010對應的Microsoft Windows SMB 服務器安全更新 (4013389)補丁程序。

看完上述內容，你們掌握如何進行FakeMsdMiner挖礦病毒的分析的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！