一个月更新六次的病毒 到底有多厉害

　　8月27日，瑞星安全研究院率先捕获到知名挖矿木马病毒“DTLMiner”的最新变种，这已经是该病毒在8月份的第六次更新。新版本的“DTLMiner”不仅盗取了更多的用户信息，还能够同时运行两个不同的挖矿程序，最大化压榨受害者电脑性能，为攻击者牟取利益。

　　此前，瑞星已经不止一次报道过“DTLMiner”的危害，该病毒最早是黑客利用“永恒之蓝”漏洞传播，通过某软件升级模块进行大范围投放的。在瑞星安全研究院的持续关注下发现，该病毒更新频率极快，从2018年底至今，已更新了近20次之多，可见攻击者在不遗余力的躲避查杀和拦截，且攻击手法也越来越恶劣。

　　2018年12月14日 至2019年8月27日 “DTLMiner”挖矿木马更新时间线：

　　此番“DTLMiner”有了巨大变化，该版本会根据电脑系统位数执行不同版本的挖矿程序，对使用AMD Radeon显卡并且操作系统是64位的电脑 “格外照顾”，会同时运行两个不同的挖矿程序，并且通过盗取受害者电脑内包括开机时间、当前日期、显卡信息、U盘和网络磁盘等隐私信息，最大程度来压榨受害者电脑，为攻击者带来更多的不法利益。

　　目前，瑞星旗下所有产品均可查杀最新的“DTLMiner”，广大用户可升级至最新版本，对该病毒进行防御。同时由于该病毒未来可能造成巨大的影响，瑞星安全专家给出以下建议：

　　1.安装永恒之蓝漏洞补丁和“震网三代”(CVE-2017-8464)漏洞补丁，防止病毒通过漏洞植入;

　　2.系统和数据库不要使用弱口令账号密码;

　　3.多台机器不要使用相同密码，病毒会抓取本机密码，攻击局域网中的其它机器;

　　4.安装安全有效的杀毒软件，保持防护开启。

　　图：瑞星ESM查杀最新版“DTLMiner”截图

　　瑞星：某软件木马三连更 增加签名躲查杀

　　http://it.rising.com.cn/dongtai/19521.html

　　瑞星率先捕获挖矿木马“DTLMiner” 中毒后仿佛闻到了烧显卡的味道

　　http://it.rising.com.cn/dongtai/19553.html

　　瑞星：一月二更 “DTLMiner”病毒有点狂

　　http://it.rising.com.cn/dongtai/19629.html

　　技术分析

　　修改了上一版本中RDP登录后的窗口大小，从原本的70x70修改到700x700。

　　图：调整RDP窗口大小

　　上一个更新版本中，Mimikatz已经调整为通过下载URL hxxp://down.ackng.com/wf.cab 的压缩包获得，其中包含了RDP登录工具，这次进一步作出优化处理。如果下载下来的Mimikatz模块被杀毒软件清除，则通过 URL hxxp://down.ackng.com/mm.bin 直接让Mimikatz以无文件模式加载进内存。

　　图：让Mimikatz模块以无文件模式加载进内存

　　上一个更新版本中，对每台开放RDP端口的机器的弱口令爆破是无条件的，该版本中病毒作者为其补上了与之前的SMB爆破及MSSQL爆破同样的限制条件——机器未被感染(65529端口未开放)时才尝试。

　　图：为RDP爆破增加限制条件

　　在新版本中作者重新定义了版本号，“v0.1”似乎意味着一切从头开始, 不能保证后续版本不会有较大的变化。

　　图：定义病毒迭代版本号

　　获取更多的用户信息：开机时间、当前日期、显卡信息、U盘和网络磁盘的信息等。

　　图：获取更多用户信息

　　在挖矿程序执行后，通过矿工程序提供的接口hxxp://127.0.0.1:43669/1/summary 获取当前机器总算力数据。

　　图：获取当前挖矿算力

　　值得留意的是，病毒作者曾经在6月19日短暂投放了一个疑似测试性质的脚本，该脚本在启动挖矿模块时尝试将命令行输出流重定向至文件，然后通过读取文件内容获取机器挖矿算力信息。但是该脚本头部并未包含签名，因而在被感染机器上无法执行起来。

　　图：早期脚本获取挖矿算力信息的方法

　　加入文件下载校验，保证文件的完整性。根据系统位数执行不同版本的挖矿程序，此外在最新的版本中还对使用AMD Radeon显卡并且操作系统是64位的机器进行“格外照顾”，将会同时运行两个不同的挖矿程序。

　　图：加入文件校验以及针对AMD显卡的新挖矿程序

　　“DTLMiner”挖矿木马更新时间线

　　时间主要更新内容备注

　　2019.08.27为使用AMD Radeon显卡的64位系统准备了单独的挖矿模块

　　2019.08.26启用挖矿模块内置API，每次脚本执行时访问API获取挖矿算力信息并上报

　　2019.08.22脚本新增获取U盘及网络磁盘的信息并上报，同时对下载来的横向传播及挖矿模块进行MD5校验

　　2019.08.21横向传播模块更新：Mimikatz模块增加无文件模式加载;为RDP爆破增加限制条件，仅在机器未被感染时才尝试;作者将版本号定义为0.1

　　2019.08.15横向传播模块体积大幅缩小，新增利用RDP弱口令爆破传播

　　2019.08.09横向传播模块区分内外网，可能是为将来的内外网差异化攻击做准备

　　2019.07.18横向传播模块新增U盘传播(利用CVE-2017-8464漏洞)

　　2019.06.19作者试图通过命令行输出流重定向至文件，然后读取文件来获取挖矿算力信息并上报该版本的脚本仅存活不到1个小时即被作者从服务器上替换回原来的版本，并且脚本头部没有签名，疑似测试用途

　　2019.06.05更换域名，攻击流程变更，第三阶段的脚本头部增加了签名信息，由第二阶段的脚本在验签通过后执行

　　2019.04.17横向传播模块执行方式彻底转为无文件模式

　　2019.04.03挖矿模块由落地文件执行改为利用PowerShell进行内存加载

　　2019.04.01横向传播模块执行方式新增基于PowerShell的无文件模式，与落地文件执行方式并存

　　2019.03.28更新横向传播模块，该模块在当前版本使用以下攻击方式：永恒之蓝漏洞攻击、SMB弱口令攻击、MSSQL弱口令攻击

　　2019.03.27更新挖矿模块，该模块下载显卡驱动来提升挖矿效率

　　2019.02.25横向传播模块新增MSSQL弱口令攻击，同时扩充弱密码字典

　　2019.01将横向传播模块安装为计划任务，横向传播模块新增使用Mimikatz抓取密码以及SMB弱口令攻击;新增挖矿模块

　　2018.12.19新增PowerShell后门

　　2018.12.14初始版本，供应链攻击，利用“驱动人生”升级模块投放，使用永恒之蓝漏洞传播

　　IOC

　　MD5:

　　abcc20b2de0b18c895b94d2c23c0bc63

　　a48ea878f703c32ddac33abc6fad70d3

　　9e72de890eeb784a875ef57b85b3ee1d

　　e2ed6568626e696de58f13b2aa26243d

　　URL:

　　hxxp://down.ackng.com/mm.bin

（免责声明：中国青年网转载此文目的在于传递更多信息，不代表本网的观点和立场。文章内容仅供参考，不构成投资建议。投资者据此操作，风险自担。）