安全中心 > 安全热点分析 > 挖矿木马藏身“装修视频”

挖矿木马藏身“装修视频”

时间:2018年 04月 09日   作者:腾讯反病毒实验室

0x1 概述

挖矿木马潜伏技巧越来越,一些藏在外挂辅助、浏览器中,甚至可以藏在广告短链,近期腾讯安全御见威胁情报中心捕获到一款挖矿木马该挖矿木马藏在“装修视频”中。

经分析,此挖矿木马伪装“装修视频”及锁主页软件在某软件下载网站传播,挖矿木马基于xmrig开源挖矿程序修改已监测到三个同源变种。该挖矿木马会22款主流杀毒软件的数字签名添加到不受信任的列表,使杀毒软件杀毒功能异常,且无法升级更新和重新安

该挖矿木马设计精巧,伪装及复活能力强,目前已知功能:渠道传播、多入口复活,同类排斥、远控、挖矿破坏杀毒软件

挖矿木马执行流程:

 

0x2 样本分析

木马图标及文件名具有迷惑性,甚至加上后缀,极力把自己伪装成装修视频其真实身份是一个可执行应用程序

 

 

首先释放run.batsvchost.exefang.wmvC:\Windows\debug 目录,fang.wmv是一段室内精装修视频为了不引起怀疑,木马在启动后会播放这段

 

run.bat执行安装动作,负责安装木马守护服务svchost.exe,并传递相关挖矿参数、该挖矿木马对CPU使用率限制为50%不至于在挖矿木马工作时机器卡死进而不易被察觉。

 

svchost.exe是基于nssm的开源服务封装程序,通过比对逆向入口代码与开源项目main函数可看出来,开源nssm服务入口代码段:

 

挖矿木马携带的svchost入口代码段

 

该服务助手会监视挖矿木马进程,如果被终止会立即复活挖矿木马

 

挖矿木马释放conhosts.exesd.regC:\ProgramData\Temp目录下,Sd.reg拼音简写看与杀毒软件有关,目的是破坏杀毒软件功能原理是通过注册表写入把各杀毒软件证书设置为不受信任(吊销),直接导致杀毒软件自身数字签名校验失败,破坏杀毒功能

Sd.reg内容

 .

目前该木马共禁止22家安全软件的数字签名。

 

conhosts.exe则是基于xmrig开源挖矿程序编译的从字符串可以看出是xmrig2.3.1版本。

 

该版本2017年8提交的。

 

该矿码MD5值与github版本并不一致原因是挖矿木马xmrig2.3.1版本进行自编译,同时修改了版本信息伪装成一款文件对比工具。

 

木马释放三个lnk到开始菜单目录,诱导用户点击达到复活目的。

 

0x3 关联分析

矿机基于xmrig 2.3.1内核做了修改,定制版本信息,特殊版本进行追溯,基于此版本多个变种

变种

本篇技术分析部分矿机和视频文件setup factory 7.0进行了封装,解包后可知投毒昵称为skydragon。

 

该变种不仅会伪装成“装修视频”也会藏在某些锁首页软件中,且这些软件被放置云服务器上并最终上架到易平推软件平台

易平推软件平台主要是一些自主开发的黑灰软件,包括外挂辅助、一些数据保护工具如:易平推射击游戏九开软件多开辅助工具、易平推专业版反盗号软件反盗号神器、会员账号获取器等。

这些软件都会附带静默广模块,如富媒体弹窗软件推装、导流等,推广模块根据推广列表执行动作。该变种传播流程:

 

挖矿木马传至国内某云服务器,而后出现平推的首推荐位,锁首url指向云服务器上的文件server.exe文件同样用setup factory 7.0打包,解包后可看到是一个门罗币静默挖矿木马并且可以确定这个木马也是skydragon投放某云会员ID1080180。

 

通过易平推域名反查,发现与投毒者的某云会员ID一样的网址这些网站都托管在国内某云服务器上

 

由此可知,网名为skydragon的人易平推网站的所有者,开发多款黑灰产软件,并在自身软件平台上投放木马这个平台没有正规的首页打开首页后会直接跳转到国内各导航网站,目前共有4个导航地址随机跳转

 

矿池地址:

皮皮虾矿池 mine.ppxxmr.com碧池 get.bi-chi.com:5555

钱包地址:46U8UUW1ekBc8qEu2hVqgsJfkZq9QGVah2wrc1nx51ER2sXdsPQtimD3Gyg2yzcDY5WzuKT56dwtSaNnKtMGFuBZ4egVagc

钱包已交易76门罗币,按目前均1200人民币计算,总值约9.5万人民币。

 

从钱包支付记录下,skydragon大致2017年8月左右启用这个钱包。

 

与腾讯电脑管家监控到的日期一致目前该挖矿木马已累计影响超5台机器,高峰在线4

 

变种二

干掉其他挖矿木马复活自身。

 

Loaderxmr.exe属于监视服务程序,负责调度复活脚本以及干掉其他挖矿木马,进程复活主要通过AutoRunApp.vbs脚本调用wmi接口完成进程复活。

 

挖矿木马有专门的生成器,价值200人民币,在各黑客技术论坛传播

 

但该变种并不单独投放到受害者机器上,而是供各黑客下载修改后通过其他载体投放钱包地址:

48mP62rjw2GfZ7DUPzgm3dD6bci3PnfdCFZGYbtiEicqCMh1fBzFKJBQ4UsHDZX5dmfNM1CLxeNwLWEu4PxVSGsbVYoRnMM

总交易量有20个门罗币。

 

变种三

变种基础上加入了后门功能,这个变种甚至被静默投放一些黑客工具中,如某DDoS黑客工具中,出现了黑吃黑的现象

 

目录010、020被静默安放后门,经分析这是一款灰鸽子远控,后门C2使用f3322动态域名,连接后会下载挖矿木马,使用这类工具的“小白攻击别人的同时也被别人控制着

从这变种提取的钱包地址却和变种二的钱包地址相同,由此可以确定,变种二的开发者也即是变种三的投放者

基于该挖矿木马的变种版本发展:

 

0x4 解决方案

挖矿木马伪装技巧层出不穷,如今藏在“装修视频”腾讯电脑管家提醒用户不要随意点开未知来源的视频,电脑管家的“反挖矿防护”功能已覆盖电脑管家全版本用户,为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行,保持电脑管家运行状态即可对此类挖矿木马进行全面拦截。

 

0x5 IOCs

C2

1322.f3322[.]net

1321.f3322[.]org

222.186.21.66:6666

222.186.21.66:7890

mmd165[.]com

112.85.218.36:6666

221.229.204.122:6666

222.186.21.66:7890

61.147.125.116:80

58.218.200.8:7890

www.ytp88[.]com

www.oiiin[.]com

MD5

4405c4f076beba0acafbf91641da0acf

20E01F78A4EA17385722E9E051ACD3F4

8CE249A73D319F2317D7F065E8A8CFBF

c170511e0bba4206daf6ceaf6c29bf9b

94fe91f1a6ac58f5e7e2efe9baf95424

1f15e95299c7fbaee90a9e94dad93202

1722acba7e7a61b041db3c855f3db39f

 

门罗币钱包:

46U8UUW1ekBc8qEu2hVqgsJfkZq9QGVah2wrc1nx51ER2sXdsPQtimD3Gyg2yzcDY5WzuKT56dwtSaNnKtMGFuBZ4egVagc

48mP62rjw2GfZ7DUPzgm3dD6bci3PnfdCFZGYbtiEicqCMh1fBzFKJBQ4UsHDZX5dmfNM1CLxeNwLWEu4PxVSGsbVYoRnMM

 

相关热点分析