披着羊皮的狼:双平台挖矿木马MServicesX分析

这是一个双平台挖矿木马,该木马具有Windows和安卓双平台版本,在中毒电脑和手机上运行门罗币挖矿程序。其Windows版本MServicesX_FULL.exe使用有合法数字签名的文件借助游戏下载站传播,木马的安卓版本则伪装成Youtube视频播放器……

背景

御见威胁情报中心发现一个双平台挖矿木马,该木马具有Windows和安卓双平台版本,在中毒电脑和手机上运行门罗币挖矿程序。其Windows版本MServicesX_FULL.exe使用有合法数字签名的文件借助游戏下载站传播,木马的安卓版本则伪装成Youtube视频播放器,当中毒用户在手机上看Youtube视频时,病毒会在后台运行门罗币挖矿程序,从而令手机发热增加,续航缩短。

 

挖矿木马的Windows版本运行后释放bat脚本,将bat脚本安装为启动项,然后下载执行Powershell代码。Powershell代码的功能包括:下载执行CPU以及GPU挖矿木马挖门罗币、检查特定目录下的木马文件是否存在、不存在则重新下载木马进行安装。

 

通过扩散分析还发现了一批具有不同数字签名的同类样本(部分签名已被颁发机构吊销),病毒溯源分析发现,该挖矿木马主要通过游戏软件传播,为使游戏玩家中招,病毒传播者还会建议玩家关闭杀毒软件。

 

该挖矿木马具有以下特点: 

1.木马样本使用了多个合法数字签名(签名包括“Spinex Solutions Ltd”、“extrebal limited”、“kupui ltd”等),部分签名已被颁发者吊销; 

2.病毒自升级模块Update64.exe配置为计划任务,每3小时运行一次下载更新; 

3.通过添加启动项下载PowerShell脚本,由PowerShell脚本下载矿机进行挖矿; 

4.感染安卓系统的矿机伪装成youtube视频播放器传播,当中毒用户在手机端运行病毒APP看视频时,手机会在后台挖矿; 

5.病毒溯源发现,该病毒家族主要通过某游戏下载站xxxxxxxgames.com的游戏安装包传播。

 

从腾讯御见威胁情报中心监测数据看,挖矿木马近期表现活跃,该木马在世界各地均有分布,在我国广东、江苏、香港位居前三,该病毒近期的感染量波动亦较大。(小程序路径:pages/News/index?id=28)

22.png1.png

                       

详细分析

木马文件MServicesX_FULL.exe具有合法的数字签名“16qp limited”,导致部分杀毒软件无法及时查杀。

2.png

MServicesX_FULL.exe运行后释放文件到Roaming,其中包括一个MSI安装文件和升级程序update64.exe

3.png

MServices X –pro injct.msi是WindowsInstaller安装程序。

 

WindowsInstaller技术由客户端安装程序服务(Msiexec.exe) 和Microsoft软件安装(MSI)软件包文件组成。Msiexec.exe 程序是 Windows Installer 的一个组件。当双击MSI文件的时候,Msiexec.exe 被安装程序调用时,它将用 Msi.dll 读取软件包文件 (.msi)、应用转换文件 (.mst) 并合并由安装程序提供的命令行选项。 Windows Installer 执行所有与安装有关的任务:包括将文件复制到硬盘、修改注册表、创建桌面快捷方式、必要时显示提示对话框以便用户输入安装首选项。

 

安装包运行后释放文件到C:\Program Files\Systema Natives\MServices X目录,将update64.exe安装为计划任务,每三个小时运行一次,从其配置文件update64.ini中记录木马更新文件的下载URL,保持木马更新为最新版本。

4.png

5.png

6.png

此MSI安装包运行时还会生成AppLoaderHelpers.xml并在其中设置计划任务,在计划任务中指定执行以下程序:

C:\Users\garry vm\Downloads\xmrig-2.4.3-msvc-win64\ProcessInjector\0.0.1\InjectProc.exe

而根据其路径中包含的“xmrig”来看,准备执行的是门罗币挖矿程序,Author中包含的“garryvm-PC”疑似与作者相关。

7.png

 

将该计划任务文件的路径特征“garry vm”在御见威胁情报中心查询,发现了大量具有类似PDB信息的木马,类型包括特洛伊木马,挖矿木马等,且木马存在被颁发者直接吊销的签名。

8.png

 

签名被吊销

9.png 

在Common Files目录中释放了文件restore.bat并添加到启动项

10.png

 

通过restore.bat执行Powershell脚本hxxps://77.mycfg.site/files/restore_org_inj.ps1

11.png

 

在Powershell脚本中执行完成以下功能:

1、下载矿机程序032f.exe到Temp目录并启动挖矿进程;

2、下载矿机程序cuda9-270b.exe到Temp目录并启动挖矿进程;

3、检测指定目录下文件是否存在,不存在则下载安装包进行安装。

12.png

032f.exe是基于OpenCL的挖矿程序,挖矿参数:

–auto,–no-cpu,–any,–forever,–variation,11,-o,pool.masari.hashvault.pro:80,-u,5hw694rarFjGB5BGKF3T1LgD7Mpp2rmTnRiuMr5AajwabZLQS4nGR65UKXrGn38CBNepWpS1NVM212vxFmxEKNEy2S56QXA,-p,j32fGPU:x@x.com

 

cuda9-270b.exe是基于NVIDIA CUDA运算框架的挖矿程序,挖矿参数:

-B,–no-color,-r,50,-o,pool.masari.hashvault.pro:80,-u,5hw694rarFjGB5BGKF3T1LgD7Mpp2rmTnRiuMr5AajwabZLQS4nGR65UKXrGn38CBNepWpS1NVM212vxFmxEKNEy2S56QXA,-p,CUDA9:x@x.com,–variant,1,-k

 

矿池:

pool.masari.hashvault.pro:80

钱包:

5hw694rarFjGB5BGKF3T1LgD7Mpp2rmTnRiuMr5AajwabZLQS4nGR65UKXrGn38CBNepWpS1NVM212vxFmxEKNEy2S56QXA

钱包状态:

13.png

扩散分析

数字签名

通过腾讯御见威胁情报中心进行同类样本扩散分析,发现了多个拥有合法签名的同类样本,样本的签名包括有“Spinex Solutions Ltd”、“extrebal limited”、“kupui ltd”等。

14.png

 

15.png

 

16.png

17.png

有意思的是,公司的注册地都显示为英国,且签名信息中的邮件多采用“公司董事名@公司网站名.co.uk”的形式,但是公司的具体业务不明,公司“官网”也都无法访问,有可能是木马作者注册皮包公司并申请签名,也有可能是正规公司的签名被盗用。

Android矿机

在木马C2地址还发现了Android程序的安装包youtubeplayerx2.apk。通过文件名可以看出,该安卓病毒会假冒youtube播放器传播。

18.png 

安卓矿机运行界面(不能访问外网的手机,无法正常播放Youtube视频)

19.png

 

分析youtubeplayerx2.apk文件,发现Lib目录下包含共享库文件libnative-lib.so和libuv.so,分为ARM版(arm64-v8a,armebi-v7a)和x86(x86,x86_64)版,支持ARM架构以及X86架构设备。

20.png

 

分析libnative-lib.so代码发现该文件实际为开源门罗币挖矿程序XMRig的android编译版。

21.png

 (libnative-lib.so导出函数)

22.png (挖矿参数选项)

 23.png

(编译信息)

 

 

溯源

分析发现木马主要通过游戏安装包进行传播,游戏下载网站xxxxxxxgames.com提供各类游戏的下载安装,部分用于安装游戏的程序在运行过程中释放木马文件。

24.png 

游戏安装说明还会提示关闭杀毒软件。

25.png

安全建议

1、通过正规的渠道下载软件和游戏程序,电脑端使用腾讯电脑管家加以拦截;

26.png

2、关注电脑显卡GPU异常占用情况,如果发现资源占用异常,可使用安全软件做进一步检测;

 

3、不要在Android手机上运行来历不明程序,建议安卓智能手机用户使用腾讯手机管家防御可能的病毒攻击。

IOCs

IP

188.138.70.227

85.25.74.57

85.25.207.153

85.25.177.168

195.144.21.199

195.144.21.143

 

域名

cdn.mycfg.site

cdn.mycfg.host

cdn.mycfg.bid

cdn.systemupdates.host

cdn.windows-service-updater.site

p.getconfig.site

p.getget.site

p.mycfg.bid

p.mycfg.host

p.mycfg.site

ws.mycfg.bid

cdn.getcfg.site

upd.dns.tires

upd.cfg.ooo

cdn.areare.website

cdn.myrar.website

77.super-me.online

77.mycfg.site

 

URL

hxxp://cdn.mycfg.site/files/j033a.exe

hxxp://cdn.mycfg.site/files/jclm.exe

hxxp://cdn.mycfg.site/files/cuda9-270b.exe

hxxp://cdn.mycfg.site/files/032g.exe

hxxp://cdn.mycfg.site/files/032f.exe

hxxp://cdn.mycfg.site/files/mservicesx_full.exe

hxxp://cdn.mycfg.site/files/j031a.exe

hxxp://cdn.mycfg.site/files/64h.exe

hxxp://cdn.mycfg.site/files/avninja.exe

hxxp://cdn.mycfg.site/files/NanoServicePack_FULL.exe

hxxp://cdn.mycfg.site/files/bin/rev/118822

hxxp://cdn.mycfg.site/files/cud8.exe

hxxp://cdn.mycfg.site/files/bin/rev/118731

hxxps://cdn.mycfg.site/files/MServicesX_FULL.exe

hxxp://cdn.mycfg.site/files/bin/rev/118727

hxxps://cdn.mycfg.site/files/NanoServicePack_FULL.exe

hxxp://cdn.mycfg.site/favicon.ico

hxxp://cdn.mycfg.site/files/bin/rev/11879

hxxp://cdn.mycfg.site/files/cud8exe

hxxp://cdn.mycfg.site/files/jce032a.exe

hxxps://cdn.mycfg.site/files/youtubeplayerx2.apk

hxxp://cdn.mycfg.site/files/amd64.exe

hxxp://cdn.mycfg.site/files/bin/rev/dgsfjhsgdfjhsgdnks

hxxp://cdn.mycfg.site/files/revservicesx_full.exe

hxxp://cdn.mycfg.site/files/MServicesX.exe

hxxp://cdn.mycfg.host/files/bin/rev/118821

hxxp://cdn.mycfg.host/files/bin/rev/2

hxxp://cdn.mycfg.host/files/bin/rev/11887

hxxps://cdn.mycfg.bid/files/NanoServicePack_FULL.exe

 

md5

 

136df08fbf49a48f5f1afc1d60224368

705d7e76bd19729cf9ef54df7d3f0626

2262a474d55d11dc37ed8dc0ddd4c5f7

98057764bfd02accd0caaa07bbcd6d46

78e56ad0b044b11506fac99e1d9ab0e5

8733eb6d65702bb83e3f6fa7e022cdbc

2717c2680b5dc71731eda23821738817

cd4cb8c5569a1866ab4d2f315861b3a1

ebfa2f9945b94b4851da8ae90a205ba6

4811fb1927534cfe3a70406eab421df1

931e2c08a862ca9f65be0b0a796c9e93

8e6b5f8172defc7ec01a5b6118317da5

a10b6029c7b68f1f8d59dd8418399aba

a98e642cc325384dc03182e424fda3d9

7fe90acdd370797db8c51719e33934e0

fc945274e2e86e85f0d98e131093a9ef

fb481fcb3f53fb13397a0eb327c7b8e6

803a7dce76339db44cc93422e19de7ee

290400324591e7b934c9553ece03187c

取消
Loading...

相关推荐

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php