• :
  • “匿影”挖矿病毒:借助公共网盘和图床隐匿自身-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [交流讨论] “匿影”挖矿病毒:借助公共网盘和图床隐匿自身

    [复制链接]
  • TA的每日心情
    开心
    2016-8-18 14:27
  • 签到天数: 34 天

    [LV.5]常住居民I

    发表于 2019-3-7 15:32:48 只看该作者
    提交问题
    QQ: 隐藏内容
    毒霸版本: ALL
    操作系统: windows 10 64位

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    若怀疑自己的电脑感染了此病毒,可使用顽固病毒专杀进行查杀修复:http://www.ijinshan.com/zhuansha/wangubingdumuma/
    ——————————————————————————————————————————————
    概况
    近期,毒霸安全团队通过“捕风”系统监测到一款在内网中传播的挖矿病毒,该病毒打包了方程式攻击工具包,在内网中利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)进行横向传播,被感染的电脑首先会解析特定URL上的内容,然后进行挖矿(门罗币、BEAM币)、对抗杀软等操作,最终组成其僵尸网络中的一员。

    门罗币通常是挖矿病毒的首选,但此次发现的挖BEAM币的病毒,还尚属首例,BEAM主网于北京时间2019年1月3日上线,而这个挖BEAM币的病毒1月10日上线,相差大约了1周的时间,看来黑产也时刻关心着币圈的动态。

    不同于以往的僵尸网络,该病毒的C&C服务器,需要通过EmerDNS、Namecoin这类基于区块链的加密货币进行转换,进而得到真实的地址信息,由于这类区块链去中心化、匿名等特点,导致它们无法被某个机构统一关停,危害较大。并且病毒运行中所需要的文件下载、感染上报统计等内容,均由公用网盘(upload.ee)、匿名网盘(anonfiles.com)、图床(thyrsi.com)提供,而非某个固定的IP地址,因而也提升了安全分析人员和自动化分析系统反查的难度。据EmerDNS官网的介绍显示,其宣传自己“完全去中心化,不受任何审查影响。没有人可以修改你的记录,只有记录创建者才能操作记录内容。”

    综上,我们将这个病毒命名为“匿影”病毒
    image1.png

    技术分析
    该病毒关键部分的代码使用了Themida和VMP保护,提高了研究人员逆向分析的难度,所涉及到的域名和服务器均由第三方服务商提供,病毒作者可谓真正做到了零成本的挖矿。
    整个病毒的感染运行流程如下:
    image2.png

    该病毒变种众多,我们以其中一个样本为例,首先,被感染电脑的进程会被注入,然后下载以下文件执行:
      
    下载地址
      
    文件名
    http://thyrsi.com/t6/673/1550933430x1822614074.jpg
    smyy.exe
    http://thyrsi.com/t6/661/1548166332x1822614266.jpg
    nvidia.exe

    nvida.exe是一个挖矿程序,挖的是BEAM币,挖矿指令如下:
    C:\Windows\nvidia.exe --server beam.sparkpool.com:2222--key 1b31325a82ad21a39b32944d8099e98c3c3e25c74ec713840bc9b1f24af9fe5efbb

    该矿池(星火矿池)钱包地址的收益如下,总共80个BEAM币,目前单个币的价格是5.4元,算下来目前一共收益432元:
    image3.png

    smyy.exe是一个自解压程序,运行后会释放方程式攻击工具包到C:\ProgramData下,接着从中运行端口扫描工具,扫描局域网中开放了445端口且存在MS17-010漏洞的电脑,最后利用双脉冲星(DoublePulsar)上传植入后门程序x64.dll到目标电脑:
    image4.png

    x64.dll做为内网间初始的攻击载荷,运行后会加载自身的模块(资源名称102,文件名称spoolsv.exe),然后去下载chrome.exe执行,chrome.exe执行后又会去访问hxxps://www.upload.ee/files/9524426/6.txt.html,此处的主要目的为统计感染量,之后释放出以下4个文件:
      
    文件名
      
    用途
    kuaizip.ini
    RC4加密的文件
    kuaizipUpdateChecker.exe
    解密执行kuaizip.ini
    lasss.exe
    the Non-Sucking Service Manager 2.24
    cty.ini
    统计文件

    文件释放完成后,chrome.exe利用lasss.exe,往系统中添加、启动服务kuaizipUpdate,主要目的为确保每次开机时都能运行kuaizipUpdateChecker.exe:
    image5.png
    image6.png
          
    kuaizipUpdateChecker.exe运行后,会去解密运行kuaizip.ini,该文件为RC4加密,解密秘钥为:uwrhftyuyjfhgdfsdrtyuyuiyw5erdsf8oyukjg,解密运行的文件又会释放出以下3个文件:
      
    文件名
      
    用途
    retboolDriver.sys
    对抗杀软,结束进程
    chromme.exe
    门罗币挖矿程序
    svchost.exe
    注入svchost,下载文件

    其中retboolDriver.sys这个驱动的主要目的是根据指令,结束杀软的进程,保护程序不被杀软所查杀,以下是被针对结束的杀软进程列表:
    image7.png

    结束完杀软进程后,svchost.exe会打开以下网页,读取上面加密保存的配置信息,用于后续挖矿所需要的配置和注入所用:
    image8.png

    每一次的修改,都会留下历史记录,从记录上来看,作者也是经常变换信息,而这些留下的历史记录,反而很好的保留了每一次修改的配置信息:
    image9.png

    接下来,chromme.exe则开始根据上边页面上的指令,进行门罗币的挖矿,本样本的挖矿指令如下:
    C:\ProgramData\chromme.exe -a cryptonight -ostratum+tcp://xmr-eu1.nanopool.org:14444 -u47MaAgoAgcB6RuwSZSjYWFVncdhjSQ82s4fyepLQJ92qQHXrpoRSBDGTAtxf12VAYeZ2fiY6vqpZqfx2tpeN2HtjAJX56Ak-p x

    作者之所以在不断的更换矿池地址,是因为部分矿池会检测、封禁使用僵尸网络来进行挖矿的账户,例如作者曾使用的minexmr矿池就因这个原因封禁了他的账户:
    image10.png

    目前更换的新矿池是nanopool,截止目前(2月28日)收益并不高,只有0.6XMR(约合202元人民币):
    image11.png


    最后,svchost.exe会打开并注入一个指定的系统进程,会被注入的进程有:svchost、cmd、mstsc、wscript、write、notepad。注入完成后,就又回到了最开始的步骤,重复着在局域网中相互传播开,至此,整个的感染和传播过程完毕。

    下图为被感染的用户反馈:
    image12.png

    清除方法
    若怀疑自己的电脑感染了此病毒,可使用顽固病毒专杀进行查杀修复:http://www.ijinshan.com/zhuansha/wangubingdumuma/
    另外,该病毒的手工清理方式,主要为:
    1、系统服务里找到KuaizipUpdate这一项,然后删掉它
    2、C:\Windows\Temp目录下删除retboolDriver.sys和svchost.exe
    3、C:\ProgramData下,删除除文件夹外的所有文件
    4、删除C:\ProgramData\storage目录
    5、删除C:\ProgramData\Resources目录
    6、删除C:\ProgramData\dll目录
    7、安装修复MS17-010补丁

    IOC:
    MD5:
    b4068638ed47a2c994429e8db528f753
    d0912abc4fbf574590d48224c5f9e635
    658969a89744da2fc6b74c8c67075610
    b17a89181b34cd70323dd089ea803b69
    4334e755126f36f9dad072ed1274081a
    f1882b580abe5d880209bbf7e55c699a
    175c9886e781fa1985fe086bd4968b9b
    6edccdbb82f0b62bb3c84a79931a7ffe
    346ea38247bbee7184a46fdb68f84e1e
    51976485610903e4c01dbdea617ca341

    URL:
    https://www.upload.ee/files/9520065/6.txt.html
    http://thyrsi.com/t6/668/1549457447x2890202791.jpg
    http://thyrsi.com/t6/667/1549340535x2890202785.jpg
    https://anonfiles.com/O4idO4s2be/yyy_jpg
    http://thyrsi.com/t6/661/1548168297x1729546401.jpg
    https://anonfiles.com/s4x8k6qdb2/A_JPG
    https://www.upload.ee/files/9407375/A.JPG.html
    https://www.upload.ee/files/9407094/nvidia.jpg.html
    https://anonfiles.com/x9Gcj6q8b4/nvidia_jpg
    http://thyrsi.com/t6/661/1548166332x1822614266.jpg
    https://www.upload.ee/files/9524558/yyy.jpg.html
    https://www.upload.ee/files/9627074/33.txt.html
    https://www.upload.ee/files/9627079/33.txt.html
    https://anonfiles.com/w060Rfu8bd/yhzl_jpg
    https://www.upload.ee/files/9612530/yhzl.jpg.html
    https://anonfiles.com/afybRbufb7/8888_jpg
    https://anonfiles.com/x9Gcj6q8b4/nvidia_jpg
    https://www.upload.ee/files/9407094/nvidia.jpg.html
    http://thyrsi.com/t6/673/1550933430x1822614074.jpg
    http://thyrsi.com/t6/673/1550932553x2728294202.jpg


    PDB信息:
    D:\正在测试的\最新开发版\永恒之蓝完整包城通网盘版\C++DLL释放运行EXEBAK支持64位\C++DLL释放运行EXEBAK\Release\x64\RunRe**e.pdb






    使用道具 举报 回复
    6226191200478784
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则