freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    某网吧管理软件生财有道:控制终端挖矿
    2018-11-22 10:48:24
    所属地 广东省

    一、背景

    腾讯御见威胁情报中心在7月份监控到一例利用某网吧管理系统挖矿的木马,该挖矿木马通过某网吧管理软件“coinserver.exe”植入计算机,非法控制上万台计算机进行挖矿操作,在2个月时间内通过挖矿获得价值26万多元的BCD(比特币钻石)。因其在扩散挖矿木马时使用了域名aiyun8.top,腾讯御见威胁情报中心将其命名为AiyunMiner。根据最新的监测结果,该挖矿木马已经下线。 

    AiyunMiner感染地区分布:贵州占比最高为84%,其次分别为甘肃、江西、四川。

    1.png

    AiyunMiner每日收益:4-5月收入较低,进入6月后逐渐接近高峰,收益变化也反映了受控制网吧的机器活跃情况。

    2.png

    AiyunMiner每日收益从几个到一百多个BCD(比特币钻石)不等,从2018.4.24至2018.7.10短短两个月已获得收益超过26万元人民币。 

    二、传播渠道

    AiyunMiner木马以网管软件为源头,经过多次下载释放得到最终的木马文件。该网吧管理软件程序coinserver.exe启动推广组件bartnoc.exe从网管软件服务器地址下载了木马sdyjs.exe,木马sdyjs.exe从C2地址aiyun8.top下载了木马807b*.exe,最终木马807b*.exe又从yunwang521.top下载了挖矿木马。

    3.png

    木马传播流程图

     

    网吧管理软件程序coinserver.exe组件bartnoc.exe

    保存在\coinserver\files\目录。bartnoc.exe签名与某网吧管理软件的签名一致。

    4.png

    组件bartnoc.exe运行时进行大量推广下载,在从其官网的下载地址download.u7pk.com及地址218.28.137.168下载了多个文件,其中包括传播挖矿木马的木马文件sdyjs.exe

    5.png

    sdyjs.exe从aiyun8.top下载了807b*.txt并以807b*.exe执行

    6.png

    然后807b*.exe从yunwang521.top下载用于生成挖矿木马的807.sm

    7.png

    挖矿木马将自身拷贝到windows目录,释放dllhost.exe(ccminer)、msvcr120.dll(需要的系统文件)、svchost.exe(木马主体)。

    8.png

    三、挖矿

    检测进程字符串,检测到存在以下进程则将自身退出

    procexp.exe、procexp64.exe、ComputerZ_CN.exe、WindowsMonitor.exe、ProcessHacker.exe、IceSword.exe、PCHunter.exe、PCHunter64.exe、ProcessE.exe、FileMon.exe、RegMon.exe、ProcessExplorer.exe、DbgView.exe、Procmon.exe、Process、Explorer.exe、GPU.exe、GPU-Z.exe、CPU-Z.exe、ComputerZ.exe、ETHSC.exe、btcClient.exe、miner.exe、ETH.exe、ccminer.exe、sgminer.exe、MSIAfterburner.exe

    9.png

    结束nvvsvc.exe、dllhost.exe进程进行自更新

    10.png

    挖矿时木马主体svchost.exe设置挖矿参数并启动dllhost.exe,dllhost.exe使用开源挖矿代码ccminer编译,目前支持50余种数字加密货币的挖掘。

    11.png

    挖矿代码

    12.png

     

    矿池:bcd.vvpool.com:5610 

    钱包:1EQusbRbjCo1Qpei7nTZPMAmqZxfdSFMG6

     

    从矿池查询钱包信息:目前已挖的3364个BCD

    13.jpg

    从网站查询BCD目前价格78.67元/个

    14.png

    截至2018.7.11获得总收益3364.9078942个比特币钻石BCD,当前BCD价格78.67元/个,矿池获得收益折合人民币:3364.9078942*78.67约264717元。几个月后的今天,BCD已下跌到0.95美元一个,值2.2万元人民币。幸亏这个病毒作者提现早。

    四、溯源

    4.1 软件服务器

    存放此网管软件更新包的地址download.u7pk.com也存在大量的木马文件,包括传播挖矿木马的sdyjs.exe,鉴于该公司签名文件的代码中直接下载了这些木马,因此木马植入行为是内部人员或与该公司相关人员的可能性较高。

    15.png

    4.2 C2地址

    此次传播挖矿木马的C2地址yunwang521.top、aiyun8.top的IP为222.175.54.186、222.175.60.150,地址位于山东省枣庄市。

    16.png

    经腾讯御见威胁情报中心分析,得到相互关联的位于山东枣庄市的多个IP以及域名,这些域名下存在大量木马文件,且木马文件命名方式相似,推测可能存在团伙作案的可能。

    17.png

    注册使用邮箱:

    liang3619@126.com

    angchengsh@126.com

     

    注册者:Chang Sheng Liang

     

    注册但还未启用域名:

    ybyc.club

    pinco.click

    ohmyga.shop

    pinco.shop

    pintrest.store

    pintrest.shop

    yuni.store

    pintrest.top

    touchfuture.tech

    touchmodern.tech


    安全建议

    1、建议网吧管理人员使用来源可靠的网管软件,时刻关注网吧电脑出现的CPU异常占用情况。

    2、保持杀毒软件实时开启。

    18.png

    IOCs

    IP:

    222.175.54.186

    218.59.239.34

    222.175.51.26

    222.175.60.150

    222.175.49.6

    60.214.132.174

    222.175.58.58

    218.59.228.122

     

    域名:

    aiqq8.top

    yunwang521.top

    aiyun8.top

    liang666.top

    52wawa.top

    sygycb.com

    ybyc.club

    yjs666.top

    touchme.tech

    wabi8.top

    92wa.top

    52ysj.top

    pinco.click

    sygycb.com

    ybyc.club

    codifund.com

    next.91xiaba.com

    download.u7pk.cn

    download.u7pk.com

     

    邮箱:

    liang3619@126.com

    angchengsh@126.com

     

    URL:

    hxxp://aiqq8.top:8888/cs/807x/807.txt

    hxxp://aiqq8.top:8888/cs/807x/807.sm

    hxxp://aiqq8.top/cs/807x/807.txt

    hxxp://aiqq8.top/cs/807x/807.sm

    hxxp://yunwang521.top:8888/cs/807/807.txt

    hxxp://yunwang521.top:8888/cs/807/807.sm

    hxxp://yunwang521.top:8888/cs/607/607.txt

    hxxp://yunwang521.top:8888/cs/807y/807.sm

    hxxp://yunwang521.top:8888/cs/807y/807.txt

    hxxp://aiyun8.top:8888/cs/807b.txt

    hxxp://aiyun8.top:8888/cs/csq1/eee.exe

    hxxp://aiyun8.top:8888/cs/807bb.txt

    hxxp://aiyun8.top/cs/807b.exe

    hxxp://aiyun8.top/cs/807bb.txt

    hxxp://aiyun8.top:8888/cs/csq1/eee.txt

    hxxp://liang666.top:8888/se/cp.sm

    hxxp://liang666.top:8888/se/11.sm

    hxxp://liang666.top:8888/se/bh.sm

    hxxp://liang666.top:8888/se/dnf.sm

    hxxp://liang666.top:8888/se/gh.zc

    hxxp://52wawa.top:8888/cs/610/610.exe

    hxxp://52wawa.top:8888/CS/610/610.EXE

    hxxp://52wawa.top/cs/610/610.exe

    hxxp://52wawa.top:8888/cs/hx610.txt

    hxxp://52wawa.top:8888/cs/hx600.exe

    hxxp://52wawa.top:8888/cs/csqq.exe

    hxxp://52wawa.top:8888/cs/hx609.txt

    hxxp://52wawa.top:8888/cs/svchost.exe

     

    md5:

    9f13659e70c12ab0a5e8cac6436b8c1f

    7bfb050941350bcee080179a9af2bf7c

    db6b6d7a773d0608bdb6056b71ad6e5e

    9f0ac4e920ff1c077996230b84b82e82

    c5e830abeb59563a789e0e63be7c3126

    0f417ee94a4f17188f16eeed5f4b3cbe

    b53721cc1b65de0a96b813dcc796ced1

    930217fed26f820d74f6281606515709

    6f912a5a3d89d2f48328823085f6fa9b

    cfbd1137511437498fb1e20e138cc250

    ac528accf671fe5dd1033c45e3e838e0

    659910b56f2fb8f3d23220312acf312d

    91e39f3e873b31b507f827b33d0438a7

    f1d18374363325884efb1f2a269f2aad

    5b619c70f38780647df79729bdd88de2

    62c94a03c6f00c577235303625241398

    22b0efdafbbe48bdbf028db15ed32839

    1ed6b26a849953a1c0a2f14d87bbad54

    b085b347c7fbd6d7c0da35d955a9e690

    fd7f988e9db21173f210881e0a3bf6b6

    a2a0e91969e777853cb0512192b8f972

    104a57768be9e3b2311bf75100038bb3

    4169eb814da21e5c3ef98b43924f928c

    0a058a9174e910a5195969277d5a8bfa

    8e43752eed3c5c3783ba8b50915bb398

    3bd0977b2848caff56c76de4b3bdc4a1

    08bfd8f2d82199cdbd76b907efd70730

    900a0143477a44d0df50fedf3ffc982a

    e833e1ecbe0b78b37bd5ce6be271e483

    46cb1b355fd58b898d8823833f3c2ef8

    3f431b36ae6300621eaa3b40a385b1e1

    be7cc42fe202a4d3e6ad10381e5b173a

    ec3c1976457189ef664455e37e0d8ad8

    7aaf9d9153771585f7af01328138ed93

    bb6e22f1d27301746ad34606d52e8e0d

    a14542867af6fa5fa81e10a525135312

    f25f011998c4d78713b12bdd4a978d25

    75e7daf690c7621d8d452164c32ca77c

    bd02224731cefa93b8c5a05ac469d37d


    # 挖矿木马 # 腾讯御见威胁情报 # 网吧管理系统
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者