木马病毒不仅“黑吃黑”,还会“过河拆桥”。
腾讯智慧安全御见威胁情报中心近日发现一种WannaMiner挖矿木马新变种,其在挖取门罗币(XMR)同时还会下载远控木马,和以往的版本类似,该挖矿木马会查杀其他挖矿木马,以“黑吃黑”的方式保证自己独享系统资源。
值得一提的是,WannaMiner挖矿木马最新变种还会“过河拆桥”,在自身入侵成功后会关闭高危端口,避免其他挖矿木马入侵,达到独享挖矿资源的目的。腾讯电脑管家已实时拦截该挖矿木马的入侵,并提醒广大用户加强防范,及时修复漏洞补丁。
WannaMiner挖矿木马最新变种入侵电脑后,会冒充微软系统文件,关闭Windows防火墙并添加任务自启动,同时释放NSA攻击工具套件,扫描内网445端口横向扩散,并释放远程控制木马,取得系统最高权限,方便不法黑客窃取隐私及执行一切远程管理任务。该木马在释放挖矿模块时,不仅会结束其他挖矿木马进程,还会在确保安装好自身之后,关闭系统的135、137、138、139、445端口,堵上后续挖矿木马侵入的大门,独占挖矿资源。
(图:WannaMiner挖矿木马最新变种释放挖矿模块)
经过腾讯安全技术专家分析发现,该变种除了与早先的MsraMiner家族在漏洞利用和恶意基础设施上高度一致,还跟其他安全厂商今年六月曝光的另一个家族HSMiner如出一辙。因此腾讯智慧安全判断,WannaMiner、MsraMiner、HSMiner实际为同一家族的不同命名,背后为同一黑产团伙。
(WannaMiner与HSMiner的代码高度相似)
通过同源性分析和比对以往的威胁情报,WannaMiner挖矿木马最新变种下载了和HSMiner挖矿木马一样的远程控制模块、使用了与HSMiner挖矿木马有相关性的C2服务器。与此类似,通过溯源分析,发现WannaMiner挖矿木马最新变种与MsraMiner挖矿木马在C2服务器方面也存在复用情况。因此,腾讯智慧安全御见威胁情报中心判断由不同安全团队报告的WannaMiner、MsraMiner与HSMiner挖矿木马,背后的控制者实为同一团伙。
(图:腾讯安全企业级产品御点)
此前,MsraMiner挖矿木马曾在大型僵尸网络Mining Botnet上运行,通过NSA武器库和自带Web Server进行传播,30000台主机受到感染。本次WannaMiner挖矿木马最新变种与其系同一家族。为了避免不必要的损失,腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松建议企业用户安装御点终端安全管理系统,通过终端杀毒和修复漏洞统一管控,以及策略管控等全方位的安全管理功能,方便企业管理者全面了解、管理企业内网安全状况、保护企业安全。