本文作者:信安之路病毒分析小组全体成员
样本概述
樣本信息:
CMD 命令行.txt,start.ps1,1.ps1,knbhm.jpg,svchost.exe
VirusTotal:
以下僅是 knbhm.jpg 的查詢結果
行为预览
详细分析
攻击者先通过调用 CMD 命令利用 winrm.vbs 来绕过白名单限制执行任意 XSL 代码,执行的命令行如下:
"C:\Users\Public\cscript.exe" //nologo C:\Windows\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty
详情请参考:
https://www.freebuf.com/articles/system/178035.html
XSL 代码会执行一段 Powershell 命令,我们将其命名爲 start.ps1,
Base64 解密后
start.ps1
会向 http:##ps.nameapp.website 发起请求,并下载
1.ps1
1.ps1
會从 http:##ss.pumkkbx.website/knbhm.jpg 下載
knbhm.jpg
,落到本地磁盘,并执行, knbhm.exe 作爲一个 Loader 会在临时目录下释放假的 svchost.exe,实际上是一个挖矿程序,并以特定的参数啓动,釋放完 svchost 后調用 CMD 進行自刪除,火绒剑监控行爲如下
knbhm.exe
只做了简单且并没有什麼技术含量的混淆
釋放的
svchost.exe
是经过 Zlib 压缩后存放在
knbhm.exe
的数据段中,在
knbhm.exe
运行过程中会进行對其解压缩:
地址偏移+0xC 處存放着右移一位后的文件大小,接着分配相应大小的空间进行解压缩,Zlib 版本號 1.1.3
之后调用 CreateProcess,啓动挖矿进程。
c:\Windows\temp\svchost.exe -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 47461u5xNSR9A727pZGhFZKpstAU35mfiZWvm6hzfKcEWDgJAc9sn3tDSJGPpA1MaqbgQ4wfv1PyuPAw7KVbHhF837QHdT9 -p x
挖门罗币,矿池地址:
pool.minexmr.com:80
钱包地址:
47461u5xNSR9A727pZGhFZKpstAU35mfiZWvm6hzfKcEWDgJAc9sn3tDSJGPpA1MaqbgQ4wfv1PyuPAw7KVbHhF837QHdT9
在门罗币官网上进行查询
這老哥剛開始挖……
IOC
URL:
http://ss[.]pumkkbx[.]website/knbhm[.]jpg
http://ps[.]nameapp[.]website
SHA1:
3a50f2d49dc7261cafabda424273d7dd3d97703b
8647bf18b50098d8785214fcf557373407591ad9
559d409194d64a518c61e46a552011d42a075f5a