“匿影”挖矿病毒：借助公共网盘和图床隐匿自身

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

系统安全

“匿影”挖矿病毒：借助公共网盘和图床隐匿自身

2019-03-10 09:00:26

概况

近期，毒霸安全团队通过“捕风”系统监测到一款在内网中传播的挖矿病毒，该病毒打包了方程式攻击工具包，在内网中利用永恒之蓝（Eternalblue）和双脉冲星（DoublePulsar）进行横向传播，被感染的电脑首先会解析特定URL上的内容，然后进行挖矿（门罗币、BEAM币）、对抗杀软等操作，最终组成其僵尸网络中的一员。

门罗币通常是挖矿病毒的首选，但此次发现的挖BEAM币的病毒，还尚属首例，BEAM主网于北京时间2019年1月3日上线，而这个挖BEAM币的病毒1月10日上线，相差大约了1周的时间，看来黑产也时刻关心着币圈的动态。

不同于以往的僵尸网络，该病毒的C&C服务器，需要通过EmerDNS、Namecoin这类基于区块链的加密货币进行转换，进而得到真实的地址信息，由于这类区块链去中心化、匿名等特点，导致它们无法被某个机构统一关停，危害较大。并且病毒运行中所需要的文件下载、感染上报统计等内容，均由公用网盘（upload.ee）、匿名网盘（anonfiles.com）、图床（thyrsi.com）提供，而非某个固定的IP地址，因而也提升了安全分析人员和自动化分析系统反查的难度。据EmerDNS官网的介绍显示，其宣传自己“完全去中心化，不受任何审查影响。没有人可以修改你的记录，只有记录创建者才能操作记录内容。”

综上，我们给这个病毒命名为“匿影”病毒。

EmerDNS介绍

技术分析

该病毒关键部分的代码使用了Themida和VMP保护，提高了研究人员逆向分析的难度，所涉及到的域名和服务器均由第三方服务商提供，病毒作者可谓真正做到了零成本的挖矿。

整个病毒的感染运行流程如下：

感染运行流程

该病毒变种众多，我们以其中一个样本为例，首先，被感染电脑的进程会被注入，然后下载以下文件执行：

下载地址	文件名
http://thyrsi.com/t6/673/1550933430x1822614074.jpg	smyy.exe
http://thyrsi.com/t6/661/1548166332x1822614266.jpg	nvidia.exe

nvida.exe是一个挖矿程序，挖的是BEAM币，挖矿指令如下：

C:\Windows\nvidia.exe --server beam.sparkpool.com:2222--key 1b31325a82ad21a39b32944d8099e98c3c3e25c74ec713840bc9b1f24af9fe5efbb

该矿池（星火矿池）钱包地址的收益如下，总共80个BEAM币，目前单个币的价格是5.4元，算下来目前一共收益432元：

smyy.exe是一个自解压程序，运行后会释放方程式攻击工具包到C:\ProgramData下，接着从中运行端口扫描工具，扫描局域网中开放了445端口且存在MS17-010漏洞的电脑，最后利用双脉冲星（DoublePulsar）上传植入后门程序x64.dll到目标电脑：

x64.dll做为内网间初始的攻击载荷，运行后会加载自身的模块（资源名称102，文件名称spoolsv.exe），然后去下载chrome.exe执行，chrome.exe执行后又会去访问hxxps://www.upload.ee/files/9524426/6.txt.html，此处的主要目的为统计感染量，之后释放出以下4个文件：

文件名	用途
kuaizip.ini	RC4加密的文件
kuaizipUpdateChecker.exe	解密执行kuaizip.ini
lasss.exe	the Non-Sucking Service Manager 2.24
cty.ini	统计文件

文件释放完成后，chrome.exe利用lasss.exe，往系统中添加、启动服务kuaizipUpdate，主要目的为确保每次开机时都能运行kuaizipUpdateChecker.exe：

注册表信息

kuaizipUpdateChecker.exe运行后，会去解密运行kuaizip.ini，该文件为RC4加密，解密秘钥为：uwrhftyuyjfhgdfsdrtyuyuiyw5erdsf8oyukjg，解密运行的文件又会释放出以下3个文件：

文件名	用途
retboolDriver.sys	对抗杀软，结束进程
chromme.exe	门罗币挖矿程序
svchost.exe	注入svchost，下载文件

其中retboolDriver.sys这个驱动的主要目的是根据指令，结束杀软的进程，保护程序不被杀软所查杀，以下是被针对结束的杀软进程列表：

被结束的进程列表

结束完杀软进程后，svchost.exe会打开以下网页，读取上面加密保存的配置信息，用于后续挖矿所需要的配置和注入所用：

https://explorer.emercoin.com/nvs//abcxmr//25/1/1

https://explorer.emercoin.com/nvs//abcxzz//25/1/1

https://namecha.in/name/d/abcxmr

https://namecha.in/name/d/abcxzz

https://namecoin.cyphrs.com/name/d/abcxmr

https://namecoin.cyphrs.com/name/d/abcxzz

修改记录

每一次的修改，都会留下历史记录，从记录上来看，作者也是经常变换信息，而这些留下的历史记录，反而很好的保留了每一次修改的配置信息：

接下来，chromme.exe则开始根据上边页面上的指令，进行门罗币的挖矿，本样本的挖矿指令如下：

C:\ProgramData\chromme.exe -a cryptonight -o stratum+tcp://xmr-eu1.nanopool.org:14444-u47MaAgoAgcB6RuwSZSjYWFVncdhjSQ82s4fyepLQJ92qQHXrpoRSBDGTAtxf12VAYeZ2fiY6vqpZqfx2tpeN2HtjAJX56Ak-p x

作者之所以在不断的更换矿池地址，是因为部分矿池会检测、封禁使用僵尸网络来进行挖矿的账户，例如作者曾使用的minexmr矿池就因这个原因封禁了他的账户：