安全路透社
当前位置:安全路透社 > 网络转载 > 正文

“大黄蜂”远控挖矿木马分析与溯源

事件背景

近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿功能,用户的机器实现自己利益最大化。通过哈勃同源系统的分析发现,木马作者还在频繁的更新木马功能、感染用户量迅速增加,值得引起我们足够 的关注。下面我们感染后现象、影响范围、技术分析及溯源上做详细介绍和分析。

现象危害:

感染现象

感染该类木马后,的计算机CPU经常占用 100%并且 发现常驻进程 winInit.exe。同时查看启动的服务,会发现名为Apache Tomcat 9.0 Tomca9 服务处于启动状态。

“大黄蜂”远控挖矿木马分析与溯源

“大黄蜂”远控挖矿木马分析与溯源

影响范围:

通过访问黑客服务器,可以看到恶意程序 xz.exexz32.exe 都有上万的下载量 并且通过观察发现,每日新增下载量也不断增大, 病毒程序感染了越来越多的受害者

“大黄蜂”远控挖矿木马分析与溯源

技术分析:

通过分析发现,该木马启动后,会释放多个可执行文件我们按其 实现不同 功能,将这些 执行程序划分为远控模块、挖矿模块清理模块三个模块,分别用于远程控制、虚拟货币挖矿以及删除清理文件以躲避查杀。

“大黄蜂”远控挖矿木马分析与溯源

下面我们将从技术细节上详细介绍下主要的模块

远控模块

1. 888.exe运行后会 资源释放dll 文件,并命名为随机名接着 888.exe会将释放的dll文件注册为RemoteAccess服务 通过从新启动服务已得到加载该dll。

“大黄蜂”远控挖矿木马分析与溯源

dll加载会删除系统log日志,并将自身复制%ProgramData%\Aebblnroq.psd ,同时还会向 %ProgramData%\Aebblnroq.psd写入大量随机数躲避云查 但我们发现,有 一定的几率会把%ProgramData%\Aebblnroq.psd文件写坏,导致无法正常运行。接着会 注册%ProgramData%\Aebblnroq.psd Tomcat9 服务:

“大黄蜂”远控挖矿木马分析与溯源

“大黄蜂”远控挖矿木马分析与溯源

2. 8881.exe运行后会在%TEMP%目录 释放随机名的dll文件,并调用其导出函数Install ,安装该dll为服务名为Microsoft Corporationot的 服务。

“大黄蜂”远控挖矿木马分析与溯源

“大黄蜂”远控挖矿木马分析与溯源

服务启动后,获取加密用户计算机版本信息等隐私信息发送到服务器,并等待服务器的远控指令

“大黄蜂”远控挖矿木马分析与溯源

通过发送数据以及加密方式的分析,我们可以出发送的数据和加密方式和Gh0st远控非常相似,可以认定其为Gh0st远控的变种:

“大黄蜂”远控挖矿木马分析与溯源

(解密后的数据

3. server.exe运行后会复制自身为随机名,并在文件最后填充大量的0,使得大小可以有20多M,用来躲避云查。随后 将该文件注册为系统服务。

“大黄蜂”远控挖矿木马分析与溯源 

“大黄蜂”远控挖矿木马分析与溯源 

挖矿模块

木马启动后会在%TEMP%目录下释放xmrigbu.exe 可执行文件可执行文件首先会将自身复制到%windir%\w1ninit.exe

“大黄蜂”远控挖矿木马分析与溯源

w1ninit.exe运动后创建%TEMP%\win1nit\win1nit.exe用于 挖矿,该文件UPX加壳 保护。通过分析发现,%TEMP%\win1nit\win1nit.exe 会首先访问服务器获取挖矿信息,包括矿池、矿工ID等随后会配置好参数进行挖矿

“大黄蜂”远控挖矿木马分析与溯源

“大黄蜂”远控挖矿木马分析与溯源

“大黄蜂”远控挖矿木马分析与溯源

我们可以看到服务器返回的矿池和矿工信息,通过查询矿工的收益 可以看到不长时间内,已经 14个Monero币,按前$120的价格算,已经收益$ 1680折合人民币10840

“大黄蜂”远控挖矿木马分析与溯源

清理模块

恶意木马运行最后会创建%TEMP%\ ~DeL!.bAt文件 用来删除自身 从而达到隐藏 目的

溯源:

由上边的分析可以看到木马访问了7**.me和6**.me 两个域名,查询其ip地址为50.***.***.38 位于美国境内。 查询域名的whois信息发现,其whois信息隐私保护,未能查到有效的信息:

“大黄蜂”远控挖矿木马分析与溯源

我们通过访问黑客的服务器跟踪发现服务器 出现了一个名为“桌面.zip 压缩包文件 。下载解压缩该文件,其中有一个名为“何以解忧Ver6.3s.exe 文件,该文件为.Net编写通过分析 二进制里边包含 链接地址www.0***.com ,经由whois查询 我们得知了一些黑客作者的信息:

“大黄蜂”远控挖矿木马分析与溯源

其中,可以看到,该域名注册者名为Huang Feng 地址为福建泉州市(Fu Jian Sheng Quan Zhou Shi Zhong Shan Nan Lu ),电话为132****0024 邮箱为10******60@qq.com。从 邮箱地址我们可以得到域名注册者的QQ号码10******60。通过这些信息,我们可以对该木马作者做出 更加 详细的画像。

通过域名注册者的电话号码查询其支付宝帐号我们可以看到其地区为福建泉州,与域名whois注册信息相符,可以确定whois注册信息 准确性 由于支付宝帐户名称和真实姓名隐私保护,我们暂得知其真实姓名和支付宝注册邮箱信息。

“大黄蜂”远控挖矿木马分析与溯源

通过在搜索引擎上查询其QQ号码可以看到该木马作者活跃于各类工具类论坛,热衷于提权、DDoS 僵尸网络等技术

“大黄蜂”远控挖矿木马分析与溯源

通过其在某论坛上的留言,木马作者声称自己叫”小峰 这与我们查询 域名whois信息得到的注册人名字(Huang Feng) 相符合,我们推测木马作者中文名字为“ 黄峰

“大黄蜂”远控挖矿木马分析与溯源

接着,我们查询其QQ信息,得知木马作者年龄可能在18岁左右

“大黄蜂”远控挖矿木马分析与溯源 

我们进一步去访问其QQ空间,可以看到其相册封面是只黄蜂,同时 ,相册里有张王者荣耀的截图得知其王者荣耀帐号名称为“bumblebees” 黄蜂的意思与其真实姓名“峰”谐音 通过 分析的照片可以看到作者应该年纪不大其中一个相册需要密码访问,而密码提示为“啥子学校”,可以间接印证木马作者应该还在上学或刚毕业 与QQ登记 18岁相符合

“大黄蜂”远控挖矿木马分析与溯源

通过以上的溯源分析我们可以得到该木马作者的基本画像:

姓名黄峰

年龄18岁

地址:福建泉州

爱好:黑客工具、论坛王者荣耀

目前,腾讯电脑管家哈勃分析系统可以准备识别该类病毒,安装电脑管家的用户无需担心感染该病毒

*本文作者:腾讯电脑管家,转载请注明来自 FreeBuf.COM

未经允许不得转载:安全路透社 » “大黄蜂”远控挖矿木马分析与溯源

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册