换汤不换药,Win10UpdateMiner新版本已被捕获

换汤不换药,Win10UpdateMiner新版本已被捕获


恶意家族名称:

Win10UpdateMiner

威胁类型:

挖矿木马

简单描述:

Win10UpdateMiner 是一款挖矿木马,最早出现于 2022 年 5 月中旬,通过伪装成 Windows 应用程序进行传播,能够在受害主机上注入挖矿代码,占用受害主机资源,挖取比特币,谋取利益。


恶意文件分析

换汤不换药,Win10UpdateMiner新版本已被捕获

1.恶意文件描述

近期,深盾终端实验室接到 XDR 团队基于行为分析捕获到一种未知挖矿木马病毒。经分析,该挖矿木马属于 Win10UpdateMiner 家族的一个新型变种。


Win10UpdateMiner 在今年 6 月被首次曝光,通过伪装成 Windows 升级程序诱导受害者点击,当用户点击之后,该病毒会在受害主机上植入挖矿程序,挖取数字货币以谋取利益。


本次发现的新版本从手法上并未有新的创意,使用第三方邮件服务托管挖矿组件,下载器伪装成 Windows 证书升级程序,诱导受害者点击,后续会下载挖矿组件,通过注入浏览器进行挖矿。

换汤不换药,Win10UpdateMiner新版本已被捕获

2.恶意文件分析

程序本体主要由两个函数组成,主要功能是解密硬编码在程序内的 C Sharp 代码,并通过动态编译执行。


换汤不换药,Win10UpdateMiner新版本已被捕获


代码的主要包括 4 个类,对应 4 个功能。第一段代码的功能是通过硬编码地址获取秘钥并下载加载器及挖矿程序相关组件。


换汤不换药,Win10UpdateMiner新版本已被捕获


第二个段代码的功能是从文件中读取数据,第三段代码的功能是将数据写入文件。


第四段代码是将下载回来的加载器程序加载到内存,并将其他组件的数据作为参数传入,最后执行。


换汤不换药,Win10UpdateMiner新版本已被捕获


这里在程序逻辑上有一个判断,如果下载失败,则从本地读取挖矿组件数据,若下载成功,则将下载的数据写入 “C:ProgramDataSoftwareDistribution”。


文件名及对应组件的功能和之前版本完全一致。


换汤不换药,Win10UpdateMiner新版本已被捕获


成功读取到挖矿组件数据后,使用从远程获取的秘钥对数据进行解密。解密算法和解密代码段的算法相同。


换汤不换药,Win10UpdateMiner新版本已被捕获


相比之前的版本,下载链接地址的解密算法从 RC4 加密算法变成了更简单的 Xor 加密算法。


换汤不换药,Win10UpdateMiner新版本已被捕获


LC_DLL 即加载器,通过 Confuser 混淆工具混淆。


换汤不换药,Win10UpdateMiner新版本已被捕获


通过 Laucher.Start 函数启动。


换汤不换药,Win10UpdateMiner新版本已被捕获


判断主机是否安装 IE,欧朋,火狐,谷歌,Edge 浏览器。


换汤不换药,Win10UpdateMiner新版本已被捕获
换汤不换药,Win10UpdateMiner新版本已被捕获
换汤不换药,Win10UpdateMiner新版本已被捕获
换汤不换药,Win10UpdateMiner新版本已被捕获
换汤不换药,Win10UpdateMiner新版本已被捕获


解压并释放配置文件为临时文件到 Temp 目录,这个解压过程在之前的版本是在主程序中完成的,这个版本移动到了加载器中。


换汤不换药,Win10UpdateMiner新版本已被捕获


解压并释放驱动文件,设置隐藏属性、系统属性,修改创建时间、最后访问时间。


换汤不换药,Win10UpdateMiner新版本已被捕获


添加防火墙出站规则,放行所有地址和端口。


换汤不换药,Win10UpdateMiner新版本已被捕获


启动之前找到的浏览器程序,将矿机程序注入进程内存,开始挖矿。


换汤不换药,Win10UpdateMiner新版本已被捕获


通过  -c 指令,将配置文件导入程序。


换汤不换药,Win10UpdateMiner新版本已被捕获

IOCs


6d5c31e67d938edebe201885c9d61ee3

pool.supportxmr[.]com

https[:]//mail.shaferglazer.com/resources/files/TASK

https[:]//mail.shaferglazer.com/resources/files/LC_DLL

https[:]//mail.shaferglazer.com/resources/files/DATA1

https[:]//mail.shaferglazer.com/resources/files/DATA2

https[:]//mail.shaferglazer.com/resources/files/CONFIG

104.243.33[.]118

104.243.43[.]115

139.99.123[.]196

139.99.124[.]170

139.99.125[.]38

141.94.96[.]144

141.94.96[.]195

141.94.96[.]71

142.132.147[.]187

142.132.210[.]169

148.163.81[.]34

148.163.88[.]50

95.216.46[.]125

解决方案

换汤不换药,Win10UpdateMiner新版本已被捕获

终端加固建议

1. 避免将重要服务在外网开放,若一定要开放,需增加口令复杂度,避免使用弱口令。

2. 避免打开可疑或来历不明的邮件,尤其是其中的链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描。

3. 安装信誉良好的防病毒/反间谍软件,定期进行系统全盘扫描,并删除检测到的威胁,按时升级打补丁。

4. 使用官方和经过验证的下载渠道,使用正版开发人员提供的工具/功能激活和更新产品,不建议使用非法激活工具和第三方下载器,因为它们通常用于分发恶意内容。

换汤不换药,Win10UpdateMiner新版本已被捕获

2.深信服解决方案

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,设置相应的防护策略,获取全方位的勒索防护;

换汤不换药,Win10UpdateMiner新版本已被捕获

【深信服可扩展检测响应平台XDR】已支持检测该新型木马的恶意行为,请更新软件(如有定制请先咨询售后再更新版本)和IOA规则库、IOC规则库至最新版本,设置相应的检测策略,获取全方位的高级威胁检测能力;

换汤不换药,Win10UpdateMiner新版本已被捕获

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。

换汤不换药,Win10UpdateMiner新版本已被捕获


原文始发于微信公众号(深信服千里目安全技术中心):换汤不换药,Win10UpdateMiner新版本已被捕获

版权声明:admin 发表于 2022年11月15日 下午10:15。
转载请注明:换汤不换药,Win10UpdateMiner新版本已被捕获 | CTF导航

相关文章

暂无评论

暂无评论...