概要

WannaMine是一个以挖取门罗币为目的的僵尸网络，最早于2017年10月被国外网络安全厂 商曝光，因同样使用永恒之蓝(EternalBlue)漏洞进行扩散(与Wannacry相似)而得名。据微 步在线黑客画像系统和狩猎系统监测发现，WannaMine在近一年时间中活动频繁，而其木马存 放站点近日竟出现被美国国土安全局查封的字样，为查明原委，微步在线对WannaMine分析如下:

除保持挖矿“主业”外，WannaMine目前已增加DDoS、“抓鸡”等多种“业务”。

WannaMine利用漏洞自动化在Windows和Linux两种环境抓取“肉鸡”，危害程度日益增加。

WannaMine组织架构不断完善，功能模块独立化，每个模块在攻击流程中都具备明确角色和任务。

自2018年9月起开始使用新的木马存放节点(cache.windowsdefenderhost.com)和C&C服务器(online.srentrap.com)。

恶意站点“掩耳盗铃”式的伪装成被美国国土安全局接管状态，以期干扰安全人员的分析判断。

详情

监测发现，WannaMine自2017年底出现以来，功能架构不断完善，攻击流程日趋复杂: 由早期利用“永恒之蓝”(EternalBlue)漏洞进行扩散，逐步增加通过ssh/telnet暴力破解，利用CVE-2017-0213、CVE-2016-5195等漏洞辅助入侵提升控制权限;功能模块独立化，每个模块 在攻击流程中都具备明确角色和任务，有效避免单个组织功能模块被关联分析;攻击目标方 向由Windows系统扩展至Linux环境，危害程度日益增加。

样本分析

本报告分析的样本捕获于2018年9月，样本基本信息如下表所示:

以该样本为例，分析发现WannaMine目前的架构下图所示:

图 1 WannaMine 组织结构图

图 1具体过程为:

1、WannaMine首先通过“永恒之蓝”漏洞入侵向Windows系统并植入w_download.exe，下载相关 木马组件RecentFileProgrom.exe、res.exe、tor.exe。

2、RecentFileProgrom.exe主要实现的是向被感染设备内/网进行“永恒之蓝”漏洞扫描。一旦感染了RecentFileProgrom.exe首先会自动枚举探测/扫描内网IP，并注入感染木马payload。

3、Tor.exe是Trojan[DDoS]/Win32.Nitol.A木马，实现的是寄生在Windows环境的DDoS木马。其CC为online.srentrap.com:8080。

图 4 Nitol.A 首包

4、Res.exe为自压缩文件，主要是实现自解压释放提权和挖矿等功能模块组件。其中1505132/64.exe、1603232/64.exe、170213.exe为CVE-2015-1701本地提权载荷，170213.exe为CVE-2017-0213本地载荷，为有关木马提高权限;testuac.exe获取本地系统配置信息;exp.exe释 放m5VWc67.bat实现探测网络状态和删除res.exe母体样本;svchost-1.exe、login.jpg、register.jpg是执行挖矿的主体木马。

图 5 m5VWc67.bat 批处理命令

5、svchost.exe访问http://cache.windowsdefenderhost.com/windows/config.json，获取矿池地址和钱包地址信息，根据获取到多个矿池信息，使挖矿木马能以任务队列方式获取挖矿任务，减少设备闲置时间。同时，WannaMine木马还可以通过修改config.json配置文件实现对矿池、钱包等 实时自定义增删改;访问http://cache.windowsdefenderhost.com:80/windows/yesir.txt获取挖矿任 务。而login.jpg、register.jpg是挖矿执行组件，为了躲避杀毒工具检测，样本伪装成jpg图片文件。

图 6 获取矿池+钱包等信息

图 7 获取挖矿任务

6、WannaMine还通过对ssh/telnet远程爆破等手段向Linux设备注入名为udp、dc_elf_32、fs_elf_64等文件。Udp文件是Trojan[DDoS]/Linux.Setag(又名BillGates)家族木马，主要是实现DDoS功能，其C&C为online.srentrap.com:8443(与上述Nitol.A木马相同)和uk.7h4uk.com:6001。

图 8 Setag 首包

7、dc_elf_32、fs_elf_64都是CVE-2016-5195本地提权漏洞的攻击载荷，负责为udp木马提高执行权限。

关联分析

有趣的是，WannaMine木马存放代理站点cache.windowsdefenderhost.com和d4uk.7h4uk.com均存在正常网页，均显示为已被美国国土安全局接管，如下图所示:

图 9 伪造界面

但是该站点实际仍在对外提供木马样本下载，因此判断该图片系攻击者刻意为之，营造出该网站已被美国政府部门接管，现为“无害”状态，以干扰安全人员分析判断。

相关IOC请访问链接：https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=802