快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

黑客行使病毒挖门罗币,已获利60余万

1、 概述

近日,火绒安全团队截获一批蠕虫病毒。这些病毒通过U盘、挪移硬盘等挪移介质及收集驱动器传播,入侵电脑后,会遥程下载各类病毒模块,以攫取利益。这些被下载的有盗号木马、挖矿病毒等,并且已经获得约645个门罗币(合60余万人民币)。这种新蠕虫病毒还在不断更新,未来可能发动更大规模的攻击。

该病毒早在2014年就已出现,并在国内外不断流窜,国外传播量遥超于国内。据”火绒威胁情报体系”监测显示,从2018年最先,该病毒在国内呈现出迅速爆发的威胁态势,并且近期还在不断传播。

火绒工程师发现,该病毒通过可挪移存储设备(U盘、挪移硬盘等)以及收集驱动器等方式进行传播。被该蠕虫病毒感染后,病毒会将挪移设备、收集驱动器内的原有文件隐躲起来,并创建了一个与磁盘名称、图标完全相同的快捷方式,引诱用户点击。用户一旦点击,病毒会立即运行。

病毒运行后,起首会通过C&C遥程服务器返归的控制命令,将其感染的电脑进行分组,再针对性的获取相应的病毒模块,执行盗号、挖矿等损坏举动。

病毒作者十分谨慎,将蠕虫病毒及其下载的整个病毒模块,都使用了混淆器,很难被安全软件查杀。同时,其下载的挖矿病毒只会在用户电脑空暇时进行挖矿,并且占用CPU资源很低,隐蔽性无比强。

不仅云云,该病毒还会删除被感染设备或收集驱动器根目录中的可疑文件,以保障只有自身会进入用户电脑。因而可知,该病毒以长期盘踞用户电脑来图利为目的,往后不排除会遥程派发其他恶性病毒(如勒索病毒)的可能。

image (1).png“火绒安全软件”无需升级即可拦截并查杀该病毒。

二、 样本阐发

近期,火绒截获到一批蠕虫病毒样本,该病毒首要通过收集驱动器以及可挪移存储设备进行传播。该病毒在2014年先后首次出现,起初病毒在海外传播量较大,在国内的感染量十分有限,黑客漏洞,在进入2018年以后国内感染量迅速上升,逐渐呈现出迅速爆发的威胁态势。该病毒代码执行后,会根据遥程C&C服务器返归的控制命令执行指定恶意逻辑,甚至可以直接派发其他病毒代码到内陆计算机中进行执行。现阶段,我们发现的被派发的病毒程序包括:挖矿病毒、盗号木马等。病毒恶意代码运行与传播流程图,以下图所示:

image (2).png

病毒恶意代码运行与传播流程图

该病毒所使用的C&C服务器地址众多,且至今仍旧在随着样本不断进行更新,我们仅以部分C&C服务器地址为例。以下图所示:

image (3).png

C&C服务器地址

该病毒会将自身拷贝到可挪移存储设备以及收集驱动器中,病毒程序及脚本分别名为DeviceConfigManager.exe以及DeviceConfigManager.vbs。被该病毒感染后的目录,以下图所示:

image (4).png

被该病毒感染后的目录(上为可挪移存储设备,下为收集驱动器)

火绒截获的蠕虫病毒样本既其下载的其他病毒程序整个均使用了相同的混淆器,此处对其所使用的混淆器进行统一阐发,下文中再也不赘述。其所使用的混淆器会使用大批无心义字符串或数据调用不同的体系函数,使用此要领达到其混淆目的。混淆器相干代码,以下图所示:

image (5).png

混淆代码

混淆器中使用了大批与上图中类似的垃圾代码,而用于还原加载原始PE镜像数据的症结逻辑代码也被穿插在这些垃圾代码中。还原加载原始PE数据的相干代码,以下图所示:

image (6).png还原加载原始PE镜像数据的相干代码

上述代码运行实现后,会调用加载原始PE镜像数据的相干的代码逻辑。加载原始PE镜像数据的代码,起首会获取LoadLibrary、GetProcAddress函数地址及当前进程模块基址,以后借此获取其他症结函数地址。解密后的相干代码,以下图所示:

image (7).png

解密后的加载代码

原始PE镜像数据被使用LZO算法(Lempel-Ziv-Oberhumer)进行压缩,经过解压,再对原始PE镜像进行捏造映照、修复导入表及重定位数据后,即会执行原始恶意代码逻辑。相干代码,以下图所示:

image (8).png

调用解压缩及捏造映照像关代码

蠕虫病毒

该病毒总体逻辑分为两个部分,分别为传播以及后门逻辑。该病毒的传播只针对可挪移存储设备以及收集驱动器,被感染后的可挪移存储设备或收集驱动器根目录中会被开释一组病毒文件,并通过引诱用户点击或行使体系自动播放功能进行启动。蠕虫病毒通过遍历磁盘进行传播的相干逻辑代码,以下图所示:

image (9).png

遍历磁盘传播

被开释的病毒文件及文件描摹,以下图所示:

image (10).png

被开释的病毒文件及文件描摹

蠕虫病毒会通过在病毒vbs脚本中随机插入垃圾代码方式匹敌安全软件查杀,被开释的vbs脚本起首会关闭当前资源治理器窗口,以后关上磁盘根目录下的”_”文件夹,最后执行病毒程序DeviceConfigManager.exe。开释病毒vbs脚原形关逻辑,以下图所示:

image (11).png

开释病毒vbs脚原形关逻辑

除了开释病毒文件外,病毒还会根据扩台甫删除磁盘根目录中的可疑文件(删除时会将自身开释的病毒文件排除)。被删除的文件后缀名,以下图所示:

image (12).png

被删除的文件后缀名

病毒在开释文件的同时,还会将根目录下的所有文件整个挪移至病毒创建的”_”目录中。除了病毒开释的快捷方式外,其他病毒文件属性均被配置为隐躲,在用户关上被感染的磁盘后,只能看到与磁盘名称、图标完全相同的快捷方式,从而诱骗用户点击。快捷方式指向的文件为DeviceConfigManager.vbs,vbs脚本功能如前文所述。通过这些手段可以使病毒代码执行的同时,绝可能不让用户有所察觉。

image (13).png

被开释的病毒文件列表

蠕虫病毒开释的快捷方式,以下图所示:

image (14).png

蠕虫病毒开释的快捷方式

该病毒的后门逻辑会通过与C&C服务器进行IRC通信的方式进行,恶意代码会根据当前体系环境将当前受控终端加入到不同的分组中,再通过分组通信对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括:说话地区信息、当前体系平台版本为x86或x6四、当前用户权限等。后门代码中最首要的恶意功能为下载执行遥程恶意代码,再借助病毒创建的自启动项,使该病毒可以常驻于用户计算机,且可以向受控终端推送的任意恶意代码进行执行。病毒起首会使用用户的说话地区信息以及随机数生成用户ID,以后向C&C服务器发送NICK以及USER通信命令,随机的用户ID会被注册为NICK通信命令中的名字,该操作用于受控终端上线。相干代码,以下图所示:

image (15).png

受控终端上线相干代码

通过上图我们可以看到,病毒所使用的C&C服务器列表中域名以及IP地址众多,其中很大一部分都为无效域名以及地址,首要用于迷惑安全研究人员。在受控端上线后,就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的体系环境将当前受控终端进行分组,分组依据包括:说话地区信息、当前用户权限、体系平台版本信息(x86/x64)。除此之外,病毒还可以行使控制命令通过走访IP查询网站(http://api.wipmania.com)严格制约下发恶意代码的传播范围。首要控制命令及命令功能描摹,以下图所示:

image (16).png

首要控制命令及命令功能描摹

首要后门控制相干代码,以下图所示:

image (17).png

后门控制代码

病毒会将遥程要求到的恶意代码开释至%temp%目录下进行执行,文件名随机。相干代码,以下图所示:

image (18).png

下载执行遥程恶意代码

挖矿病毒

病毒下发的恶意代码众多,我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后,会在电脑运算资源闲置时挖取门罗币,对于普通用户来说其挖矿举动很难被察觉。 在本次火绒所截获到的样本中,我们发现,病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比,以下图所示:

image (19).png

混淆器代码对比图(左为被下发到终端的挖矿病毒、右为蠕虫病毒)

挖矿病毒原始恶意代码运行后,会将病毒自身复制到C:\Users\用户名\AppData\Roaming\svchostx64.exe地位,并创建计划义务每一分钟执行一次。病毒会创建互斥量,通过检测互斥量,可以保障体系中的病毒进程实例唯一。以后,病毒会使用挖矿参数启动自身程序,再将挖矿程序(XMRig)PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒举动沙盒中挖矿病毒举动,以下图所示:

image (20).png

挖矿病毒举动

如上图所示,挖矿参数中制约挖矿程序CPU占用率为3%,并且会通过检测体系闲置信息的方式不断检测CPU占用率是否过高,要是过高则会重新启动挖矿进程。通过遍历进程检测义务治理器进程(Taskmgr.exe)是否存在,要是存在则会休止挖矿,待义务治理进程退出后继续执行挖矿逻辑。病毒通过上述要领提高了病毒自身的隐蔽性,保障病毒可以绝可能的长时间驻留于被感染的计算机中。相干代码,以下图所示:

image (21).png

挖矿逻辑控制代码

虽然病毒严格控制了挖矿效劳,然则由于该病毒感染量较大,统共挖取门罗币约645个,以门罗币当前价格计算,合人民币60余万元。病毒使用的门罗币钱包账户交易信息,以下图所示:

image (22).png

病毒使用的门罗币钱包账户交易信息

3、 附录

文中触及样本SHA256:

image (23).png *

您可能还会对下面的文章感兴趣: