Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网络

释放双眼,带上耳机,听听看~!
Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网络      近日,360互联网安全中心监测到流行蠕虫家族Bondat的感染量出现一轮小爆发。在这次爆发中,Bondat利用受害机器资源进行门罗币挖矿,并组建一个攻击WordPress站点的

Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网络

       近日,360互联网安全中心监测到流行蠕虫家族Bondat的感染量出现一轮小爆发。在这次爆发中,Bondat利用受害机器资源进行门罗币挖矿,并组建一个攻击WordPress站点的僵尸网络。根据360网络安全研究院对此次Bondat蠕虫爆发时使用的控制端域名bellsyscdn.comurchintelemetry.com的监控数据来看,Bondat蠕虫此次爆发至少影响15000台个人电脑。

1.png

1 Bondat蠕虫控制端域名bellsyscdn.comurchintelemetry.com访问量变化趋势

       Bondat蠕虫最早出现在2013年,是一个能够执行控制端下发的任意指令的“云控”蠕虫家族。Bondat蠕虫一般通过可移动磁盘传播,并依靠一个JS脚本完成信息收集、自我复制、命令执行、构建僵尸网络等多项任务。

下图展示了被感染的U盘情况。

2.jpg

 

2展示了Bondat蠕虫的简单工作原理。

3.jpg

3 Bondat蠕虫的简单工作原理

 

门罗币挖矿

        早期的Bondat蠕虫主要通过修改浏览器主页获利。随着加密数字货币的兴起,Bondat蠕虫也涉足加密数字货币挖矿领域。在3月底的这次爆发中,Bondat蠕虫通过控制端下发门罗币挖矿代码并在受害者计算机上运行。图3展示了控制端下发的门罗币挖矿代码。

4.png

4 Bondat蠕虫控制端下发的门罗币挖款代码

         可以看到,Bondat蠕虫会根据用户计算机的实际情况使用Chrome浏览器、Firefox浏览器或Edge浏览器的其中之一后台访问hxxps://xmrmsft.com/hive.html进行挖矿。该页面中嵌入了基于Coin-hive的挖矿脚本,Bondat蠕虫实际上借助了用户的浏览器进行门罗币挖矿。

5.png

5 hxxps://xmrmsft.com/hive.html页面中嵌入的挖矿脚本

       有趣的是,Bondat蠕虫不同于其他挖矿僵尸网络直接将挖矿木马植入用户计算机中,而是以不显示窗口的方式通过浏览器访问指定网页进行挖矿,其收益相比较直接植入挖矿木马要低非常多。由于Bondat蠕虫主要在PC间传播,PC用户对于计算机的操作频率较高,通过浏览器挖矿相比较直接植入挖矿木马隐蔽性更高,这可能也是攻击者如此选择的原因。

       Bondat蠕虫主要通过可移动磁盘传播,并借助可移动磁盘中的文件隐蔽自身。Bondat蠕虫会检索可移动磁盘中特定格式的文件(例如docjpg),在创建与这些文件同名的快捷方式的同时隐藏这些文件,而这些快捷方式指向Bondat蠕虫的启动器Drive.bat。当用户使用可移动磁盘时,极有可能将这些快捷方式误认为为正常文件,进而导致Bondat蠕虫的执行。图5展示了被用于隐蔽Bondat蠕虫的文件格式。

6.png

6 被用于隐蔽Bondat蠕虫的文件格式

         Bondat蠕虫也会与杀毒软件进行对抗,最显而易见的就是其对主体JS脚本代码进行大量混淆,这不仅影响杀毒软件的判断也增加了分析人员的工作量。图6展示了Bondat蠕虫部分代码混淆前后的对比,可以看出原本简单的代码经过混淆后变得相当复杂。

7.png

7 Bondat蠕虫部分代码混淆前后的对比

         此外,Bondat蠕虫还会尝试结束部分杀毒软件和安全软件进程,涉及的软件如图7所示。结束进程同时Bondat蠕虫会弹出一个如图8所示的伪造的程序错误提示框,此时无论用户点击确定或者取消都无法阻止进程结束,并且之后该进程无法再次启动。攻击者的本意可能是想伪造杀毒软件或安全软件异常退出时的假象,让用户误以为确实是这些软件内部出现了问题,但这也非常容易引起用户的怀疑,对于攻击者而言并不是一种明智的做法。

 

8.png

8Bondat蠕虫尝试

9.png

9 Bondat蠕虫结束进程时弹出的窗口

 

构建针对WordPress站点的僵尸网络

       除了门罗币挖矿,我们还发现Bondat蠕虫通过PowerShellhxxp://5.8.52.136/setup.php下载僵尸程序,构建针对WordPress站点的僵尸网络。根据监测数据来看,Bondat蠕虫于413日下发僵尸程序,这要稍晚于此次Bondat蠕虫的爆发时间。

10.png

10 Bondat蠕虫对hxxp://5.8.52.136/setup.php访问量变化趋势图

         setup.php使用多组弱口令对指定的WordPress站点进行登陆爆破,一旦爆破成功则将站点地址以及登陆帐户和密码发送到hxxp://5.8.52.136/put.phpsetup.php进行爆破时使用的帐户名都为“admin”,密码如图10所示。

11.png

11 setup.php进行爆破时使用的密码

         在这一轮爆破攻击中,Bondat蠕虫主要针对以字母“j”开头的WordPress站点。我们推断,Bondat蠕虫可能已经进行了多次针对WordPress站点的爆破攻击。

       此外,Bondat蠕虫下发的僵尸程序还试图在受害计算机上安装PHP格式的后门。僵尸程序从hxxp://5.8.52.136/php.zip下载完整的PHP环境安装在用户计算机中,并生成如图11所示的PHP后门。

12.png

12 Bondat蠕虫生成的PHP后门

         得益于PHP文件的特殊性,Bondat蠕虫安装的PHP后门具有更好的免杀特性。在功能上,该后门同样被用于进行针对WordPress站点的爆破攻击。

 

结语

       各类U盘传播的蠕虫,一直以来都是学校,打印店,各类单位局域网内的“常客”,而Bondat蠕虫除会引发之前常见蠕虫的问题之外,还会大量消耗计算机资源,造成计算机卡慢等问题。Bondat蠕虫在对抗杀软方面,也做了大量工作,比如抛弃直接植入挖矿木马转而选择浏览器挖矿就增加了其隐蔽性。因此用户更需要对此提高警惕。防御这类蠕虫的攻击,主要可以从以下几方面入手:

1.       使用U盘,移动硬盘时应该格外注意,建议使用具有U盘防护功能的安全软件;

2.       发现计算机长时间异常卡顿,可以使用360安全卫士进行扫描体检;

3.       定期对计算机进行病毒木马查杀,防止蠕虫病毒持续驻留。

4.       而对于WordPrees站点管理者而言,使用强度较大的登陆密码,并且及时修补相关漏洞是阻止站点遭到攻击最有效的方法。

 

360安全卫士可以全面拦截和查杀此类木马,使用360安全卫士的用户无需担心。

 

IOC

95.153.31.18

95.153.31.22

bellsyscdn.com

urchintelemetry.com

5.8.52.136/setup.php

5.8.52.136/put.php

5.8.52.136/php.zip

5.8.52.136/get.zip

给TA买糖
共{{data.count}}人
人已赞赏
HackerNews

RSA2018大会开幕 中国安全企业360携核心科技亮相

2018-4-17 4:21:49

HackerNews

避免中兴危局 中国企业的“命门”靠化缘还是创新?

2018-4-18 9:02:40

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索