一站式信息安全服务专家
提供安全架构、被动防御、积极防御、威胁情报分析等完整安全服务商
感染量近10万!又一新型挖矿病毒BearMiner来袭
来源: | 作者:xiaoyw | 发布时间: 926天前 | 1950 次浏览 | 分享到:

        近期,深信服安全专家,通过深信服安全感知和终端检测响应平台,结合深信服安全云脑的威胁情报信息,追踪发现了一新型挖矿病毒,主机感染量近10万,中毒主机,多表现为异常卡顿,严重影响主机性能和业务正常运行。深信服将其命名为BearMiner,其中文代号为“灰熊矿业”。其挖矿思路采用了特殊的手段,且相对隐蔽,能绕过当前主流的杀毒软件,并且潜伏多个月。运用的手段包括伪装、加密混淆、自我修改、大文件、可控等


病毒名称:BearMiner

病毒性质:新型挖矿病毒

影响范围:近10万主机感染量

危害等级:高危

查杀难度:

病毒分析

       病毒作者,将其命名为“灰熊矿业”(这也是深信服将此病毒命名为BearMiner的原因)。由此可推断该病毒为国内黑客或黑客组织制作。从病毒版本9.0可见病毒已经迭代超过9个版本。

攻击场景

此次挖矿病毒,其挖矿思路经过精心构思,涉及的病毒模块多,关系相对复杂,其攻击场景大体简化为如下结构:



       其中,Imaging.exe是病毒母体,主要有自我修改、主功能、进程监控、通信四大模块。自我修改模块负责读取程序自身文件然后在其后面加上大量垃圾信息并包含随机数,所以通过MD5对比无法查杀。进程监控模块负责监控进程,在必要时杀死指定进程。主功能模块负责调度各个模块,通过与通信模块配合,完成从云端到本地的命令下发与执行。


       Sadats.dll是通过云端下载得到的文件,被Imaging.exe所加载,负责释放并执行挖矿程序Setring.exe。


Hxxp://miner.gsbean.com/upload/Sadats.jpg并不是一个jpg图片文件,而是一个加密的携带命令信息的文件,某种意义上,就是C&C通道,是这一挖矿病毒的指挥中心。Imaging.exe相当于一个机器人,由Sadats.jpg决定它该做什么、怎么做。


       Hxxp://80.255.3.69/upload/Usdata.txt,同理的,也不是一个txt文本文件,是一个加密了的携带挖矿二进制代码的文件。