“匿影”挖矿病毒:借助公共网盘和图床隐匿自身

黑产的在币圈的嗅觉,也是很灵敏的……

概况

近期,毒霸安全团队通过“捕风”系统监测到一款在内网中传播的挖矿病毒,该病毒打包了方程式攻击工具包,在内网中利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)进行横向传播,被感染的电脑首先会解析特定URL上的内容,然后进行挖矿(门罗币、BEAM)、对抗杀软等操作,最终组成其僵尸网络中的一员。

门罗币通常是挖矿病毒的首选,但此次发现的挖BEAM币的病毒,还尚属首例,BEAM主网于北京时间2019年1月3日上线,而这个挖BEAM币的病毒1月10日上线,相差大约了1周的时间,看来黑产也时刻关心着币圈的动态。 

不同于以往的僵尸网络,该病毒的C&C服务器,需要通过EmerDNS、Namecoin这类基于区块链的加密货币进行转换,进而得到真实的地址信息,由于这类区块链去中心化、匿名等特点,导致它们无法被某个机构统一关停,危害较大。并且病毒运行中所需要的文件下载、感染上报统计等内容,均由公用网盘(upload.ee)、匿名网盘(anonfiles.com)、图床(thyrsi.com)提供,而非某个固定的IP地址,因而也提升了安全分析人员和自动化分析系统反查的难度。据EmerDNS官网的介绍显示,其宣传自己“完全去中心化,不受任何审查影响。没有人可以修改你的记录,只有记录创建者才能操作记录内容。”

综上,我们给这个病毒命名为“匿影”病毒

EmerDNS介绍

技术分析

该病毒关键部分的代码使用了Themida和VMP保护,提高了研究人员逆向分析的难度,所涉及到的域名和服务器均由第三方服务商提供,病毒作者可谓真正做到了零成本的挖矿。

整个病毒的感染运行流程如下:

感染运行流程

该病毒变种众多,我们以其中一个样本为例,首先,被感染电脑的进程会被注入,然后下载以下文件执行:

 nvida.exe是一个挖矿程序,挖的是BEAM币,挖矿指令如下:

C:\Windows\nvidia.exe --server beam.sparkpool.com:2222--key 1b31325a82ad21a39b32944d8099e98c3c3e25c74ec713840bc9b1f24af9fe5efbb

该矿池(星火矿池)钱包地址的收益如下,总共80个BEAM币,目前单个币的价格是5.4元,算下来目前一共收益432元:

image3.png

smyy.exe是一个自解压程序,运行后会释放方程式攻击工具包到C:\ProgramData下,接着从中运行端口扫描工具,扫描局域网中开放了445端口且存在MS17-010漏洞的电脑,最后利用双脉冲星(DoublePulsar)上传植入后门程序x64.dll到目标电脑:

image4.png

x64.dll做为内网间初始的攻击载荷,运行后会加载自身的模块(资源名称102,文件名称spoolsv.exe),然后去下载chrome.exe执行,chrome.exe执行后又会去访问hxxps://www.upload.ee/files/9524426/6.txt.html,此处的主要目的为统计感染量,之后释放出以下4个文件:

文件名 用途
kuaizip.ini RC4加密的文件
kuaizipUpdateChecker.exe 解密执行kuaizip.ini
lasss.exe the Non-Sucking Service Manager 2.24
cty.ini 统计文件

文件释放完成后,chrome.exe利用lasss.exe,往系统中添加、启动服务kuaizipUpdate,主要目的为确保每次开机时都能运行kuaizipUpdateChecker.exe:

服务项

注册表信息

 kuaizipUpdateChecker.exe运行后,会去解密运行kuaizip.ini,该文件为RC4加密,解密秘钥为:uwrhftyuyjfhgdfsdrtyuyuiyw5erdsf8oyukjg,解密运行的文件又会释放出以下3个文件:

文件名 用途
retboolDriver.sys 对抗杀软,结束进程
chromme.exe 门罗币挖矿程序
svchost.exe 注入svchost,下载文件

其中retboolDriver.sys这个驱动的主要目的是根据指令,结束杀软的进程,保护程序不被杀软所查杀,以下是被针对结束的杀软进程列表:

被结束的进程列表

结束完杀软进程后,svchost.exe会打开以下网页,读取上面加密保存的配置信息,用于后续挖矿所需要的配置和注入所用:

https://explorer.emercoin.com/nvs//abcxmr//25/1/1

https://explorer.emercoin.com/nvs//abcxzz//25/1/1

https://namecha.in/name/d/abcxmr

https://namecha.in/name/d/abcxzz

https://namecoin.cyphrs.com/name/d/abcxmr

https://namecoin.cyphrs.com/name/d/abcxzz

修改记录

 每一次的修改,都会留下历史记录,从记录上来看,作者也是经常变换信息,而这些留下的历史记录,反而很好的保留了每一次修改的配置信息:

image9.png

接下来,chromme.exe则开始根据上边页面上的指令,进行门罗币的挖矿,本样本的挖矿指令如下:

C:\ProgramData\chromme.exe -a cryptonight -o stratum+tcp://xmr-eu1.nanopool.org:14444-u47MaAgoAgcB6RuwSZSjYWFVncdhjSQ82s4fyepLQJ92qQHXrpoRSBDGTAtxf12VAYeZ2fiY6vqpZqfx2tpeN2HtjAJX56Ak-p x    

作者之所以在不断的更换矿池地址,是因为部分矿池会检测、封禁使用僵尸网络来进行挖矿的账户,例如作者曾使用的minexmr矿池就因这个原因封禁了他的账户:

image10.png

目前更换的新矿池是nanopool,截止目前(2月28日)收益并不高,只有0.6XMR(约合202元人民币):

image11.png

最后,svchost.exe会打开并注入一个指定的系统进程,会被注入的进程有:svchost、cmd、mstsc、wscript、write、notepad。注入完成后,就又回到了最开始的步骤,重复着在局域网中相互传播开,至此,整个的感染和传播过程完毕。

下图为被感染的用户反馈:

image12.png

对于该病毒的手工清理方式,主要为:

1、系统服务里找到KuaizipUpdate这一项,然后删掉它

2、C:\Windows\Temp目录下删除retboolDriver.sys和svchost.exe

3、C:\ProgramData下,删除除文件夹外的所有文件

4、删除C:\ProgramData\storage目录

5、删除C:\ProgramData\Resources目录

6、删除C:\ProgramData\dll目录

7、安装修复MS17-010补丁

 

IOC:

MD5:

b4068638ed47a2c994429e8db528f753

d0912abc4fbf574590d48224c5f9e635

658969a89744da2fc6b74c8c67075610

b17a89181b34cd70323dd089ea803b69

4334e755126f36f9dad072ed1274081a

f1882b580abe5d880209bbf7e55c699a

175c9886e781fa1985fe086bd4968b9b

6edccdbb82f0b62bb3c84a79931a7ffe

346ea38247bbee7184a46fdb68f84e1e

51976485610903e4c01dbdea617ca341

 

URL:

https://www.upload.ee/files/9520065/6.txt.html

http://thyrsi.com/t6/668/1549457447×2890202791.jpg

http://thyrsi.com/t6/667/1549340535×2890202785.jpg

https://anonfiles.com/O4idO4s2be/yyy_jpg

http://thyrsi.com/t6/661/1548168297×1729546401.jpg

https://anonfiles.com/s4x8k6qdb2/A_JPG

https://www.upload.ee/files/9407375/A.JPG.html

https://www.upload.ee/files/9407094/nvidia.jpg.html

https://anonfiles.com/x9Gcj6q8b4/nvidia_jpg

http://thyrsi.com/t6/661/1548166332×1822614266.jpg

https://www.upload.ee/files/9524558/yyy.jpg.html

https://www.upload.ee/files/9627074/33.txt.html

https://www.upload.ee/files/9627079/33.txt.html

https://anonfiles.com/w060Rfu8bd/yhzl_jpg

https://www.upload.ee/files/9612530/yhzl.jpg.html

https://anonfiles.com/afybRbufb7/8888_jpg

https://anonfiles.com/x9Gcj6q8b4/nvidia_jpg

https://www.upload.ee/files/9407094/nvidia.jpg.html

http://thyrsi.com/t6/673/1550933430×1822614074.jpg

http://thyrsi.com/t6/673/1550932553×2728294202.jpg

 

PDB信息:

D:\正在测试的\最新开发版\永恒之蓝完整包城通网盘版\C++DLL释放运行EXEBAK支持64位\C++DLL释放运行EXEBAK\Release\x64\RunResExe.pdb

取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php