iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 28
1
Security

鯊魚咬電纜:30天玩Wireshark系列 第 36

[Day 28] 病毒流量分析:Bitcoinminer

耶!倒數3天!

來看看另一種不同類型的病毒吧,今天介紹的就是會偷偷在受害者電腦裡挖虛擬貨幣的挖礦病毒,名字則是「Bitcoinminer」,那我們就來觀察它在執行時會產生怎樣的網路流量吧。

今天介紹的病毒封包來源跟前幾天一樣,首先使用功能列的Statistics>Endpoints,發現這次的封包只有一個外部可疑IP存在,如下圖紅框處。

https://ithelp.ithome.com.tw/upload/images/20180116/201073046S2IoHzqwz.png

接著我們使用「ip.addr==92.243.30.75」的過濾指令,看看這個IP的封包都長得怎樣,而結果發現都是三方交握封包,不然就是利用POST方法送出Request到可疑IP所運行的Server的封包。

https://ithelp.ithome.com.tw/upload/images/20180116/20107304IWJjXaArST.png

既然知道都是走HTTP的封包,我們就下「ip.addr==92.243.30.75 && http」進一步觀察,接著我們就發現其實每次request的封包大小都一樣是99bytes,而reply的封包大小也都一樣是843bytes,很明顯的是在定時與對方Server進行連線,每次傳的封包內容也都是json格式的資料。

https://ithelp.ithome.com.tw/upload/images/20180116/20107304LSvQ6y3bO3.png

看看Request封包的連線時間,可以發現時間間隔雖然不一定,但大約是20左右就會連線一次。

https://ithelp.ithome.com.tw/upload/images/20180116/201073049hMX6h8BzQ.png

接著在第一個封包按下右鍵並Follow>TCP Stream,接著我們發現每次傳送的格式跟內容都是大同小異的,所以我們就直接觀察第一組來回的封包吧,如下圖所示。

https://ithelp.ithome.com.tw/upload/images/20180116/20107304PLscRzldTw.png

首先在HTTP Header就可以發現奇怪的地方,如上圖紅框的地方,一看就知道要懷疑這是經過base64加密後的字串,而拿去解密後可以得到原始字串是「qwerty123.1:x」,雖然不知道這代表的確切含意是什麼,不過暫且猜測是一個身分識別的帳號或是密碼吧。
而在Host的部分,如上圖藍框處,我們可以知道受害者就是一直對這台主機的666 Port發出Request。
在User-Agent的部分更是可以馬上發現這封包一定有問題,如上圖黑框處,正常觀看網頁封包的User-Agent值不可能長的這樣,而也可以從這個值來推測這個病毒用的挖礦程式就是cpuminer 2.2.3。
另外X-Mining-Extensions這個欄位根本也就不是正規HTTP Header該有的欄位,而是挖礦程式自己定義的欄位,如上圖粉紅框處。
而Request傳送的內容是一串json格式的字串,如上圖綠框處,從這串文字我們可以判斷這是該挖礦程式的一個指令。
接著我們看看伺服器回傳的部分,如上圖紫框處,一樣是一串json格式的字串,各欄位代表的則是惡意伺服器回傳回來的指令,如果對欄位中的各項資訊有興趣的話,可以自行至Google參閱挖礦程式相關的說明文件,這邊就不提供連結了。

觀察完所有的HTTP封包,發現除了伺服器reply的json格式中data跟 midstate欄位的字串會有變動外,其他都是一模一樣的,而基於以上所觀察到的數點,我們可以推測這些網路封包是受害者電腦持續在跟惡意的C&C Server伺服器連線,並接受指令以進行挖礦。

如果發現自己的電腦上有HTTP Header很怪異的HTTP封包存在的話,絕對不要大意,仔細檢查一下並清除可能的威脅,就可以避免自己的電腦成為攻擊者的賺錢工具喔。


上一篇
[Day 27] 病毒流量分析:Ardamax keylogger
下一篇
[Day 29] Wireshark漏洞補破網
系列文
鯊魚咬電纜:30天玩Wireshark51

尚未有邦友留言

立即登入留言