CoinMiner：又一款利用永恆之藍擴散的挖礦病毒

縱觀近一年來的安全大事件，因致命漏洞引發的大範圍安全事故動輒就是上千萬的用戶遭受影響。不禁讓人反思，既然為何屢次出現這類重大的安全事件？難道是安全投入不夠嗎？

優炫安全研究院的專家指出，很大程度上是企業或機構即沒有部署相關的操作系統基礎安全防護系統，又沒有第一時間修復漏洞，從而造成不可估量的嚴重後果。

近期又有一款使用永恆之藍傳播的惡意軟體肆虐，優炫安全研究院提醒廣大用戶，可根據下文內容進行防禦工作，為了保證核心數據的安全，我們應將信息安全防護工作放在第一位，及時修復漏洞，防患於未然。

有相關信息安全研究人員發現了一款新的無文件挖礦惡意程序CoinMiner，這又是一款使用永恆之藍和WMI工具進行傳播的軟體。 CoinMiner是一款無文件的惡意軟體，它會利用WMI(Windows Management Instrumentation)在感染的系統上運行命令，專家稱，這款軟體很難檢測，並且會使用永恆之藍進行傳播。

「這款軟體會利用WMI做到在無文件的條件下駐足系統。詳細來說，它會用WMI標準事件腳本程序(scrcons.exe)來執行腳本。為了進入目標系統，它會使用永恆之藍漏洞(MS17-010)。這二者的結合使得這款病毒不僅隱蔽，而且會持久駐足。」

傳播特性

病毒先使用永恆之藍入侵系統，然後在系統中放置後門，接著會運行幾個WMI腳本，這些腳本會連接到C&C伺服器，然後獲取指令，下載挖礦機的主體程序和組件。

感染情況分佈

這已經不是我們第一次看到病毒使用永恆之藍進行傳播了，紅極一時的WannaCry和NotPetya都是用了永恆之藍。

今年5月來自ProofPoint的安全專家甚至還稱，有些電腦之所以沒有感染WannaCry病毒，是因為它們之前已經感染了Adylkuzz挖礦病毒，這個病毒同樣也通過永恆之藍傳播。

隱蔽特性

WMI原本是Windows系統的核心組件，一般被用來進行日常的管理任務，比如部署自動化腳本，或者在某個時間運行指定的進程/程序，還可以獲取安裝的軟體或者硬體信息、監控文件夾變化、監控磁碟空間等。正是基於它強大的特性，WMI也受到了黑客們的青睞。

CoinMiner的「無文件特性」正是體現在它使用了WMI腳本來執行命令，而非二進位文件，這使得殺毒軟體更難檢測。除此之外，為了達到隱蔽的目的，研究人員還發現，軟體所使用的JScript表明，攻擊者使用了多層C&C伺服器，達到快速更新伺服器和組件，同時又避免被檢測到的目的。

比如，第一階段的C&C伺服器在hxxp://wmi[.]mykings[.]top:8888/test[.]html，這裡有關於挖礦機及其組件的下載地址，還有第二第三階段的C&C伺服器地址。趨勢科技檢測到這些網址現在仍在活躍。

在感染流程圖中提到，真正的挖礦payload是通過TROJ_COINMINER.AUSWQ下載的，這個文件一開始放在hxxp://67[.]21[.]90[.]226:8888/32.zip。

防禦方法

要防禦CoinMiner，我們的方法之一就是打補丁或者禁用SMBv1協議。這樣就能夠防止病毒感染。另一種思路就是禁用WMI。讀者可以參考微軟給出的指導：

• 關閉SMBv1

• 關閉WMI

另外，對於這類病毒的檢測可能並不像趨勢科技描述的這麼困難，感興趣的讀者也可以嘗試使用Yara規則在下面的路徑中匹配腳本文件：

• C:\Windows\System32\wbem\*.MOF

IoC

• 6315657FD523118F51E294E35158F6BD89D032B26FE7749A4DE985EDC81E5F86 (TROJ_CONMINER.CFG)
• 674F2DF2CDADAB5BE61271550605163A731A2DF8F4C79732481CAD532F00525D (TROJ_COINMINER.AUSWQ)
• 8c5bb89596cd732af59693b8da021a872fee9b3696927b61d4387b427834c461 (TROJ_CONMINER.CFG)
• A095F60FF79470C99752B73F8286B78926BC46EB2168B3ECD4783505A204A3B0 (BKDR_FORSHARE.A)
• E6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b (BKDR_FORSHARE.B)
• F37A0D5F11078EF296A7C032B787F8FA485D73B0115CBD24D62CDF2C1A810625 (TROJ64_COINMINER.QO)

URL

• ftp[.]oo000oo[.]me
• wmi[.]mykings[.]top:8888

內容來源：FreeBuf.COM