Skip to main content
 首页 » 互联网

密码神器Mimikatz成作案利器,挖矿木马Tor2Mine感染大批“肉鸡矿工团”

2020年06月30日1890360

随着挖取比特币成本的大幅提升,门罗币成为新趋势,引诱来不少唯利是图的黑产团伙。近期,360安全大脑监测发现,一个活跃于2018年的加密货币挖矿组织Tor2Mine已按捺不住,带着野心卷土重来,通过大肆传播挖矿木马程序等手段控制大量设备,组织开展门罗币挖矿活动。

从360安全大脑监测数据来看,Tor2Mine极其擅长伪装,用户浑然不知便沦为挖矿“黑劳工”,俄罗斯、土耳其、西班牙、埃及等多国已遭殃。不过,广大用户不必太过担心,在360安全大脑的极智赋能下,360安全卫士已可强力拦截查杀Tor2Mine组织挖矿木马,保护广大用户网络安全。

下载站成“藏毒站”,点开运行有“惊喜”

据360安全大脑监测显示,此次Tor2Mine便从“人心”入手,将包含木马病毒的母体程序潜藏于某些下载站,利用已有的用户信任, 骗取下载运行,这相当于毫无戒备之下亲自开启“被盗”模式。 

(从某些下载站下载运行的木马母体程序)

“开工”后,Tor2Mine的野心凸显,挖矿木马迅速通过创建计划任务的方式常驻并占用用户电脑,但这并不是故事的“结局”,其还会进行横向渗透传播,真可谓是欲壑难填。

 

(木马母体程序运行后,通过计划任务等方式常驻被感染机器)

经360安全大脑深入分析,发现其入侵后进行“敛财”的手段主要分为以下几步:

第一步:绕过杀软,清理“拦路虎”

入侵用户电脑后,该挖矿木马会运行一段powershell代码作为XMRigCC挖矿程序加载器,这一操作首先能判断当前进程权限是否属于管理员组,并根据权限的不同,进一步判断是否采取关闭杀软以及创建挖矿相关服务。

 

(Tor2Mine权限判断与首选项)

如果拥有管理员组权限,木马加载器将挖矿程序的执行路径添加为Windows Defender计划扫描和实时扫描的排除文件路径,并关闭Windows DefendersophosHitman杀软进程。

 

(Tor2Mine对抗杀软)

当然,这波操作还会设置PowerShell首选项以忽略警告和错误继续静默执行,使其“行动轨迹”更为隐蔽,才能放肆“大干一场”。

第二步:创建计划任务和服务,备齐“挖矿工具”

木马加载器会先尝试清理原本可能存在的旧服务以及挖矿程序,随后下载替换原本的java.exe/javaw.exe作为挖矿主体,该程序作为XMRigCC的变体,与门罗币(XMR)采矿池“eu.minerpool.pw:443”进行通信。

接着,木马加载器还会创建多个计划任务及服务,皆用于运行挖矿程序java.exe/javaw.exe,并通过tor2web服务与暗网服务器通信,就这样,用户悄无声息沦为挖矿肉鸡。

 

(Tor2Mine创建的计划任务与服务名)

 

(图门罗币矿池地址以及登录名等信息) 

第三步:反监控与横向渗透,可放肆“敛财”

注册完用于挖矿的计划任务后,该挖矿木马将从服务器下载del.ps1尝试关闭taskmgr", "perfmon", "SystemExplorer", "taskman", "ProcessHacker", "procexp64", "procexp", "Procmon", "Daphne"等监控软件的进程;下载ichigo-lite.ps1用于通过github开源项目调用Invoke-PowerDump(获取管理员权限),Invoke-WMIExec,Invoke-TheHash(WMI横向移动),从而达到横向渗透再次加载运行自己的目的。

(Tor2Mine利用开源项目横向渗透) 

值得一提的是,在Tor2Mine的已屏蔽代码中,还可以发现利用密码抓取神器Mimikatz获取用户凭证,以用于横向渗透的代码,这就相当于利用“熟人”身份坑“熟人”,防不胜防。

360安全大脑的监测数据也显示,自3月13日后,Tor2Mine挖矿程序增长明显增速,表明Tor2Mine挖矿程序通过横向渗透的方式实现了病毒式传播,控制了大量设备。

 

(Tor2Mine利用Mimikatz横向渗透)

  

(Tor2Mine挖矿程序增长趋势图) 

挖矿木马无感式作案“一举多得”,360安全大脑全天候严防死守

消费升级时代,顶配电脑越发受到用户追捧,与此同时,这也成为黑客攻击目标,尤其是这些擅长无感式潜伏的挖矿木马程序,其杀伤力不容小觑,一旦“落入敌手”,电脑沦为挖矿“黑劳工”的同时,也会增加硬件损耗。因此广大用户更要提高对此类挖矿木马的防范意识,保护自身网络安全。

最后,针对占用电脑资源的挖矿木马,360安全大脑给出以下几点安全建议:

1、 前往weishi.360.cn,下载安装360安全卫士,对此类挖矿木马威胁进行有效拦截;

2、 开启360安全卫士“网页安全防护”功能,辨别各类虚假诈骗网页,拦截钓鱼网站、危险链接。

3、 若发现系统资源消耗异常增高,要考虑挖矿木马运行的可能,及时使用360安全卫士进行体检扫描,查杀病毒木马;

4、 设置相关服务器/工作站访问权限,避免木马的横向传播;

5、 提高安全意识,建议软件从正规渠道下载,如官方网站或360软件管家等。 

IOC信息:

MD5:

222a9bdabc947877026a31ed8333ed0b

fdcad5ceac5368016dfb69718874bddb

 

URLS:

hxxp://107.181.187.132/v1/check1.ps1

hxxp://107.181.187.132/v1/upd2.ps1

hxxps://v1.fym5gserobhh.pw/check.hta

hxxp://eu1.minerpool.pw/upd.hta

hxxp://eu1.minerpool.pw/eter.hta

hxxp://eu1.minerpool.pw/check.hta

hxxp://107.181.187.132/ps1/del.ps1

hxxp://107.181.187.132/ps1/cleaner.ps1

hxxp://res1.myrms.pw/upd.hta

hxxps://qm7gmtaagejolddt.onion.pet/check.hta

hxxps://eu1.ax33y1mph.pw/check.hta

hxxps://107.181.187.132/test/64.exe

hxxps://107.181.187.132/deps/rng.exe

hxxp://107.181.187.132/ps1/scanner.ps1

hxxps://185.10.68.147/win/3p/ichigo-lite.ps1

hxxp://185.10.68.147/win/sasd.bat

hxxp://185.10.68.147/win/val/ichigo.bin

hxxp://185.10.68.147/win/del.ps1

hxxps://185.10.68.147/win/min/64.exe

hxxp://185.10.68.147/win/update.hta

hxxps://185.10.68.147/win/deps/rx.exe

hxxps://asq.r77vh0.pw/win/checking.ps1

hxxps://asq.r77vh0.pw/win/hssl/r7.hta

hxxp://asq.r77vh0.pw/win/checking.hta

hxxps://asq.d6shiiwz.pw/win/ins/checking.ps1

hxxp://185.10.68.147/win/3p/watcher_np.ps1

hxxp://185.10.68.147/win/checking.hta

hxxp://185.10.68.147/win/php/func.php

hxxp://185.10.68.147/win/checking.ps1

hxxp://185.10.68.147/win/3p/checking.ps1

hxxp://107.181.187.132/win/win10.ps1

hxxp://107.181.187.132/check.hta

hxxp://asq.r77vh0.pw/win/php/func.php

hxxp://185.10.68.147/win/php/watcher.php

hxxp://107.181.187.132/ps1/ichigo_lite.ps1

hxxp://qlqd5zqefmkcr34a.onion.pet/win/checking.hta

hxxp://185.10.68.147/win/3p/mimi/kallen.ps1

hxxps://asq.d6shiiwz.pw/win/hssl/d6.hta

hxxp://fh.fhcwk4q.xyz/win/checking.hta

hxxps://fh.fhcwk4q.xyz/win/checking.hta

hxxp://185.10.68.147/win/sc.ps1

hxxps://qlqd5zqefmkcr34a.onion.pet/win/checking.hta

hxxp://v1.fym5gserobhh.pw/v1/check1.ps1

hxxp://v1.fym5gserobhh.pw/php/func.php

hxxp://107.181.187.132/php/func.php

hxxp://107.181.187.132/v1/bat/zazd.bat

hxxp://107.181.187.132/v1/bat/localcheck.bat

hxxp://107.181.187.132/nopwsh/v1.exe

hxxps://eu1.minerpool.pw/checks.hta

hxxp://107.181.187.132/v1/clocal.ps1

hxxp://107.181.187.132/val/ichigo.bin

hxxp://107.181.187.132/val/ichigo2.bin

hxxps://gitlab.com/jonas112233/test/raw/master/64.exe

hxxps://gitlab.com/jonas112233/test/raw/master/32.exe

评论列表暂无评论
发表评论