34

“匿影”挖矿病毒:借助公共网盘和图床隐匿自身

 5 years ago
source link: https://www.freebuf.com/articles/system/196895.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

近期,毒霸安全团队通过“捕风”系统监测到一款在内网中传播的挖矿病毒,该病毒打包了方程式攻击工具包,在内网中利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)进行横向传播,被感染的电脑首先会解析特定URL上的内容,然后进行挖矿(门罗币、BEAM币)、对抗杀软等操作,最终组成其僵尸网络中的一员。

门罗币通常是挖矿病毒的首选,但此次发现的挖BEAM币的病毒,还尚属首例,BEAM主网于北京时间2019年1月3日上线,而这个挖BEAM币的病毒1月10日上线,相差大约了1周的时间,看来黑产也时刻关心着币圈的动态。

不同于以往的僵尸网络,该病毒的C&C服务器,需要通过EmerDNS、Namecoin这类基于区块链的加密货币进行转换,进而得到真实的地址信息,由于这类区块链去中心化、匿名等特点,导致它们无法被某个机构统一关停,危害较大。并且病毒运行中所需要的文件下载、感染上报统计等内容,均由公用网盘(upload.ee)、匿名网盘(anonfiles.com)、图床(thyrsi.com)提供,而非某个固定的IP地址,因而也提升了安全分析人员和自动化分析系统反查的难度。据EmerDNS官网的介绍显示,其宣传自己“完全去中心化,不受任何审查影响。没有人可以修改你的记录,只有记录创建者才能操作记录内容。”

综上,我们给这个病毒命名为“匿影”病毒。

YnQNNrI.jpg!web

技术分析

该病毒关键部分的代码使用了Themida和VMP保护,提高了研究人员逆向分析的难度,所涉及到的域名和服务器均由第三方服务商提供,病毒作者可谓真正做到了零成本的挖矿。

整个病毒的感染运行流程如下:

V32a6zM.jpg!web

该病毒变种众多,我们以其中一个样本为例,首先,被感染电脑的进程会被注入,然后下载以下文件执行:

下载地址 文件名 http://thyrsi.com/t6/673/1550933430×1822614074.jpg smyy.exe http://thyrsi.com/t6/661/1548166332×1822614266.jpg nvidia.exe

nvida.exe是一个挖矿程序,挖的是BEAM币,挖矿指令如下:

<i>C:\Windows\nvidia.exe --server beam.sparkpool.com:2222--key 1b31325a82ad21a39b32944d8099e98c3c3e25c74ec713840bc9b1f24af9fe5efbb</i>

该矿池(星火矿池)钱包地址的收益如下,总共80个BEAM币,目前单个币的价格是5.4元,算下来目前一共收益432元:

7FJB3uB.jpg!web

smyy.exe是一个自解压程序,运行后会释放方程式攻击工具包到C:\ProgramData下,接着从中运行端口扫描工具,扫描局域网中开放了445端口且存在MS17-010漏洞的电脑,最后利用双脉冲星(DoublePulsar)上传植入后门程序x64.dll到目标电脑:

b6ZR7fE.jpg!web

x64.dll做为内网间初始的攻击载荷,运行后会加载自身的模块(资源名称102,文件名称spoolsv.exe),然后去下载chrome.exe执行,chrome.exe执行后又会去访问hxxps:// www.upload.ee/files/9524426/6.txt.html ,此处的主要目的为统计感染量,之后释放出以下4个文件:

文件名 用途 kuaizip.ini RC4加密的文件 kuaizipUpdateChecker.exe 解密执行kuaizip.ini lasss.exe the Non-Sucking Service Manager 2.24 cty.ini 统计文件

文件释放完成后,chrome.exe利用lasss.exe,往系统中添加、启动服务kuaizipUpdate,主要目的为确保每次开机时都能运行kuaizipUpdateChecker.exe:

bMNvamr.jpg!web

kuaizipUpdateChecker.exe运行后,会去解密运行kuaizip.ini,该文件为RC4加密,解密秘钥为:uwrhftyuyjfhgdfsdrtyuyuiyw5erdsf8oyukjg,解密运行的文件又会释放出以下3个文件:

文件名 用途 retboolDriver.sys 对抗杀软,结束进程 chromme.exe 门罗币挖矿程序 svchost.exe 注入svchost,下载文件

其中retboolDriver.sys这个驱动的主要目的是根据指令,结束杀软的进程,保护程序不被杀软所查杀,以下是被针对结束的杀软进程列表:

aEneUn6.jpg!web

结束完杀软进程后,svchost.exe会打开以下网页,读取上面加密保存的配置信息,用于后续挖矿所需要的配置和注入所用:

https://explorer.emercoin.com/nvs//abcxmr//25/1/1

https://explorer.emercoin.com/nvs//abcxzz//25/1/1

https://namecha.in/name/d/abcxmr

https://namecha.in/name/d/abcxzz

https://namecoin.cyphrs.com/name/d/abcxmr

https://namecoin.cyphrs.com/name/d/abcxzz

NZ3yiiB.jpg!web

每一次的修改,都会留下历史记录,从记录上来看,作者也是经常变换信息,而这些留下的历史记录,反而很好的保留了每一次修改的配置信息:

6fuEvy2.jpg!web

接下来,chromme.exe则开始根据上边页面上的指令,进行门罗币的挖矿,本样本的挖矿指令如下:

<i>C:\ProgramData\chromme.exe -a cryptonight -o stratum+tcp://xmr-eu1.nanopool.org:14444-u47MaAgoAgcB6RuwSZSjYWFVncdhjSQ82s4fyepLQJ92qQHXrpoRSBDGTAtxf12VAYeZ2fiY6vqpZqfx2tpeN2HtjAJX56Ak-p x</i>

作者之所以在不断的更换矿池地址,是因为部分矿池会检测、封禁使用僵尸网络来进行挖矿的账户,例如作者曾使用的minexmr矿池就因这个原因封禁了他的账户:

ZNj6Fru.jpg!web

目前更换的新矿池是nanopool,截止目前(2月28日)收益并不高,只有0.6XMR(约合202元人民币):

QVzAB3Z.jpg!web

最后,svchost.exe会打开并注入一个指定的系统进程,会被注入的进程有:svchost、cmd、mstsc、wscript、write、notepad。注入完成后,就又回到了最开始的步骤,重复着在局域网中相互传播开,至此,整个的感染和传播过程完毕。

下图为被感染的用户反馈:

YjyeYvU.jpg!web

对于该病毒的手工清理方式,主要为:

1.系统服务里找到KuaizipUpdate这一项,然后删掉它;

2.C:\Windows\Temp目录下删除retboolDriver.sys和svchost.exe;

3.C:\ProgramData下,删除除文件夹外的所有文件;

4.删除C:\ProgramData\storage目录;

5.删除C:\ProgramData\Resources目录;

6.删除C:\ProgramData\dll目录;

7.安装修复MS17-010补丁。

IOC

MD5:

b4068638ed47a2c994429e8db528f753

d0912abc4fbf574590d48224c5f9e635

658969a89744da2fc6b74c8c67075610

b17a89181b34cd70323dd089ea803b69

4334e755126f36f9dad072ed1274081a

f1882b580abe5d880209bbf7e55c699a

175c9886e781fa1985fe086bd4968b9b

6edccdbb82f0b62bb3c84a79931a7ffe

346ea38247bbee7184a46fdb68f84e1e

51976485610903e4c01dbdea617ca341

URL:

https://www.upload.ee/files/9520065/6.txt.html

http://thyrsi.com/t6/668/1549457447×2890202791.jpg

http://thyrsi.com/t6/667/1549340535×2890202785.jpg

https://anonfiles.com/O4idO4s2be/yyy_jpg

http://thyrsi.com/t6/661/1548168297×1729546401.jpg

https://anonfiles.com/s4x8k6qdb2/A_JPG

https://www.upload.ee/files/9407375/A.JPG.html

https://www.upload.ee/files/9407094/nvidia.jpg.html

https://anonfiles.com/x9Gcj6q8b4/nvidia_jpg

http://thyrsi.com/t6/661/1548166332×1822614266.jpg

https://www.upload.ee/files/9524558/yyy.jpg.html

https://www.upload.ee/files/9627074/33.txt.html

https://www.upload.ee/files/9627079/33.txt.html

https://anonfiles.com/w060Rfu8bd/yhzl_jpg

https://www.upload.ee/files/9612530/yhzl.jpg.html

https://anonfiles.com/afybRbufb7/8888_jpg

https://anonfiles.com/x9Gcj6q8b4/nvidia_jpg

https://www.upload.ee/files/9407094/nvidia.jpg.html

http://thyrsi.com/t6/673/1550933430×1822614074.jpg

http://thyrsi.com/t6/673/1550932553×2728294202.jpg

PDB信息:

D:\正在测试的\最新开发版\永恒之蓝完整包城通网盘版\C++DLL释放运行EXEBAK支持64位\C++DLL释放运行EXEBAK\Release\x64\RunResExe.pdb

*本文作者:安全豹,转载请注明来自FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK