查看: 5599|回复: 13
收起左侧

[技术原创] 隐蜂”来袭:全球首例Bootkit级挖矿僵尸网络木马

[复制链接]
金山毒霸V11
发表于 2018-5-30 21:19:36 | 显示全部楼层 |阅读模式
本帖最后由 金山毒霸V11 于 2018-5-30 21:31 编辑

    近两年,比特币、以太币、门罗币等数字货币正经历着全球热潮。挖矿类病毒木马的感染量也随着虚拟货币的价格攀升逐步上涨,黑产团伙的商业嗅觉和行动力令人惊叹,类似“CoinHive”这种网页挖矿变现平台层出不穷,数百万级的网站被黑产团伙利用web漏洞植入挖矿代码。

    从去年形势可以看到各类挖矿木马异常活跃,从利用“永恒之蓝”漏洞传播到服务器、数据库弱口令爆 破,从Struts2、Weblogic、Jboss等各大Web框架漏洞到IE/Flash 0day挂马传播,甚至包括被频繁曝光漏洞的路由器、摄像头等嵌入式设备都被黑产团伙盯上,各类挖矿木马可以说一直活跃在全球网络安全攻击事件的最前线。

    在挖矿暴利的引诱驱使下,之前部分用于传播垃圾邮件、敲诈者的老牌僵尸网络都开始纷纷转型加入挖矿大军。更有甚者,个别传统正牌软件厂商也都开始沉沦堕落,从我们去年挖掘曝光的“看看影音云控挖矿”、“电信天翼客户端挖矿后门”等安全事件中就可以略窥一二,不夸张地说,2017年堪称挖矿类木马病毒的爆发元年。

    近期,金山毒霸安全实验室监控到部分用户系统存在疑似挖矿木马活动的威胁线索。中招电脑会出现CPU占用率高、电脑温度升高并且风扇噪声增大等异常表现。经过金山毒霸安全研究员的逐层溯源分析,一个已经成型并走向活跃的Bootkit级挖矿僵尸网络被揭开神秘面纱,Bootkit与挖矿木马的融合也将碰撞出一些不一样的火花。

    从框架设计到代码细节处理上都非常完善,在隐蔽性、兼容稳定性、反分析对抗等各方面都达到了一个全新高度,病毒代码的复杂程度、专业程度也为近年所罕见。



“隐蜂”Bootkit木马的技术特点

    从样本模块的字符串信息中,金山毒霸安全研究院发现该Bootkit的内部项目代号为“Mellifera(蜜蜂)”,所以本次的Bootkit木马被命名为“隐蜂”。概括来说,“隐蜂”Bootkit木马的技术特点主要体现在:

1、对抗分析检测,隐蔽性很强。一旦发现ARK工具、抓包软件或者安全软件,甚至是任务管理器,病毒都会立即结束挖矿活动,小心翼翼地躲藏起来

2、架构设计灵活,复杂度专业度很高。最直观的感受,我们从“隐蜂”病毒中解压出来的各类内核模块、R3插件以及配置文件多达50+,病毒代码结构的复杂程度可见一斑。

3、系统兼容稳定性很好。“隐蜂”在系统引导过程中的挂钩时机选择、挂钩点特征搜寻和代码细节处理上都非常完善,支持主流windows操作系统版本,同时兼容X86/X64架构。“隐蜂”Boot劫持代码中也可以看到一些Bootkit前辈的身影,堪称后辈中的集大成者。

    从金山毒霸安全实验室监控到的数据来看:本次的“隐蜂”Bootkit木马变种从3月初开始测试传播,得益于其强悍的隐蔽性和对抗分析能力,到至今的三个多月都不曾被外界发现曝光。病毒的项目版本号也从0.1迭代至目前的1.x,在经历了几轮网页挂马和流氓捆绑的传播小高峰后,该僵尸网络已经逐渐成形,预估目前全网的感染用户50w+。

     目前,金山毒霸已首家支持对“隐蜂”Bootkit挖矿木马的查杀防御。并在详细分析病毒行为后,第一时间推出了“隐蜂”Bootkit挖矿病毒专杀工具,以控制该病毒再次传播。金山毒霸安全专家建议广大网民:及时使用金山毒霸排查网络安全,以防黑客入侵或通过僵尸网络推送其他木马病毒。若一旦被黑客或不良目的人士利用,随时可能制造大范围的悲剧性后果。
(金山毒霸首家拦截“隐蜂”Bootkit挖矿木马)


(“隐蜂”Bootkit挖矿病毒专杀工具)


qwe12301
发表于 2018-5-31 13:32:06 | 显示全部楼层
前排了解下
wowocock
发表于 2018-5-31 13:57:48 | 显示全部楼层
看了下技术说明,就是隐魂改了个插件而已。现在BOOTKIT还是很不少,包括最近发现的通杀WIN10  X64 17134下的MBR BOOTKIT,没什么好说的,默默的修改完产品,直接查杀即可,没什么好吹的。
xdct
发表于 2018-5-31 14:17:05 | 显示全部楼层
wowocock 发表于 2018-5-31 13:57
看了下技术说明,就是隐魂改了个插件而已。现在BOOTKIT还是很不少,包括最近发现的通杀WIN10  X64 17134下 ...

大肉鸡j,牛逼啊~
www-tekeze
发表于 2018-5-31 14:45:23 | 显示全部楼层
如果是全球首例Bootkit级挖矿木马,而且“到至今的三个多月都不曾被外界发现曝光。病毒的项目版本号也从0.1迭代至目前的1.x ”,那必须给毒霸点个赞!  
ziyerain2015
发表于 2018-5-31 18:59:38 | 显示全部楼层
用了下把卡饭下的SBIE杀的不能启动了。。。。360不报毒骚只能从新安装下了
歌德塔大蜘蛛
发表于 2018-5-31 19:56:56 | 显示全部楼层
支持技术上的良性竞争
谢新
发表于 2018-5-31 20:22:05 | 显示全部楼层
“对抗网络黑产任重而道远,单个团队的力量总是有限的,在基础安全情报的开放共享方面,希望我们都可以做地更多一点,否则很多披露报告就失去了它本来的意义。"这句话很赞同
色彩之狐
头像被屏蔽
发表于 2018-5-31 20:47:22 | 显示全部楼层
本帖最后由 色彩之狐 于 2018-5-31 20:48 编辑

又是落后的MBR啊  和I386现在i586 都快不用了
UEFI没发现问题
wowocock
发表于 2018-6-1 10:14:14 | 显示全部楼层
色彩之狐 发表于 2018-5-31 20:47
又是落后的MBR啊  和I386现在i586 都快不用了
UEFI没发现问题

UEFI下BOOTKIT比价麻烦,特别是开启了SECURE BOOT的想要实现BOOTKIT,需要结合BIOS 0DAY,成本比较高,不过搞破坏却不难。自己测试写了个UEFI的劫持,启用SECURE BOOT的机器上直接系统别想起来,不启用secureboot的机器上可以达到不输入密码就不能进入系统的效果。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 10:30 , Processed in 0.146983 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表