覆盆子,门罗币挖矿&远控木马样本剖析,干洗店加盟连锁

admin 5个月前 ( 04-20 08:52 ) 0条评论
摘要: 门罗币挖矿&远控木马样本分析...

近来,要挟情报小组在对可台湾男模疑下载类样本进行剖析时,发现一同门罗币挖矿+木马的双功用样本。该样本回在履行挖矿的一起,经过C2装备文件,到指定站点下载具有远控功用的样本,获取受害主机信息,并进一步操控受害主机。

详细剖析进程 样本主体

样本主体文件选用的是360杀软的图标,并且文件描绘信息为 “360自动防护效劳模块”,诱导用户点击履行。

主体在履行时会开释复制本身到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SQLAGENTSA.exe,并持续履行。

复制本身并持续履行

SQLAGENTSA.exe 会在本地开释并履行称号为“VBS.vbs”和“AutoRun.vbs”的两个vbs脚本,一起还会联网下载挖矿程序,并读取C2装备文件,下载木马文件持续履行。

郝美易贷

VBS.vbs脚本内容

该脚本的意图便是为了保证进程“SQLAGENTSN.exe”会一直在运转。“AutoRun.vbs”脚本的内容和“VBS.vbs”脚本的内容很类似,意图也是为了保证进程“SQLAGENTSN.exe”会一直在运转。

挖矿行为

样本中存在如下硬编码文件途径:

登录站点能够发现,该站点为一个HFS下载站点:

针对cpu32.exe的文件进行剖析,发现该文件实践是利用了开源代码XMRig2.11版别的门罗币挖矿程序。

该文件鄙人载到本地之后,本重命名为sqlagentc.exe,存放于C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下,并被发动履行。

发动参数为:

--donate-leve覆盆子,门罗币挖矿&远控木马样本剖析,干洗店加盟连锁l 1 --max-cpu-usage 75 -o x.huineng.c覆盆子,门罗币挖矿&远控木马样本剖析,干洗店加盟连锁o:80 -u x.0309C -p x -k

sqla邃古剑祖gentc.exe发动参数

一起在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下也发现了程序运转日志:

挖矿日志

其间CPU_log.txt 即为挖矿日志。

起重机减速机

由日志能够承认,矿池地址为 x.huineng.co:80 ip地址为 154.92.19.164。

木马行为

该样本主体除了载挖矿程序进行挖矿之外,还会直接读取http://a.owwwa.com/mm/SQL.txt文件的内容,从中获取木马文件地址,然后下载木马文件到本地持续履行。

样本中硬编码的装备方沐容文件途径

SQL.txt的内容

登录到站点上之后,发现该站点也是一个HFS下载站点,文件列表如下:

其间startas.bat脚本担任将SQLAGENTSON.exe创立为效劳,并且以“System”账户运转。

sqlbrowsers.exe会首要查看当时进程是不是以管理员权限运转,假如不是的话就以管理员权限再次发动进程,不然就解密并加载内存PE。

判别是不是管理员权限运转

加载内存DLL

内存DLL有一个导出函数StartAsFrameProcess,该DLL的主要功用都会集在这个函数中丫鬟阿福。

该函数内会首要禁用UAC:

禁用UAC

然后下载新样本到磁盘根目录,并发动新样本。

然后再次以效劳的方法自发动,履行主要功用。

主要功用有:监听、记载本机键盘数据并解密写入磁盘文件,获取本机装置的杀软信息,修正本级Host文件,解析、删去本机日志信息等。

键盘记载并加密存储

获取主机杀软情覆盆子,门罗币挖矿&远控木马样本剖析,干洗店加盟连锁况

关怀的杀软列表如下:

“360tray.exe”、”360安全卫兵”、”360sd.exe”、”360杀毒”、”kxetray.exe”、”金山毒霸”、”KSafeTray.exe”、”金山安全卫兵”、”QQPCRTP.exe”、”QQ电脑管家”、”BaiduSd.exe”、”百度杀毒”、; “baiduSafeTray.exe”、”百度卫兵”、”KvMonXP.exe”、”江民”、”RavMonD.exe”、”瑞星”、”QUHLPSVC.EXE”、”QuickHeal”、”mssecess.exe”、”微软MSE”、”cfp.exe”、”Comodo杀毒”、”SPIDer.exe”、”DR.WEB”、”acs.exe”、”Outpost”、”V3Svc.exe”、”安博士V3″、”AYAgent.aye”、”韩国胶囊”、”avgwdsvc.exe”、”AVG”、”f-secure.exe”、”F-Secure”、”avp.exe”、”卡巴”、Mcshield.exe”、”麦咖啡”、”egui.exe”、”NOD32″、”knsdtray.exe”、”可牛”、”TMBMSRV.exe”、”趋势”、”avcenter.exe”、”小红伞”、”ashDisp.exe”、”Avast网络伺服冲床安全”、”rtvscan.exe”、”诺顿”、”remupd.exe”、”熊猫卫兵”、”vsserv.exe”、”BitDefender”、”PSafeSysTray.exe”、”PSafe反病毒”、”ad-watch.exe”、”Ad-watch反间谍”、”K7TSecurity.exe”、”K7杀毒”、”UnThreat.exe”、”U覆盆子,门罗币挖矿&远控木马样本剖析,干洗店加盟连锁nThreat”。

修正主机Host文件

解析、删去操作体系日志

SQLIOSIM.exe会在进口处运用RC4算法解密出内存PE,然后履行不同的功用,在履行的时分,会加载名为“Consys21.dl立新世纪l”的DLL文件,传入详细的功用描绘信息,茅于轼事情始末最终履行。

这些功用触及:文件、注册表、进程、shell、音频、视频、屏幕、窗口、弹框、署理、DDO美人姐姐爱上我S敞开,封闭等操作。

内存PE解密部分:

运用RC4解密内存PE

主要功用部分:

文件操作

注册表操作

进程操作

shell操作

音频操作

视频操作

屏幕操作

窗口操作

弹框操作

署理操作

DDOS敞开

DDOS封闭

SQLIOSIM覆盆子,门罗币挖矿&远控木马样本剖析,干洗店加盟连锁SA.exe也是会加载内存PE,且PE为一个Dll文件,然后调用Dll文件的“DllFuUpgra高格罗斯drs”的导出函数履行主要功用,功用有:军魂1935完毕指定进程、修正硬盘MBR、删去指定文件、为体系增加账户,敞开3389等。

加载内存PE

尚兰秀

调用导出函数“DllFuUpgradrs”

以导出函数“DllFuUpgradrs”为进口,履行相应的功用。

完毕指定进程

进程称号列表:

IEXPLORE.exe、360SE.exe、sogouexplorer.exe、Chrome.exe、Firefox.exe、Maxthon.exe、taskmgr.exe、regedit.exe、mmc.exe、mstsc.exe、QQ.exe、卢穗耕s.exe、cmd.exe。

修正硬盘MBR

删去指定文件

为体系增加账户

敞开3389

IOC 样本主体: F7FFF1F9F7CB0D2E6A1F532515F1787A

http://owwwa.com/mm/cpu32.exe

http://owwwa.com/mm/cpu64.exe

htt艳妃惑夫p://owwwa.com/mm/amd32.exe

http://ow覆盆子,门罗币挖矿&远控木马样本剖析,干洗店加盟连锁wwa.com/mm/amd64.exe

http://owwwa.com/mm/nvidia.exe

http://a.owwwa.com/mm/SQL.txt

http://覆盆子,门罗币挖矿&远控木马样本剖析,干洗店加盟连锁mingtian2016.gnway.cc:7089/ma/startas.bat

http://mingtian2016.gnway.cc:7089/ma/sqlbrowsers.exe

http://mingtian2016.gnway.cc:7089/ma/SQLIOSIMS.exe

http://m芒部山村ingtian2016.gnway.cc:7089/ma/SQLIOSIMSA.exe

http://124.112.49.52:7089/mm/starta.bat

http://124.112.49.52:7089/mm/SqlWtsnt.exe

http://124.112.49.52:7089/mm/MsDtsSrvs.exe

x.huineng.co:80

在样本剖析进程中,根据一些代码特征能够断定远控部分为“大灰狼远控”修正而来,但代码那种仍然留下了许多痕迹,主要有以下几点:

样本在内存PE解密部分运用的是RC4算法,并且初始字符串为“Mother360”,这一点和大灰狼远控如出一辙。

大灰狼远控源码

样本在监控键盘内容,加密写入磁盘时运用的加密算法是与062亦或,该方法也与大灰狼远控部分如出一辙。

大灰狼远控源码

样本中运用了Consys21.dll模块,并且调用了该模块的导出函数完成要害功用,而大灰狼远控中也有该死神295模块,并且均含有要害导出函数。

大灰狼远控模块导出函数

关系人相关

样本屡次呈现了一个邮箱EMail:xxxx@sina.com(但在实践通信中未见运用)

样本中的邮箱信息

根据此邮箱能够相关到详细的个人信息:

由其个人经历能够看出,此人是个作业比较久的windows开发人员,对Windows体系也比较了解,所以该远控有可能是该人在大灰狼远控的根底之上修正而来。

*本文作者:深服气japgay千里目安全实验室,转载请注明来自FreeBuf.COM

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜榜首皇夫狐仅供给信息存储空间效劳。
文章版权及转载声明:

作者:admin本文地址:http://www.0860755zg.com/articles/1067.html发布于 5个月前 ( 04-20 08:52 )
文章转载或复制请以超链接形式并注明出处撰稿万篇,在线撰稿社区,写作人的天地