查看: 1749|回复: 2
收起左侧

[技术原创] 快go矿工(KuaiGoMiner)控制数万电脑挖矿,释放远控木马窃取机密

[复制链接]
腾讯电脑管家
发表于 2019-10-16 18:22:04 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2019-10-16 18:28 编辑

一、背景
腾讯安全御见威胁情报中心检测到“快go矿工KuaiGoMiner挖矿木马攻击。该木马利用NSA武器中的“脉冲星”永恒浪漫永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击,并在攻击成功后植入挖矿和远控木马,已控制数万台电脑使用的C2域名中包含“kuai-Go”,腾讯安全御见威胁情报中心将其命名为“快go矿工KuaiGoMiner)。
快go矿工”(KuaiGoMiner)将挖矿程序伪装成系统进程explorer.exesmss.exe运行截止目前已挖矿获得门罗币242.7个,折合人民币9万余元。同时病毒在攻陷机器上植入的gh0st远控木马,具有搜集信息、上传下载文件、键盘记录、执行任意程序多种功能,中毒电脑会面临机密信息泄露的风险。
据腾讯安全御见威胁情报中心统计数据,在微软发布“永恒之蓝”相关漏洞补丁过去两年多之后,仍有30%用户未修复永恒之蓝漏洞(MS17-010),这导致利用该漏洞攻击的病毒始终层出不穷快go矿工 (KuaiGoMiner)分布在全国各地严重地区为广东、江苏、河南、北京

从“快go矿工 (KuaiGoMiner)影响的行业来看,主要IT行业、制造业科研和技术服务

二、详细分析

漏洞攻击
快go矿工 (KuaiGoMiner)在攻陷的系统下载攻击模块,释放NSA武器中的“脉冲星”永恒浪漫永恒之蓝漏洞攻击工具,释放C:\Windows\Fonts\cd\目录下。

开始攻击后依次启动脚本go.vbs->rme.bat->cmd.bat并在cmd.bat中完成机器出口IP查询随机IP地址生成,然后通过分别针对局域网IP地址和外网随机IP地址进行445/139端口扫描

最后load.bat和loab.bat中针对开放445/139端口的机器进行永恒之蓝漏洞攻击。攻击成功后在目标机器执行Payload,将Doublepulsar.dll注入lsass.exe执行,将Eternalblue.dll注入explorer.exe执行


Doublepulsar.dllEternalblue.dll执行目标机器下载m.exen.exe保存至C:\safe.exe启动,开始新一轮的感染攻击。

挖矿
快go矿工”(KuaiGoMiner下载释放挖矿模块文件到C:\Windows\Fonts\data\目录下。其中smss.exe为32位矿机程序,explorer.exe为64位矿机程序Services.exeWindows服务安装工具NSSM

通过user.vbs启动user.bat。并在user.bat删除计划任务"Flash_Update""Update""Update_windows",删除旧服务计划任务“Microsoft_Update”。之后判断系统版本,利用NSSM(services.exe)分别将smss.exeexplorer.exe安装服务32位64位系统上,使用的服务名称为“Microsoft_Update”

矿机采用开源挖矿程序XMRig编译挖矿使用矿池地址:xmr-eu1.nanopool.org:14444
钱包地址
43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4

查询矿池目前挖矿获得收益为242.7个XMR,折合人民币约91000元

远程控制
快go矿工”(KuaiGoMiner)释放经gh0st修改而成的远控木马到目录
C:\Users\[User]\AppData\Local\Temp\<random>.dll

连接C2地址fwq.kuai-go.com:12353,根据服务器返回的指令完成搜集系统信息、上传下载文件、删除系统记录、查看系统服务、运行和退出程序、远程桌面登陆键盘记录等远程功能


三、安全建议
1、 快go矿工(KuaiGoMiner)手动清除方法:
删除目录
C:\Windows\Fonts\cd\
C:\Windows\Fonts\cd\data\
删除文件
C:\Users\[User]\AppData\Local\Temp\<random>.dll
删除计划任务“Microsoft_Update”
(执行文件路径C:\Windows\Fonts\cd\data\explorer.exe
或C:\Windows\Fonts\cd\data\smss.exe)

2、针对MS010-17 “永恒之蓝”漏洞的防御:
服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞:
XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows 10,Windows Server 2016等系统访问:https://technet.microsoft.com/zh ... urity/ms17-010.aspx

3、 建议企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击。

4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

IOCs
MD5
339bec2b3e598b98218c16ed1e762b2a
57bd72d6dc95ff57b5321a62b9f7cde2
57003ef2a67c70f8959345f342536aa5
15d2c95fe9fe4134064e9a4f49d63cf1
20010658d789192eb69499bc5c1c9f11
546a5c41ec285686c9c082994ef193f5
830f8e648d2a7da4d512b384e29e9453
8bcf9ba698b20a6fb2fef348b8c55b1d
c17f7c9c9265c4f8007d6def58174144
6dc336b2b1b4e8d5c8c5959c37b2729d
3e6c981f627122df8b428aac35cb586e
222d8a0986b8012d80edbecdc5c48714
532a0904faff2a3a8c79594c9df99320

IP
110.157.232.117
104.233.201.209

Domain
w.zhzy999.net
images.kuai-go.com
update.kuai-go.com
wx.kuai-go.com
sex.kuai-go.com
usa.kuai-go.com
korea.kuai-go.com
der.kuai-go.com
fwq.kuai-go.com

URL
http[:]//w.zhzy999.net/images/m.exe
http[:]//3.zhzy999.net/images/n.exe
http[:]//images.kuai-go.com/images/logo.gif
http[:]//der.kuai-go.com/img/1.rar
http[:]//der.kuai-go.com/img/2.rar
http[:]//110.157.232.117/images/m.exe
http[:]//110.157.232.117/images/n.exe
http[:]//110.157.232.117/img/1.rar
http[:]//110.157.232.117/img/2.rar
http[:]//110.157.232.117/img/3.rar

钱包
43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
天耀群星
头像被屏蔽
发表于 2019-10-24 17:53:43 | 显示全部楼层
已阅,腾讯电脑管家不知道卡不卡?
☆星~柯南Conan
发表于 2019-10-24 23:06:24 | 显示全部楼层
本帖最后由 ☆星~柯南Conan 于 2019-10-24 23:52 编辑
天耀群星 发表于 2019-10-24 17:53
已阅,腾讯电脑管家不知道卡不卡?

至于流畅与否得自己试用才知道,主要看电脑配置和系统环境。
我家里的台式电脑配置很旧了,2G内存,单奔管家,挺流畅的。

个人建议电脑配置再好也不要安装多款杀软搭配,在决定使用那款杀软后还是单奔为好。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:24 , Processed in 0.151213 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表