威脅預警|首現新型RDPMiner挖礦蠕蟲受害主機易被添加惡意帳戶

時間 2019-12-06

標籤威脅預警新型 rdpminer 蠕蟲受害主機易被添加惡意帳戶简体版

原文原文鏈接

近日，阿里雲安全發現一種新型挖礦蠕蟲RDPMiner，經過爆破Windows Server 3389端口RDP服務的方式進行挖礦木馬傳播，導致用戶CPU佔用率暴漲，機器卡頓，更被建立名爲DefaultAccount的帳號。攻擊者可暢通無阻遠程登陸機器威脅用戶業務和數據安全。安全

據該蠕蟲鏈接的某礦池公佈的HashRate，預估僅該礦池即有2000+機器鏈接進行挖礦，阿里雲安全專家判斷該挖礦蠕蟲擴散性還在持續且活躍度高，且用戶管理帳號弱密碼設置更給攻擊者創造了有利的條件。服務器

本文以RDPMiner總體攻擊流程爲主線，經過對入侵、獲利、對抗與維持等進行詳細分析，還原RDPMiner整個過程。並在文末給出專家建議，同時也提醒用戶增強密碼設置。微信

背景工具

在接到用戶反饋Windows Server服務器CPU佔用率暴漲，並被建立DefaultAccount的帳號後，阿里云云防火牆同步監控到這些機器向外發出大量RDP請求。阿里雲安全研究人員進行分析後，發現用戶主機上運行着挖礦程序，致使CPU佔用率居高不下。網站

進一步分析，攻擊者利用該蠕蟲程序暴力破解RDP服務、建立用戶名爲DefaultAccount的帳號、修改註冊表、開啓挖礦程序。接着再經過這臺被入侵的機器對互聯網其餘主機進行爆破，進而達到入侵、獲利、持久化等功能。ui

且挖礦蠕蟲的攻擊者具備較強的對抗意識，大部分二進制程序都被製做成了SFXRAR自解壓縮程序（Self Extracting Archives）進行密碼加密，並在執行完功能後，統一由腳本進行清理。阿里雲安全監測到該蠕蟲最先出現於2017年11月，持續時間長達1年多。阿里雲

這次RDPMiner事件中，攻擊ip來源地伊朗、美國、中國基本持平。因爲中國的入侵ip很大部分是因爲主機被入侵以後變成繼續攻擊的肉雞，故最初發起攻擊的ip以伊朗和美國居多。
加密

RDPMiner蠕蟲攻擊及傳播流程解析url

惡意程序示意圖debug

以下圖所示：攻擊者在成功控制一臺機器後，爲進行下一輪的RDP爆破攻擊，首先會在該機器的c:usersadministratordesktop目錄下，植入並運行名爲sector-v1.exe的多功能惡意程序工具包。工具包中的程序都進行了sfxrar加密，須要輸入密碼才能正常運行。

惡意工具包運行界面

根據進程啓動記錄，攻擊者使用了工具包中的c-f 4 reza，從http://111.63.225.242:8082//c-f4r.exe下載了並運行了c-f4r.exe，釋放出d-f.exe、m-r.exe、res.exe和A-C-M.exe等多個可執行惡意程序。這裏的下載源服務器111.63.225.242與諸多入侵事件相關，根據abuseipdb網站的ip濫用記錄，111.63.225.242曾屢次被用戶舉報涉及攻擊行爲，值得關注。

而多個惡意程序中的A-C-M.exe在運行以後，又將進一步釋放svchost.exe、ds.exe、nl.exe、user.txt、pass.txt、backdoor-reg-nl-restart.bat等惡意程序、惡意腳本和配置文件。

其中，svchost.exe執行時，一方面釋放及啓動挖礦程序serverGui.exe，另外一方面執行下圖腳本中所示命令添加前文用戶反饋的DefaultAccount惡意帳號，並經過操做註冊表將自身添加到Windows系統啓動項中，達到持久化攻擊的目的。

svchost.exe文件生成示意圖

而nl.exe原名爲NLBrute.exe，是一款最先由俄羅斯人開發的Windows系統3389爆破軟件。攻擊者使用它來達到傳播蠕蟲，進一步擴大攻擊範圍的目的。

RDPMiner活動時間線

如上圖所示，從2017年11月開始攻擊者便開始採用各類工具進行爆破、挖礦攻擊，使用過的掃描工具除了nl.exe(NLBrute)以外，還有kportscan3.exe等。一樣地，爲了逃避雲上惡意程序的查殺，攻擊者用來挖礦的工具也經歷了至少兩輪迭代。

挖礦工具名稱變化時間線

儘管攻擊者使用的挖礦工具名稱、哈希值不斷變化，但本質上都是開源挖礦軟件xmrig通過修改而成，所以使用方式與xmrig十分類似。

RDPMiner各模塊功能

入侵：RDP暴力破解

經過A-C-M.exe釋放出以下文件，程序啓動後會調用nl.exe，該程序更爲普遍使用的名稱是NLBrute，專門用於對3389端口進行爆破。

A-C-M.exe運行釋放文件

如圖所示，程序啓動後會加載文件Part1到Part17所存儲的IP地址，去重後共計427975個，去重後爲427934個IP，nl.exe會加載這些IP地址然後持續對外爆破半個小時，結束後調用backdoor-reg-nl-restart對程序和IP地址簿進行刪除，在主機上不留下任何痕跡，因爲該類動做，使得該類樣本難以發現。

獲利：挖礦

攻擊者經過A-C-M.exe釋放svchost.exe（路徑爲：C:/Windows/debug/svchost.exe），然後svchost.exe釋放ServerGUi.exe（路徑爲：C:/Users/Administrator/AppData/Local/Temp/2/ServerGUi.exe）進行挖礦，該程序基於xmrig修改，挖礦支持指令以下所示：

當前攻擊者錢包地址在某挖礦平臺上的日平均Hash Rate約25KH/s，目前全網數千臺機器正在鏈接該礦池，這個挖礦速率意味着攻擊者本次挖礦每日收益僅爲約8.73美圓，側面說明在現在幣價狂跌的背景下，入侵挖礦的收益再也不像過去那樣誘人。攻擊者仍然樂此不疲，對用戶而言傷害不減。

攻擊者錢包地址在supportxmr.com礦池的記錄

對抗與維持：建立RDP帳號、註冊表操做與痕跡清理

爲了對抗安全人員的分析，攻擊者對所有文件進行了SFX加密而且都設置了密碼，經過運行時自解壓將文件釋放出並運行相關的腳本文件，如圖所示是A-C-M.exe文件中的SFX腳本命令，當程序解密後會運行nl.exe文件和執行backdoor-reg-nl-restart腳本。

;The comment below contains SFX script commands

Path=C:UsersAdministratorDesktop
Setup=nl.exe
Setup=backdoor-reg-nl-restart
Overwrite=1
Silent=1

前文提到，攻擊者運行nl.exe，經過RDP服務爆破入侵以後，會經過Opppps.bat腳本添加DefaultAccount帳號。而爲了不帳號被用戶發現並刪除，svchost.exe還會運行「cmd /c REG add HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v」將自身運行加到自啓動項裏。

此外爲避免程序運行時Windows UAC彈框引發用戶察覺，該惡意程序還包含了以下圖所示的註冊表命令，設置"EnableLUA"註冊表項以及關閉Windows自帶的防火牆。

而當執行完對外掃描任務、註冊表修改等任務後，會執行backdoor-reg-nl-restart腳本，結束相關進程和清理程序釋放的文件。因爲對外3389端口掃描設定了時間1800秒（半小時）或3600秒（一小時），因此該類樣本較難進行捕獲。如圖所示，是backdoor-reg-nl-restart腳本。

start taskmgr
net user administrator /active:no
...
timeout 1800
DEL /F /Q "C:Windowsdebuguser.reg"
DEL /F /Q "C:Windowsdebugta.reg"
DEL /F /Q "C:WindowsdebugDwd.reg"
taskkill /im nl.exe /f
taskkill /im nl.exe /f
taskkill /im nl.exe /f
DEL /F /Q "C:Users%username%Desktopnl.exe"
DEL /F /Q "C:Users%username%Desktopnl.exe"
DEL /F /Q "C:Users%username%Desktopnl.exe"
DEL /F /Q "C:Users%username%Desktoppass.txt"
DEL /F /Q "C:Users%username%Desktopuser.txt"
DEL /F /Q "C:Users%username%Desktopsettings.ini"
taskkill /im A-C-M.exe /f
DEL /F /Q "C:Users%username%DesktopA-C-M.exe"
DEL /F /Q "C:Users%username%Desktoppart1.txt"
DEL /F /Q "C:Users%username%Desktoppart2.txt"
...
DEL /F /Q "C:Users%username%Desktoppart17.txt"
echo HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options [1]>>temp.ini
regini temp.ini
del temp.ini
net user administrator /active:yes
DEL "%~f0"