如今,网络上的木马病毒层出不穷,为此安全软件也越来越多,杀毒软件哪个好?免费杀毒软件推荐选择安全卫士,该款杀毒软件采用全新引擎技术,可提供精准查杀木马病毒,恶意程序样本库总样本量超亿,达到全球领先水平,实力相当硬核。
近期,安全大脑捕获到SnakeMiner挖矿木马的最新版本,此版本新增PrintSpoofer提权工具,通过漏洞成功提权后会在用户电脑上植入挖矿木马以及大灰狼远控木马。
SnakeMiner挖矿木马最早在年被国内安全厂商披露,其主要针对SQL服务器进行弱口令爆破,爆破成功后在通过漏洞获取SYSTEM权限,随后植入木马。此次我们捕获到SnakeMiner最新版本,经分析其新增以下几点功能:
1.利用ReflectivePEInjection进行漏洞利用工具注入2.更新漏洞利用,此次Potato系列漏洞—PrintSpoofer3.通过订阅WMI事件来持久化驻留远控木马
技术分析
Win10.ps1
1)采用PowerSploit模块中的Invoke-ReflectivePEInjection在内存中加载ms20.exe
2)请求CC下载HttpA.exe至本地Temp目录下。
ms20.exe—PrintSpoofer提权漏洞
该漏洞的核心原理是利用Spooler服务,使其通过SYSTEM身份连接命名管道,并发起身份认证协议(NTML),随后通过NTMLRely获取SystemToken。
最后具有SeImpersonatePrivilege权限的攻击者调用CreateProcessAsUser(SystemToken)以System权限启动Powershell.exe与HttpA.exe。
通过PowerShell通过修改MpPreference关闭WindowsDefender的实时保护,并将C:/Windows目录添加至信任区。
通过HttpA.exe释放挖矿木马以及大灰狼远控木马。
HttpA.exe
HttpA作为母体首先确保当前进程拥有System权限,才会后续释放流程。验证成功后,主要会进行以下几项操作:
WMI事件订阅释放远控。
释放Win_Help.dll并通过Netsh.exe调用。
木马放置到注册表项中。
为部分系统进程(Windows辅助程序)提权。
WMI事件订阅释放远控
WMI的命令是以加密的形式存储在母体木马文件中,木马执行时将其解密在创建WMI进程去执行命令。
要执行的WMI事件如下:
通过WMI事件订阅定时执行powershell脚本,该脚本base64经解码后内容如下:
Pow.ps1经分析,得知其通过Invoke-ReflectivePEInjection将远控木马加载到内存中去。
释放Win_Help.dll并通过Netsh.exe调用
Win_Help.dll被释放到System32路径下,并将其文件路径存储到注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh中。
通过C:\Windows\system32\netsh.exe-h命令,可将Win_Help.dll加载到netsh的进程空间中。
木马放置到注册表项
母体在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC添加键值RUNDLL,RUN_DLL,并将其木马的PEBytes存入。
RUN_DLL—大灰狼远控木马
RUNDLL—门罗币挖矿木马的母体
部分系统进程提权
给Windows辅助程序的五个进程添加权限
主要提升如下权限:SeRestorePrivilege,SeBackupPrivilege,SeSecurityPrivilege,SeTakeOwnershipPrivilege。
添加成功后,将文件的访问控制权限修改为EveryOne,目的是实现沾滞键实现持久化,后续木马可能通过这些进程驻留后门。
Win_Help.dll
Win_Help的作用就是注入木马,通过傀儡进程注入将木马分别注入到两个Svchost进程中。
Rpces.exe
Rpces.exe存于RUNDLL注册表项中,负责投递挖矿木马。
通过检查互斥体”Global\Google__”避免重复投递木马。
创建服务“NetSh_Fix”,负责持久化驻留。
最后请求CC下载挖矿木马及其钱包配置信息文件。
其文件路径及钱包信息如下
远控木马
校验尾部字符串:SSSSSSVID:-SV1(特征)
获取硬件信息
远控模块将被释放到C:\Windows\MpMgSvc.dll,调用其导出函数并通过连接C2,根据不同的指令执行对应的操作包括检索服务信息,设置服务,获取会话,用户信息,关闭指定进程,断开注销会话等操作。
CC通信