事件背景:
近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器来实现自己利益的最大化。通过哈勃同源系统的分析发现,木马作者还在频繁的更新木马功能、感染用户量也在迅速增加,值得引起我们足够 的关注。下面我们会从感染后现象、影响范围、技术分析及溯源上做详细介绍和分析。
现象与危害:
感染现象
感染该类木马后,您的计算机CPU经常占用 100%,并且 会发现常驻进程 winInit.exe。同时,查看启动的服务,会发现名为Apache Tomcat 9.0 Tomca9 的服务处于启动状态。
影响范围:
通过访问黑客的服务器,可以看到恶意程序 xz.exe和xz32.exe 都有上万的下载量。 并且,通过观察发现,每日新增下载量也不断增大, 病毒程序感染了越来越多的受害者。
技术分析:
通过分析发现,该木马启动后,会释放多个可执行文件,我们按其 实现的不同的 功能,将这些可 执行程序,划分为远控模块、挖矿模块和清理模块三个模块,分别用于远程控制、虚拟货币挖矿以及删除清理文件以躲避查杀。
下面我们将从技术细节上详细介绍下主要的模块 。
远控模块
1. 888.exe运行后会从 资源里释放dll 文件,并命名为随机名。接着 , 888.exe会将释放的dll文件注册为RemoteAccess服务 项,并通过从新启动服务已得到加载该dll。
该dll加载后,会删除系统log日志,并将自身复制为%ProgramData%/Aebblnroq.psd ,同时,还会向%ProgramData%/Aebblnroq.psd写入大量随机数以躲避云查, 但我们发现,有 一定的几率会把%ProgramData%/Aebblnroq.psd文件写坏,导致无法正常运行。接着会 注册%ProgramData%/Aebblnroq.psd为Tomcat9 服务:
2. 8881.exe运行后会在%TEMP%目录 释放随机名的dll文件,并调用其导出函数Install ,安装该dll为服务名为Microsoft Corporationot的 服务。
服务启动后,获取、加密用户计算机版本信息等隐私信息发送到服务器,并等待服务器的远控指令 。
通过对发送数据以及加密方式的分析,我们可以看出发送的数据和加密方式和Gh0st远控非常相似,可以认定其为Gh0st远控的变种:
(解密后的数据)
3. server.exe运行后会复制自身为随机名,并在文件最后填充大量的0,使得大小可以有20多M,用来躲避云查。随后 将该文件注册为系统服务。
挖矿模块
木马启动后会在%TEMP%目录下释放xmrigbu.exe 可执行文件,该可执行文件首先会将自身复制到%windir%/w1ninit.exe :
w1ninit.exe运动后会创建%TEMP%/win1nit/win1nit.exe用于 挖矿,该文件由UPX加壳 保护。通过分析发现,%TEMP%/win1nit/win1nit.exe 会首先访问服务器获取挖矿信息,包括矿池、矿工ID等,随后会配置好参数进行挖矿 :
我们可以看到服务器返回的矿池和矿工信息,通过查询矿工的收益 ,可以看到不长时间内,已经挖到了 14个Monero币,按当前$120的价格算,已经收益$ 1680,折合人民币10840元。
清理模块
恶意木马运行最后会创建%TEMP%/ ~DeL!.bAt文件, 用来删除自身, 从而达到隐藏的 目的。
溯源:
由上边的分析可以看到该木马访问了7**.me和6**.me 两个域名,查询其ip地址为50.***.***.38 ,位于美国境内。 查询域名的whois信息发现,其whois信息有隐私保护,未能查到有效的信息:
我们通过访问黑客的服务器,跟踪发现服务器 出现了一个名为“桌面.zip ”的压缩包文件 。下载解压缩该文件,其中有一个名为“何以解忧Ver6.3s.exe” 的 文件,该文件为.Net编写,通过分析该 二进制里边包含的 链接地址www.0***.com ,经由whois查询 ,我们得知了一些黑客作者的信息:
其中,可以看到,该域名注册者名为Huang Feng, 地址为福建泉州市(Fu Jian Sheng Quan Zhou Shi Zhong Shan Nan Lu),电话为132****0024, 邮箱为10******60@qq.com。从 邮箱地址我们可以得到域名注册者的QQ号码为10******60。通过这些信息,我们可以对该木马作者做出 更加 详细的画像。
通过域名注册者的电话号码查询其支付宝帐号,我们可以看到其地区为福建泉州,与域名whois注册信息相符,可以确定whois注册信息 的准确性。 由于支付宝帐户名称和真实姓名有隐私保护,我们暂为得知其真实姓名和支付宝注册邮箱信息。
通过在搜索引擎上查询其QQ号码,可以看到该木马作者活跃于各类工具类论坛,热衷于提权、DDoS 、僵尸网络等技术:
通过其在某论坛上的留言,木马作者声称自己叫”小峰 ”,这与我们查询 域名whois信息得到的注册人名字(Huang Feng) 相符合,我们推测木马作者中文名字为“ 黄峰 ”:
接着,我们查询其QQ信息,得知木马作者年龄可能在18岁左右:
我们进一步去访问其QQ空间,可以看到其相册封面是只黄蜂,同时 ,相册里有张王者荣耀的截图,得知其王者荣耀帐号名称为“bumblebees” ,为大 黄蜂的意思,与其真实姓名“黄峰”谐音。 通过 分析的照片可以看到作者应该年纪不大。其中一个相册需要密码访问,而密码提示为“啥子学校”,可以间接印证木马作者应该还在上学或刚毕业 ,与QQ登记的 18岁相符合。
通过以上的溯源分析,我们可以得到该木马作者的基本画像:
姓名:黄峰
年龄:18岁
地址:福建泉州市
爱好:黑客工具、论坛;王者荣耀
目前,腾讯电脑管家和哈勃分析系统均可以准备识别该类病毒,安装电脑管家的用户无需担心感染该病毒 。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/54852.html