還在用工具激活系統(tǒng)？小心被當(dāng)做礦機(jī) _樣本

一、
捕獲到一個(gè)偽裝成激活軟件的病毒樣本。經(jīng)分析，該樣本并沒有激活功能c檢測(cè)文件是否存在，其主要功能是安裝廣告軟件以及挖礦程序。
挖礦程序會(huì)拉起系統(tǒng)進(jìn)程并在其中注入挖礦代碼，并循環(huán)監(jiān)控.exe進(jìn)程，如果檢測(cè)到 .exe進(jìn)程則終止挖礦，使得受害者比較難以察覺。
1 病毒母體病毒母體圖標(biāo)偽裝成：
其實(shí)是用制作的安裝包：
安裝界面：
釋放如下幾個(gè)文件到C: Files (x86) 10.2.1 Final目錄并運(yùn)行腳本 .BAT 。
.BAT依次運(yùn)行.exe、.exe和 .exe 。
.exe與.exe都是廣告軟件，.exe則是挖礦程序。
2 .exe
首先是.exe安裝界面：
會(huì)下載并安裝：
安裝服務(wù)：
升級(jí)任務(wù)計(jì)劃：
的抓包行為：
3 .exe
.exe安裝界面：
功能存在問題，下載的exe文件沒有帶后綴名：
4 .exe 首先在Local目錄下新建文件夾并將自己拷貝到下面。
添加注冊(cè)表自啟動(dòng)項(xiàng) 。
檢測(cè)是否存在.exe進(jìn)程。
如果.exe進(jìn)程不存在則拉起系統(tǒng)進(jìn)程wuapp.exe，參數(shù)為” -a-o +tcp://:45560-p x -t 2″ 。
將挖礦程序注入到wuapp.exe進(jìn)程。
挖礦程序?yàn)殚_源的-multi 1.2-dev 。
進(jìn)入循環(huán)，守護(hù)注冊(cè)表自啟動(dòng)項(xiàng)，并檢測(cè).exe進(jìn)程，如果檢測(cè)到則終止wuapp.exe 。
二、小馬激活
“小馬激活”病毒的第一變種只是單純地在瀏覽器快捷方式后面添加網(wǎng)址參數(shù)和修改瀏覽器首頁的注冊(cè)表項(xiàng)，以達(dá)到首頁劫持的目的。由于安全軟件的查殺和首頁保護(hù)功能，該版本并沒有長時(shí)間流行太長時(shí)間。其第二變種，在原有基礎(chǔ)上增強(qiáng)了與安全軟件的對(duì)抗能力。
由于其作為”系統(tǒng)激活工具”具有入場時(shí)間較早的優(yōu)勢(shì)，使用驅(qū)動(dòng)與安全軟件進(jìn)行主動(dòng)對(duì)抗，使安全軟件無法正常運(yùn)行。在其第三個(gè)變種中，其加入了文件保護(hù)和注冊(cè)表保護(hù)，不但增加了病毒受害者自救的難度，還使得反病毒工程師在處理用戶現(xiàn)場時(shí)無法在短時(shí)間之內(nèi)發(fā)現(xiàn)病毒文件和病毒相關(guān)的注冊(cè)表項(xiàng) 。其第四個(gè)變種中，利用WMI中的永久事件消費(fèi)者（sumer）注冊(cè)惡意腳本，利用定時(shí)器觸發(fā)事件每隔一段時(shí)間就會(huì)執(zhí)行一段VBS腳本，該腳本執(zhí)行之后會(huì)在瀏覽器快捷方式后面添加網(wǎng)址參數(shù) 。該變種在感染計(jì)算機(jī)后，不會(huì)在計(jì)算機(jī)中產(chǎn)生任何文件，使得病毒分析人員很難發(fā)現(xiàn)病毒行為的來源，大大增加了病毒的查殺難度。通過如下表格我們可以更直觀的了解其發(fā)展過程：
通過我們近期接到的用戶反饋，我們發(fā)現(xiàn)了”小馬激活”病毒的新變種。該變種所運(yùn)用的對(duì)抗技術(shù)十分復(fù)雜，進(jìn)一步增加了安全軟件對(duì)其有效處理的難度，甚至使得病毒分析人員通過遠(yuǎn)程協(xié)助處理用戶現(xiàn)場變得更困難。這個(gè)”小馬激活”病毒的最新變種運(yùn)行界面如下：
2 樣本分析
該病毒釋放的驅(qū)動(dòng)文件通過加殼，并通過過濾驅(qū)動(dòng)的方式攔截文件系統(tǒng)操作（圖2），其目的是保護(hù)其釋放的動(dòng)態(tài)庫文件無法被刪除。通過文件系統(tǒng)過濾驅(qū)動(dòng)，使得系統(tǒng)中的其他進(jìn)程在打開該驅(qū)動(dòng)文件句柄時(shí)獲得的是tcpip.sys文件的句柄，如果強(qiáng)行刪除該驅(qū)動(dòng)文件則會(huì)變?yōu)閯h除tcpip.sys文件，造成系統(tǒng)無法正常連接網(wǎng)絡(luò) 。我們通過下圖可以看到火絨劍在查看文件信息時(shí)，讀取的其實(shí)是tcpip.sys文件的文件信息。由于此功能，使得病毒分析人員無法在系統(tǒng)中正常獲取該驅(qū)動(dòng)的樣本。
該驅(qū)動(dòng)通過注冊(cè)關(guān)機(jī)回調(diào)在系統(tǒng)關(guān)機(jī)時(shí)該驅(qū)動(dòng)會(huì)將自身在%%\目錄重新拷貝成隨機(jī)名字的新驅(qū)動(dòng)文件，并將驅(qū)動(dòng)信息寫入注冊(cè)表，以便于下一次時(shí)啟動(dòng)加載。在驅(qū)動(dòng)加載之
后，其會(huì)將locc.dll注入到.exe進(jìn)程中。該驅(qū)動(dòng)對(duì)locc.dll文件也進(jìn)行了保護(hù)，當(dāng)試圖修改或者刪除該動(dòng)態(tài)庫時(shí)，會(huì)彈出錯(cuò)誤提示”文件過大” 。
當(dāng)病毒的驅(qū)動(dòng)將locc.dll注入到.exe進(jìn)程后會(huì)執(zhí)行首頁劫持相關(guān)邏輯。通過火絨劍的內(nèi)存轉(zhuǎn)儲(chǔ)，我們可以看到該病毒鎖定的所有網(wǎng)址。
l l l l l l l l l l l l l l l l l
通過抓取上述網(wǎng)址中的網(wǎng)頁信息，我們可以發(fā)現(xiàn)上述網(wǎng)址中存放的其實(shí)是一個(gè)跳轉(zhuǎn)頁。通過使用跳轉(zhuǎn)頁面，病毒作者可以靈活調(diào)整計(jì)費(fèi)鏈接和推廣網(wǎng)址，并且對(duì)來自不同瀏覽器的流量進(jìn)行分類統(tǒng)計(jì) 。
三、解決方案
（1）不從不明網(wǎng)站下載軟件，不要點(diǎn)擊來源不明的郵件以及附件；
（2）及時(shí)給電腦打補(bǔ)?。?修復(fù)漏洞；
（3）盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口，如：445,135,139,3389等；
（4）安裝專業(yè)的終端/服務(wù)器安全防護(hù)軟件，深信服EDR能夠有效查殺該病毒。
探討滲透測(cè)試及黑客技術(shù)c檢測(cè)文件是否存在，請(qǐng)并私信我。#小白入行網(wǎng)絡(luò)安全# #安界網(wǎng)人才培養(yǎng)計(jì)劃#
【還在用工具激活系統(tǒng)？小心被當(dāng)做礦機(jī)】本文到此結(jié)束，希望對(duì)大家有所幫助。