查看: 2150|回复: 10
收起左侧

[技术原创] Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网络

[复制链接]
360主动防御
发表于 2018-4-19 11:24:00 | 显示全部楼层 |阅读模式

近日,360互联网安全中心监测到流行蠕虫家族Bondat的感染量出现一轮小爆发。在这次爆发中,Bondat利用受害机器资源进行门罗币挖矿,并组建一个攻击WordPress站点的僵尸网络。根据360网络安全研究院对此次Bondat蠕虫爆发时使用的控制端域名bellsyscdn.com和urchintelemetry.com的监控数据来看,Bondat蠕虫此次爆发至少影响15000台个人电脑。

图1 Bondat蠕虫控制端域名bellsyscdn.com和urchintelemetry.com访问量变化趋势
       Bondat蠕虫最早出现在2013年,是一个能够执行控制端下发的任意指令的“云控”蠕虫家族。Bondat蠕虫一般通过可移动磁盘传播,并依靠一个JS脚本完成信息收集、自我复制、命令执行、构建僵尸网络等多项任务。
下图展示了被感染的U盘情况。
图2展示了Bondat蠕虫的简单工作原理。
图2 Bondat蠕虫的简单工作原理

门罗币挖矿
        早期的Bondat蠕虫主要通过修改浏览器主页获利。随着加密数字货币的兴起,Bondat蠕虫也涉足加密数字货币挖矿领域。在3月底的这次爆发中,Bondat蠕虫通过控制端下发门罗币挖矿代码并在受害者计算机上运行。图3展示了控制端下发的门罗币挖矿代码。
图3 Bondat蠕虫控制端下发的门罗币挖矿代码
         可以看到,Bondat蠕虫会根据用户计算机的实际情况使用Chrome浏览器、Firefox浏览器或Edge浏览器的其中之一后台访问hxxps://xmrmsft.com/hive.html进行挖矿。该页面中嵌入了基于Coin-hive的挖矿脚本,Bondat蠕虫实际上借助了用户的浏览器进行门罗币挖矿。
图4 hxxps://xmrmsft.com/hive.html页面中嵌入的挖矿脚本
       有趣的是,Bondat蠕虫不同于其他挖矿僵尸网络直接将挖矿木马植入用户计算机中,而是以不显示窗口的方式通过浏览器访问指定网页进行挖矿,其收益相比较直接植入挖矿木马要低非常多。由于Bondat蠕虫主要在PC间传播,PC用户对于计算机的操作频率较高,通过浏览器挖矿相比较直接植入挖矿木马隐蔽性更高,这可能也是攻击者如此选择的原因。
       Bondat蠕虫主要通过可移动磁盘传播,并借助可移动磁盘中的文件隐蔽自身。Bondat蠕虫会检索可移动磁盘中特定格式的文件(例如doc、jpg),在创建与这些文件同名的快捷方式的同时隐藏这些文件,而这些快捷方式指向Bondat蠕虫的启动器Drive.bat。当用户使用可移动磁盘时,极有可能将这些快捷方式误认为为正常文件,进而导致Bondat蠕虫的执行。图5展示了被用于隐蔽Bondat蠕虫的文件格式。
图5 被用于隐蔽Bondat蠕虫的文件格式
         Bondat蠕虫也会与杀毒软件进行对抗,最显而易见的就是其对主体JS脚本代码进行大量混淆,这不仅影响杀毒软件的判断也增加了分析人员的工作量。图6展示了Bondat蠕虫部分代码混淆前后的对比,可以看出原本简单的代码经过混淆后变得相当复杂。
图6 Bondat蠕虫部分代码混淆前后的对比
         此外,Bondat蠕虫还会尝试结束部分杀毒软件和安全软件进程,涉及的软件如图7所示。结束进程同时Bondat蠕虫会弹出一个如图8所示的伪造的程序错误提示框,此时无论用户点击确定或者取消都无法阻止进程结束,并且之后该进程无法再次启动。攻击者的本意可能是想伪造杀毒软件或安全软件异常退出时的假象,让用户误以为确实是这些软件内部出现了问题,但这也非常容易引起用户的怀疑,对于攻击者而言并不是一种明智的做法。
图7 Bondat蠕虫尝试
图8 Bondat蠕虫结束进程时弹出的窗口

构建针对WordPress站点的僵尸网络
       除了门罗币挖矿,我们还发现Bondat蠕虫通过PowerShell从hxxp://5.8.52.136/setup.php下载僵尸程序,构建针对WordPress站点的僵尸网络。根据监测数据来看,Bondat蠕虫于4月13日下发僵尸程序,这要稍晚于此次Bondat蠕虫的爆发时间。
图9 Bondat蠕虫对hxxp://5.8.52.136/setup.php访问量变化趋势图
         setup.php使用多组弱口令对指定的WordPress站点进行登陆爆破,一旦爆破成功则将站点地址以及登陆帐户和密码发送到hxxp://5.8.52.136/put.php。setup.php进行爆破时使用的帐户名都为“admin”,密码如图10所示。
图10 setup.php进行爆破时使用的密码
         在这一轮爆破攻击中,Bondat蠕虫主要针对以字母“j”开头的WordPress站点。我们推断,Bondat蠕虫可能已经进行了多次针对WordPress站点的爆破攻击。
       此外,Bondat蠕虫下发的僵尸程序还试图在受害计算机上安装PHP格式的后门。僵尸程序从hxxp://5.8.52.136/php.zip下载完整的PHP环境安装在用户计算机中,并生成如图11所示的PHP后门。
图11 Bondat蠕虫生成的PHP后门
         得益于PHP文件的特殊性,Bondat蠕虫安装的PHP后门具有更好的免杀特性。在功能上,该后门同样被用于进行针对WordPress站点的爆破攻击。

结语
       各类U盘传播的蠕虫,一直以来都是学校,打印店,各类单位局域网内的“常客”,而Bondat蠕虫除会引发之前常见蠕虫的问题之外,还会大量消耗计算机资源,造成计算机卡慢等问题。Bondat蠕虫在对抗杀软方面,也做了大量工作,比如抛弃直接植入挖矿木马转而选择浏览器挖矿就增加了其隐蔽性。因此用户更需要对此提高警惕。防御这类蠕虫的攻击,主要可以从以下几方面入手:
1.       使用U盘,移动硬盘时应该格外注意,建议使用具有U盘防护功能的安全软件;
2.       发现计算机长时间异常卡顿,使用安全软件进行扫描体检;
3.       定期对计算机进行病毒木马查杀,防止蠕虫病毒持续驻留。
4.       而对于WordPrees站点管理者而言,使用强度较大的登陆密码,并且及时修补相关漏洞是阻止站点遭到攻击最有效的方法。

IOC
95.153.31.18
95.153.31.22
bellsyscdn.com
urchintelemetry.com
5.8.52.136/setup.php
5.8.52.136/put.php
5.8.52.136/php.zip
5.8.52.136/get.zip

wowocock
发表于 2018-4-19 14:35:42 | 显示全部楼层
以后高级挖矿木马都在内核中运行,完全可以绕开杀软的检测。据说已经有人那么干了,可惜拿不到样本。
pal家族
发表于 2018-4-19 14:39:04 | 显示全部楼层
wowocock 发表于 2018-4-19 14:35
以后高级挖矿木马都在内核中运行,完全可以绕开杀软的检测。据说已经有人那么干了,可惜拿不到样本。

嘻嘻,世界最大的云库里没有收集到嘛
驭龙
发表于 2018-4-19 14:40:23 | 显示全部楼层
wowocock 发表于 2018-4-19 14:35
以后高级挖矿木马都在内核中运行,完全可以绕开杀软的检测。据说已经有人那么干了,可惜拿不到样本。

Windows 10 64位的系统内核也能被突破吗?那安全启动好像就没啥意义了,有什么有效的方法阻止内核级别的挖矿木马吗?
wowocock
发表于 2018-4-19 14:43:33 | 显示全部楼层
驭龙 发表于 2018-4-19 14:40
Windows 10 64位的系统内核也能被突破吗?那安全启动好像就没啥意义了,有什么有效的方法阻止内核级别的 ...

已经发现有漏洞的程序被利用可以在 WIN10 64 UEFI SERURE BOOT状态加载任何内核代码,WD完全没反应,所以还是有必要装个360,嘿嘿。
pal家族
发表于 2018-4-19 14:44:50 | 显示全部楼层
驭龙 发表于 2018-4-19 14:40
Windows 10 64位的系统内核也能被突破吗?那安全启动好像就没啥意义了,有什么有效的方法阻止内核级别的 ...

@wowocock
问下哈,内核挖矿的话,占有的cpu如何体现呢?会有一个进程来体现吗?
驭龙
发表于 2018-4-19 14:46:40 | 显示全部楼层
wowocock 发表于 2018-4-19 14:43
已经发现有漏洞的程序被利用可以在 WIN10 64 UEFI SERURE BOOT状态加载任何内核代码,WD完全没反应,所以 ...

我是不用WD的,我也想安装卫士,可我上次说了,我开了WD的内核隔离,也就是之前的Device Guard,按您的说法是与核晶防护引擎不能兼容,所以用不上卫士啊
驭龙
发表于 2018-4-19 14:47:59 | 显示全部楼层
pal家族 发表于 2018-4-19 14:44
@wowocock
问下哈,内核挖矿的话,占有的cpu如何体现呢?会有一个进程来体现吗?

目测可能没有进程,应该是System那个进程占用会爆高

评分

参与人数 1人气 +1 收起 理由
pal家族 + 1 感谢支持,欢迎常来: )

查看全部评分

wowocock
发表于 2018-4-19 14:49:56 | 显示全部楼层
pal家族 发表于 2018-4-19 14:44
@wowocock
问下哈,内核挖矿的话,占有的cpu如何体现呢?会有一个进程来体现吗?

系统会显示IDLE进程占用大量CPU 时间,可正常情况下本来就是由他来占用CPU时间的,所以很难查出,而且在内核中可以绕开任何过滤来访问文件,网络等,比较难发现。

评分

参与人数 1人气 +1 收起 理由
pal家族 + 1 感谢解答: )

查看全部评分

ELOHIM
发表于 2018-4-19 15:20:36 | 显示全部楼层
有漏洞的程序就修补漏洞吧……

不过,老旧的软硬件,趁早扔到博物馆好了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:38 , Processed in 0.135486 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表