當前位置:
首頁 > 新聞 > 「大黃蜂」遠控挖礦木馬分析與溯源

「大黃蜂」遠控挖礦木馬分析與溯源

事件背景


近日,騰訊安全反病毒實驗室發現了一類遠控木馬具有爆發的趨勢。通過跟蹤發現,此類木馬不僅保留了遠控的功能,而且隨著虛擬貨幣價格的水漲船高,木馬加入了挖礦的功能,用用戶的機器來實現自己利益的最大化。通過哈勃同源系統的分析發現,木馬作者還在頻繁的更新木馬功能、感染用戶量也在迅速增加,值得引起我們足夠 的關注。下面我們會從感染後現象、影響範圍、技術分析及溯源上做詳細介紹和分析。

現象

危害:


感染現象


感染該類木馬後,您的計算機CPU經常佔用 100%,並且 會發現常駐進程 winInit.exe。同時,查看啟動的服務,會發現名為Apache Tomcat 9.0 Tomca9 的服務處於啟動狀態。




影響範圍:


通過訪問黑客的伺服器,可以看到惡意程序 xz.exe和xz32.exe 都有上萬的下載量。 並且,通過觀察發現,每日新增下載量也不斷增大, 病毒程序感染了越來越多的受害者。


技術

分析:


通過分析發現,該木馬啟動後,會釋放多個可執行文件,我們按其 實現的不同的 功能,將這些可 執行程序,劃分為遠控模塊、挖礦模塊和清理模塊三個模塊,分別用於遠程控制、虛擬貨幣挖礦以及刪除清理文件以躲避查殺。



下面我們將從技術細節上詳細介紹下主要的模塊 。


遠控模塊


1. 888.exe運行後會從

 

資源里釋放dll

 

文件,並命名為隨機名。接著

 

 

888.exe 會將釋放的dll文件註冊為RemoteAccess服務

 

 

,並通過從新啟動服務已得到載入該dll。



該dll載入後,會刪除系統log日誌,並將自身複製為%ProgramData%Aebblnroq.psd ,同時,還會向 %ProgramData%Aebblnroq.psd寫入大量隨機數以躲避雲查, 但我們發現,有 一定的幾率會把%ProgramData%Aebblnroq.psd文件寫壞,導致無法正常運行。接著會 註冊%ProgramData%Aebblnroq.psd 為Tomcat9 服務:




2. 8881.exe運行後會在%TEMP%目錄 釋放隨機名的dll文件,並調用其導出函數Install ,安裝該dll為服務名為Microsoft Corporationot的 服務。




服務啟動後,獲取、加密用戶計算機版本信息等隱私信息發送到伺服器,並等待伺服器的遠控指令 。


通過對發送數據以及加密方式的分析,我們可以看出發送的數據和加密方式和Gh0st遠控非常相似,可以認定其為Gh0st遠控的變種:



(解密後的數據)


3. server.exe運行後會複製自身為隨機名,並在文件最後填充大量的0,使得大小可以有20多M,用來躲避雲查。隨後 將該文件註冊為系統服務。




挖礦模塊


木馬啟動後會在%TEMP%目錄下釋放xmrigbu.exe 可執行文件,該可執行文件首先會將自身複製到%windir%w1ninit.exe :


w1ninit.exe運動後會創建%TEMP%win1nitwin1nit.exe用於 挖礦,該文件由UPX加殼 保護。通過分析發現,%TEMP%win1nitwin1nit.exe 會首先訪問伺服器獲取挖礦信息,包括礦池、礦工ID等,隨後會配置好參數進行挖礦 :





我們可以看到伺服器返回的礦池和礦工信息,通過查詢礦工的收益 ,可以看到不長時間內,已經挖到了 14個Monero幣,按當前<img src="//i1.wp.com/chart.googleapis.com/chart?cht=tx&chl=120%E7%9A%84%3C%2Fspan%3E%3Cspan%20style%3D%22%22%3E%E4%BB%B7%E6%A0%BC%E7%AE%97%EF%BC%8C%3C%2Fspan%3E%3Cspan%20style%3D%22%22%3E%E5%B7%B2%E7%BB%8F%E6%94%B6%E7%9B%8A" alt="120的價格算,已經收益"> 1680,摺合人民幣10840元。



清理模塊


惡意木馬運行最後會創建%TEMP% ~DeL!.bAt文件, 用來刪除自身, 從而達到隱藏的 目的。


溯源:


由上邊的分析可以看到該木馬訪問了7

.me和6

.me 兩個域名,查詢其ip地址為50.

.

.38 ,位於美國境內。 查詢域名的whois信息發現,其whois信息有隱私保護,未能查到有效的信息:



我們通過訪問黑客的伺服器,跟蹤發現伺服器 出現了一個名為「桌面.zip 」的壓縮包文件 。下載解壓縮該文件,其中有一個名為「何以解憂Ver6.3s.exe」 的 文件,該文件為.Net編寫,通過分析該 二進位裡邊包含的 鏈接地址

www.0

*

.com

 ,經由whois查詢 ,我們得知了一些黑客作者的信息:



其中,可以看到,該域名註冊者名為Huang Feng, 地址為福建泉州市(Fu Jian Sheng Quan Zhou Shi Zhong Shan Nan Lu ),電話為132

0024,

[

郵箱為10**

60@qq.com

]

(mailto:%E9%82%AE%E7%AE%B1%E4%B8%BA10

**

60@qq.com)。從郵箱地址我們可以得到域名註冊者的QQ號碼為10

**

60。通過這些信息,我們可以對該木馬作者做出 更加 詳細的畫像。


通過域名註冊者的電話號碼查詢其支付寶帳號,我們可以看到其地區為福建泉州,與域名whois註冊信息相符,可以確定whois註冊信息 的準確性。 由於支付寶帳戶名稱和真實姓名有隱私保護,我們暫為得知其真實姓名和支付寶註冊郵箱信息。



通過在搜索引擎上查詢其QQ號碼,可以看到該木馬作者活躍於各類工具類論壇,熱衷於提權、DDoS 、殭屍網路等技術:


 


接著,我們查詢其QQ信息,得知木馬作者年齡可能在18歲左右:



我們進一步去訪問其QQ空間,可以看到其相冊封面是只黃蜂,同時 ,相冊里有張王者榮耀的截圖,得知其王者榮耀帳號名稱為「bumblebees」 ,為大黃蜂的意思。 通過 分析的照片可以看到作者應該年紀不大。其中一個相冊需要密碼訪問,而密碼提示為「啥子學校」,可以間接印證木馬作者應該還在上學或剛畢業 ,與QQ登記的 18歲相符合。





通過以上的溯源分析,我們可以得到該木馬作者的基本畫像:



年齡:18歲


地址:福建泉州市


愛好:黑客工具、論壇;王者榮耀


目前,騰訊電腦管家和哈勃分析系統均可以準備識別該類病毒,安裝電腦管家的用戶無需擔心感染該病毒 。


*本文作者:騰訊電腦管家,轉載請註明來自 FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

美國徵信巨頭Equifax數據泄露:不及時修復漏洞,就是給自己埋不定時炸彈
36W漏洞獎金先生CplusHua | FreeBuf精品公開課: HTTP盲攻擊的幾種思路
挖洞經驗 | 看我如何利用SAML漏洞實現Uber內部聊天系統未授權登錄
一款功能豐富的Perl後門程序分析
安全CDN市場分析 | 動作頻出的背後,我們看到一個有野心的Incapsula

TAG:FreeBuf |