利用log4shell傳播的StealthLoader病毒分析后續
行為分析:
去混淆后可以更清晰的看出程序的邏輯,獲取程序執行的路徑
獲取兩次獲取系統時間作差檢測調試。
創建子線程,休眠 2147367705ms后殺死當前主進程。
嘗試解析“microsoft.com”的ip,如果解析不成功則殺死進程。
一些反調試的操作。
通過子線程獲取一些系統信息包括系統的bios版本,核心名等,在system32目錄下寫入文件并創建系統服務
通過遍歷進程列表找到進程中到的指定程序,然后通過發送代碼直接到指定驅動程序,實際釋放為gmer64.sys程序。
創建互斥體,并創建兩個子線程,一個是對進程中做檢測,另一個是解密并釋放挖礦程序與其配置文件。
Xmrig.exe,具體內容不做分析。
dir.json -- 為配置文件
在注冊表中修改開機啟動項,實現持久化。
解出powershell腳本并通過創建服務實現持久化
總結:
與常規挖礦套路是相似的,都是為了加載最后的挖礦程序以及配置文件,從而指定到賬戶。我們防護時需要把相應啟動的服務全部殺死,并且將注冊表中添加的啟動項以及服務中的相應項刪除,以免重啟機器后自啟;檢查自己的c:\windows\temp 以及C:\windows\systm32目錄下是否有特殊/異常文件,
Ioc:
ec07adfcdf6e3e4a1e84191eb1cf6a91 StealthLoader.exe a822b9e6eedf69211013e192967bf523 gmer64.sys b179749d5bf92bfe3af4cb0c08916ff5 xmrig.exe 9844b2f687e8628c9514ebb67096397a StealthBot.exe hxxp://2.56.59[.]64/setup.exe pool.supportxmr[.]com:443 monerohash[.]com:9999 User address: 4AeriA3wiocD9gUjiw7qptRDfECriZJac8CgGbfUUPUmMSYtLE43dr2XXDN6t5vd1GWMeGjNFSDh5NUPKBKU3bBz8uatDoC
