一、背景

近期接到客戶反饋，其網(wǎng)絡(luò)中的部分 windows 系統(tǒng)終端機(jī)器出現(xiàn)了異常。經(jīng)過安全團(tuán)隊(duì)的分析，發(fā)現(xiàn)這是一起網(wǎng)絡(luò)挖礦事件。

二、基本情況

通過對(duì)受害終端的檢查，發(fā)現(xiàn)有一個(gè)名為update64.exe的進(jìn)程占用了極高的CPU資源，該進(jìn)程位于c:Windowsdell目錄下。使用任務(wù)管理器按CPU使用率排序后，發(fā)現(xiàn)該進(jìn)程占用99%的CPU，且運(yùn)行在SYSTEM權(quán)限下。

如下圖所示：

嘗試通過任務(wù)管理器終止update64.exe進(jìn)程后，該進(jìn)程會(huì)立即重新啟動(dòng)，顯示出極強(qiáng)的自我保護(hù)能力。使用命令wmic process where Name=”update64.exe” get ParentProcessId查看其父進(jìn)程，發(fā)現(xiàn)父進(jìn)程是cmd.exe，且cmd.exe也在SYSTEM權(quán)限下運(yùn)行，并不斷啟動(dòng)update64.exe。

如下圖所示：

終止cmd.exe后，該進(jìn)程也會(huì)重新啟動(dòng)，表明其具有強(qiáng)大的恢復(fù)機(jī)制。進(jìn)一步追蹤其父進(jìn)程，使用命令wmic process where Name=”cmd.exe” get ParentProcessId，發(fā)現(xiàn)cmd.exe是由svchost.exe啟動(dòng)的，svchost.exe同樣位于c:windowsdell目錄下，運(yùn)行在SYSTEM權(quán)限下，進(jìn)程描述為“the Non-Sucking Service Manager”。

如下圖所示：

按照svchost.exe -> cmd.exe -> update64.exe的順序終止進(jìn)程后，update64.exe不會(huì)再次啟動(dòng)，這表明svchost.exe負(fù)責(zé)啟動(dòng)并保護(hù)update64.exe。

1. 運(yùn)行cmd.exe，進(jìn)入c:windowsdell目錄，使用命令dir /a查看，發(fā)現(xiàn)該目錄下有四個(gè)文件：run.bat、run64.bat、svchost.exe和Update64.exe。

2. 獲取文件HASH

   使用Windows自帶的命令行工具certutil.exe獲取文件的SHA256 HASH。

   certutil.exe的用法如下：

   SHA256 HASH列表如下：

   文件名	大小	文件HASH（SHA256）
   Run.bat	214	f86f90440a2b36c0c477a6ce6df732d274b29605388c55b952bc1028e4e0af94
   Run64.bat	95	dbc8422a6e73459e777bb1989aa26c0f4416fe99e93e234a6b3c0ae9539ff603
   Svchost.exe	353,792	29f0dbf2d07c4b68c3c9ee0d139d80bad3e9058fbf9dbd574cb5b047cf742e74
   Update64.exe	2,594,816	c1fee6f3375b891081fa9815c620ad8c1a80e3c62dccc7f24c5afee72cf3ddcd

   備注：在撰寫本文時(shí)，發(fā)現(xiàn)當(dāng)天（5月23日）FREEBUF發(fā)布了一篇文章，標(biāo)題為“SURFSRC | 一個(gè)針對(duì)‘比特票’挖礦木馬樣本的分析”，鏈接為：【https://www.php.cn/link/d950e8c6b584dfac7d569aacf43519a7。

3. 此外，習(xí)慣性地運(yùn)行命令dir /a /od檢查，在c:windows目錄下發(fā)現(xiàn)一個(gè)名為Update.exe的文件。

   文件名	大小	HASH（SHA256）
   Update.exe	2,854,829	aeb8ecc2ad424926af154172c6f2d2f8a98b881f59389fe75e1a2408bdcb3927

   簡(jiǎn)單分析發(fā)現(xiàn)Update.exe是winrar創(chuàng)建的自解壓exe文件。查看其文件屬性，發(fā)現(xiàn)其自解壓命令如下圖所示。

   

   Update.exe運(yùn)行后會(huì)將文件解壓到c:windowsdell目錄下（覆蓋模式），并靜默運(yùn)行c:windowsdellrun.bat批處理文件。

   由此可以判斷，入侵者通過某種入侵手段（未知，可能包括漏洞攻擊、郵件攻擊或欺騙手段，如直接發(fā)送update.exe并聲稱是某個(gè)壓縮包文件，誘導(dǎo)用戶雙擊執(zhí)行解壓）獲取系統(tǒng)權(quán)限，并執(zhí)行update.exe解壓到c:windowsdell目錄。

4. 進(jìn)程與網(wǎng)絡(luò)連接

   運(yùn)行tasklist命令，update64.exe的進(jìn)程號(hào)為364，如下圖所示。

   

   運(yùn)行netstat -noa命令查看，364號(hào)進(jìn)程的網(wǎng)絡(luò)連接如下圖所示。

   

三、樣本分析

（一）run.bat

1. 文件內(nèi)容

   

2. 批處理命令解析

   安全日志和系統(tǒng)日志是常見的日志類型，而Windows PowerShell日志記錄系統(tǒng)Powershell腳本運(yùn)行的痕跡，其在事件查看器中的位置如下圖所示：

   

3. Wevtutil.exe簡(jiǎn)介

   Wevtutil.exe是系統(tǒng)自帶的系統(tǒng)日志命令行管理工具，位于c:windowssystem32目錄下，其命令行參數(shù)如下：

   wevtutil COMMAND [ARGUMENT [ARGUMENT] …] [/OPTION:VALUE [/OPTION:VALUE] …]	命令:
   el	enum-logs 列出日志名稱。
   gl	get-log 獲取日志配置信息。
   sl	set-log 修改日志配置。
   ep	enum-publishers 列出事件發(fā)布者。
   gp	get-publisher 獲取發(fā)布者配置信息。
   im	install-manifest 從清單中安裝事件發(fā)布者和日志。
   um	uninstall-manifest 從清單中卸載事件發(fā)布者和日志。
   qe	query-events 從日志或日志文件中查詢事件。
   gli	get-log-info 獲取日志狀態(tài)信息。
   epl	export-log 導(dǎo)出日志。
   al	archive-log 存檔導(dǎo)出的日志。
   cl	clear-log 清除日志。
   常用選項(xiàng):
   /{r	remote}:VALUE 如果指定，則在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行該命令。VALUE 是遠(yuǎn)程計(jì)算機(jī)名稱。/im 和 /um 選項(xiàng)不支持遠(yuǎn)程操作。
   /{u	username}:VALUE 指定一個(gè)不同的用戶以登錄到遠(yuǎn)程計(jì)算機(jī)。 VALUE 是 domainuser 或 user 形式的用戶名。只有在指定 /r 選項(xiàng)時(shí)才適用。
   /{p	password}:VALUE 指定的用戶密碼。如果未指定， 或者 VALUE 為 “*”，則會(huì)提示用戶輸入密碼。 只有在指定 /u 選項(xiàng)時(shí)才適用。
   /{a	authentication}:[Default
   /{uni	unicode}:[true

4. 疑問

   在實(shí)驗(yàn)機(jī)器上手動(dòng)執(zhí)行run.bat批處理文件，其運(yùn)行界面如下：

   

（二）Run64.bat

1. 文件內(nèi)容

   

2. 命令解析

   從run64.bat的內(nèi)容可以推測(cè)，Update64.exe是一個(gè)挖礦程序，挖掘的是XMR虛擬貨幣，礦池是xmr.pool.minergate.com:45560，挖礦賬號(hào)是：cooldayright@outlook.com。

3. MinerGate簡(jiǎn)介

   MinerGate是一個(gè)國(guó)外的知名挖礦網(wǎng)站，支持多種虛擬貨幣的挖礦、轉(zhuǎn)賬交易等，其網(wǎng)站主頁(yè)為：https://www.php.cn/link/d39d59c114b33bb5e40238a65a2ec09b。

   根據(jù)網(wǎng)站主頁(yè)顯示，目前支持btc、XMR、以太坊等16種主流虛擬貨幣，具體支持的貨幣如下圖所示：

   

   在網(wǎng)站上可以直觀查看挖礦收益，且支持的系統(tǒng)多樣，目前已支持安卓手機(jī)，適合各種人群?？偠灾?，MinerGate是一款非常簡(jiǎn)單的入門挖礦工具。

   補(bǔ)充：

   • 在MinerGate網(wǎng)站注冊(cè)時(shí)必須使用真實(shí)有效的郵箱地址進(jìn)行注冊(cè)確認(rèn)，因此，cooldayright@outlook.com是攻擊者的真實(shí)有效EMAIL。
   • 根據(jù)MinerGate網(wǎng)站提示，其用于XMR挖礦的端口已修改為45700，而本樣本依然連接的是45560端口，或許攻擊者會(huì)采取進(jìn)一步行動(dòng)。

   

（三）svchost.exe

查看文件屬性，如下圖所示：

在百度上搜索nssm.exe，結(jié)果如下：

我們發(fā)現(xiàn)，svchost.exe實(shí)際上是服務(wù)管理軟件nssm.exe，其官網(wǎng)地址為：https://www.php.cn/link/8f698d6fd2865cc064cdfa8b2c5c9c3f。

根據(jù)網(wǎng)絡(luò)查詢，NSSM是一個(gè)服務(wù)封裝程序，可以將普通exe程序封裝成服務(wù)，使其像Windows服務(wù)一樣運(yùn)行。類似工具還有微軟的srvany，但nssm更簡(jiǎn)單易用且功能強(qiáng)大。

其特點(diǎn)如下：

• 至此，上述疑問（.bat文件如何能注冊(cè)為服務(wù)進(jìn)程）終于得到了解答。NSSM確實(shí)強(qiáng)大，非常強(qiáng)大！！！

怪不得，之前終止update64.exe后，該進(jìn)程會(huì)重新啟動(dòng)。

（四）Update64.exe

從run64.bat我們可以知道，Update64.exe實(shí)際上是一個(gè)挖礦軟件。文件屬性如下圖所示，文件修改時(shí)間為2016年9月2日。

根據(jù)經(jīng)驗(yàn)，很多挖礦軟件都自帶命令行幫助文件，于是我們直接在命令行下運(yùn)行該程序，結(jié)果如下所示：

這表明該程序可能經(jīng)過重新編譯修改。

直接加上參數(shù)運(yùn)行（調(diào)用run64.bat），發(fā)現(xiàn)其竟然有控制臺(tái)顯示（利用SYSTEM權(quán)限調(diào)用也是有原因，至少不會(huì)彈出黑屏框），其顯示的界面如下圖所示：

根據(jù)網(wǎng)絡(luò)查詢，發(fā)現(xiàn)Update64.exe就是Claymore-XMR-CPU-Miner，版本為3.5，一款利用CPU挖掘XMR幣的開源軟件，其gitHub地址為：https://www.php.cn/link/48016f549dbc03c0e12190363e687c27。

目前已更新到4.0版本。

Claymore支持多種虛擬貨幣挖礦：

由于MinerGate網(wǎng)站沒有提供直接查詢挖礦收益的功能，注冊(cè)用戶只能查看自身收益情況，因此無(wú)法得知攻擊者cooldayright@outlook.com的收益情況。

四、總結(jié)與疑問

• 本文作者：CGF99，本文屬FreeBuf原創(chuàng)獎(jiǎng)勵(lì)計(jì)劃，未經(jīng)許可禁止轉(zhuǎn)載