近期，火絨安全團隊截獲蠕蟲病毒”RoseKernel”。該病毒可通過遠程暴力破解密碼等多種手段全網傳播。病毒入侵電腦後，會同時執行”挖礦”（門羅幣）、破壞Windows簽名校驗機制、傳播後門病毒等系列惡意行為。

一、 概述

由於病毒會對同一網段的終端同時暴力破解密碼，對局域網等機構用戶（政府、企業、學校、醫院）危害極大，截至到發稿前，已有數万台電腦被感染。目前”火絨產品（個人版、企業版）”最新版即可查殺該病毒。

該蠕蟲病毒通過移動外設（U盤等）、劫持Office快捷方式傳播、遠程暴力破解密碼三類方式進行傳播：

1、通過外設傳播時，病毒會將外設內的原有文件隱藏，並創建一個與隱藏文件完全相同的快捷方式，誘導用戶點擊後，病毒會立即運行；

2、通過劫持Office快捷方式傳播後，病毒會劫持Word和Excel快捷方式，讓用戶新建的文檔帶有病毒代碼。當用戶將這些文檔發送給其他用戶時，病毒也隨之傳播出去；

3、通過遠程暴力破解密碼傳播。病毒入侵電腦後，還會對其同一個網段下的所有終端同時暴力破解密碼，繼續傳播病毒。

由於病毒通過文檔、外設等企業常用辦公工具傳播，加上病毒入侵電腦後會對其同一個網段下的所有終端同時暴力破解密碼，因此政府、企業、學校、醫院等局域網機構面臨的威脅最大。

病毒入侵電腦後，會竊取數字貨幣錢包，還會利用本地計算資源進行”挖礦”（門羅幣），並結束其它挖礦程序，以讓自己獨占計算機資源，使”挖礦”利益最大化。此外，病毒會破壞Windows簽名校驗機制，致使無效的簽名驗證通過，迷惑用戶，提高病毒自身的隱蔽性。”RoseKernel”病毒還帶有後門功能，病毒團伙可通過遠程服務器隨時修改惡意代碼，不排除未來下發其它病毒模塊到本地執行。

建議受威脅較大的機構用戶盡快使用”火絨企業版”（可免費試用3個月）進行全盤掃描，檢查企業內終端是否受到病毒攻擊。

二、 樣本分析

火絨近期截獲到一組蠕蟲病毒樣本，該病毒通過暴力破解方式遠程創建WMI腳本，病毒中含有遠控功能，可以下發任意模塊到本地執行，目前危害有：竊取數字貨幣錢包，利用本地計算資源進行挖礦（門羅幣），不排除未來下發其他病毒模塊到本地執行的可能性。病毒模塊及功能，如下圖所示：

模塊介紹

在這裡將該病毒分為rknrl.vbs模塊和DM6331.TMP 模塊來分別敘述。

rknrl.vbs模塊

rknrl.vbs可以看做是一個加載器，DM6331.TMP是經過加密的VBS代碼，它會讀取DM6331.TMP後執行，經過解密後DM6331.TMP是病毒的主要功能模塊，該模塊功能會在後邊詳細敘述。如圖所示，解密後的”aB”函數是病毒的主要解密函數，大部分被加密的字符串都會使用該函數進行解密，後文不再贅述。在這裡病毒作者將加載器和被加密的病毒代碼分為2個文件目的是為了躲避殺軟的特徵查殺。解密流程，如下圖所示：

代碼解密

DM6331.TMP模塊

DM6331.TMP模塊是該病毒的主要模塊，由於功能較多，將會分成9個部分介紹：後門代碼、組件升級、隱藏挖礦、盜竊數字貨幣錢包、簽名重用攻擊、結束其他挖礦程序、劫持Office組件快捷方式、U盤感染、遠程暴力破解創建WMI腳本。

後門代碼

首先調用”Getini”函數獲取一個可用的C&C服務器地址，該內包含：病毒和挖礦程序的下載地址、礦池錢包地址、還有遠控C&C服務器地址。在獲取網站內容後它會調用”chkorder”執行遠控命令。”chkorder”函數包含下載、上傳、刪除任意文件，當前腳本環境中執行任意vbs代碼，啟動cmd並獲取回顯，獲取進程列表信息，結束任意進程等功能。相關代碼，如下圖所示：

獲取遠控地址

遠程後門指令

遠控功能代碼

組件升級

DM6331.TMP 模塊會在WMI中註冊名為”rknrlmon”的腳本，該腳本每間隔8秒會啟動執行一次，用來獲取C&C服務器遠控指令，獲取的內容經過解析後用作病毒和挖礦程序升級使用。相關代碼，如下圖所示：

版本升級

隱藏挖礦

“rknrlmon”腳本還會查看當前環境中是否存在任務管理器，如果存在，則結束挖礦程序，反之執行，從而可以提高病毒的隱蔽性。相關代碼，如下圖所示：

隱藏挖礦程序

盜竊數字貨幣錢包

DM6331.TMP 中的病毒代碼在執行後會遍歷受害者磁盤目錄，用來偷取數字貨幣錢包，感染用戶網站首頁文件，但是會繞過系統目錄和360目錄。在遍歷目錄時發現文件夾下的文件名中包含”wallet”、”electrum”、”.keys關鍵字，且文件大小小於183600個字節，則會將所對應的文件上傳。如果發現文件名中包含”default.html”、”index.asp”等與網站默認頁面相關的文件名時，會在頁面中插入帶有病毒代碼的JavaScript腳本標籤，經過解密後的JavaScript代碼內包含一個指向病毒C&C服務器的鏈接，該鏈接目前已無法訪問，被感染的網頁文件內會被添加”//v|v\\”字符串，作為被感染的標記。相關代碼，如下圖所示：

遍歷用戶目錄

竊取數字貨幣和感染網站首頁

簽名重用攻擊

該病毒通過更改Windows 註冊表方式，破壞Windows簽名校驗機制，從而使其無效的”Microsoft Windows”數字簽名驗證通過。相關代碼，如下圖所示：

破壞Windows簽名校驗機制

感染病毒前後文件數字簽名信息，如下圖所示：

感染前後病毒文件數字簽名信息

結束其他挖礦程序

在啟動挖礦程序後，還會通過WMI遍歷當前進程列表，如果存在”xmrig”、”xmrig-amd”等含有礦工名稱的進程時會結束對應進程。目的是為了獨占計算機資源進行挖礦，擴大挖礦收益。相關代碼，如下圖所示：

結束其他挖礦程序

劫持Office快捷方式

DM6331.TMP 在執行後會將帶有宏的Word文檔（rknrl.TMP1）和Excel文檔（rknrl.TMP2）拷貝到Office目錄下，然後遍歷桌面目錄，在Word與Excel辦公軟件的快捷方式添加命令行參數。相關代碼，如下所示：

劫持Word和Excel快捷方式

被篡改後的快捷方式參數及其解釋，如下圖所示：

當啟動被劫持的快捷方式後，會調用帶有病毒代碼的文檔文件，病毒代碼運行後會在Temp目錄下釋放rknrl.vbs和DM6331.TMP並註冊病毒WMI腳本。因為啟動參數為基於病毒文檔打開，所以當用戶將新建的文檔保存後，文檔中也會帶有病毒代碼，如果用戶將帶有病毒代碼的文檔發送給其他用戶，就會幫助病毒進行傳播。病毒宏代碼，如下圖所示：

釋放病毒

U盤傳播

該病毒會在移動存儲設備中創建與根目錄中文件夾名近乎相同的病毒快捷方式（如果該文件夾名長度不等於一，那麼該病毒會刪除原始文件名最後一個字符，然後以這個名字創建快捷方式），同時將真實的文件夾隱藏，誘導用戶點擊執行病毒。相關代碼，如下圖所示：

U盤傳播代碼

被感染的U盤

WMI弱口令暴力破解

該病毒還可以通過弱口令暴力破解方式遠程創建WMI腳本進行傳播，傳播對像不僅限於局域網還會攻擊互聯網上存在的任意主機。首先會獲取本地IP，之後對同一網段除廣播地址外所有主機進行暴力破解攻擊。之後病毒還會隨機生成一個IP地址，通過同樣的攻擊方式進行外網傳播。相關代碼，如下圖所示：

生成隨機IP地址

WMI弱口令暴力破解

三、 附錄

樣本SHA256