警惕利用AutoHotKey程序传播的挖矿网络

栏目: 编程工具 · 发布时间: 6年前

内容简介:声明:本文由二进制分析小组@360 A-Team原创,仅用于研究交流,不恰当使用会造成危害,严禁违法使用,否则后果自负。

这是360 A-Team的第17篇文章

声明:本文由二进制分析小组@360 A-Team原创,仅用于研究交流,不恰当使用会造成危害,严禁违法使用,否则后果自负。

0x00:概述

近日, 360 安全监测与响应中心接到某企业客户反馈,某台办公机出现了卡顿的现象,同时在系统中发现了多个异常进程,经过溯源关联分析,发现背后是一个近期开始活跃的传播挖矿木马以及窃密木马的黑客团伙,该团伙收集大量破解软件以及实用系统工具,之后捆绑病毒 loader ,并大量发帖宣传,恶意程序获得执行后,会下载并运行 xmrig 挖矿程序以及 AZORult 窃密木马,不仅利用受害者主机资源挖矿牟利,同时还窃取用户的比特币钱包, paypal 账号等信息,值得注意的是,此次捕获的恶意程序大量使用了 AutoHotKey 脚本,大大降低了挖矿团伙的开发成本

0x01:感染过程分析

获得客户同意后, 360 安全监测与响应中心对被感染主机进行了远程排查,与使用者交流后发现,该主机前一天刚刚重做系统,安装了大量软件,研究人员随后对浏览器下载记录进行检查,发现该主机使用者安全意识较好,软件均为官网下载安装,在对所有软件进行检查,排除供应链污染可能性后,下载历史中一个小 工具 引起了研究人员的注意,但是该工具使用后已经被删除

警惕利用AutoHotKey程序传播的挖矿网络

重新下载发现链接也已经失效,显示文件已过期,这更说明了文件的可疑

警惕利用AutoHotKey程序传播的挖矿网络

后期结合威胁情报找到了攻击者投放的其中一个恶意软件,补齐了攻击链条,并确定前文下载的工具就是病毒入口, 360 安全监测与响应中心分析了整个攻击链条如下 :

警惕利用AutoHotKey程序传播的挖矿网络

0x02:样本分析

我们将此次事件中主要文件以列表形式整理如下,并逐一进行分析

文件路径

MD5

作用

%TEMP%\25565740\ic-0.35a503e0884b.exe

822b8c413bd5d1ceefae7c759721f44e

释放并执行 Blogger.exe

C:\ProgramData\Blogger\Blogger.exe

75c8dfaf2ae56307755b04ef6af19390

下载并执行 1.exe 2.exe

C:\ProgramData\1.exe

30e09c6b824fba46e0580254c0f233ae

释放并执行 xmrig 矿机

C:\ProgramData\2.exe

ccadc0d2a581bcab9954fe40e8cccdac

释放并执行 AZORult 窃密木马

0x03:样本分析 -- ic-0.35a503e0884b.exe

当用户运行恶意工具时,会在 Temp 目录下释放 ic-0.35a503e0884b.exe ,经分析该文件为 AutoHotKey 脚本打包而成,在资源节可以提取明文脚本,脚本如下 :

警惕利用AutoHotKey程序传播的挖矿网络

可以看出主要功能为释放并执行 C:\ProgramData\Blogger\Blogger.exe 并添加启动项,经过对捕获的其他样本分析,所有染毒工具都会在 Temp 目录下释放名为 ic+ 随机数的恶意程序

0x04:样本分析 -- Blogger.exe

Blogger.exe 同样为 AutoHotKey 脚本打包而成,会联网下载运行 1.exe 以及 2.exe ,并释放执行一次 IPRAS.vbs ,之后删除 IPRAS.vbs

警惕利用AutoHotKey程序传播的挖矿网络

IPRAS .vbs脚本如下,经过我们对后期关联到的样本的分析,每个样本IPRAS.vbs中链接都不同,但是都指向同一个IP 88.99.66.31,推测功能为统计每个恶意程序的感染情况

警惕利用AutoHotKey程序传播的挖矿网络

我们的监控系统也发现了下载服务器 mcdir.ru 7 8 两月都出现了访问高峰

警惕利用AutoHotKey程序传播的挖矿网络

通过威胁情报关联到的 myihor.ru 同样出现了访问高峰

警惕利用AutoHotKey程序传播的挖矿网络

0x05:样本分析 -- 1.exe

1.exe 为自解压压缩包,解压后执行 pmcyowrurg.vbs

警惕利用AutoHotKey程序传播的挖矿网络

解压后文件如下 :

文件路径

MD5

作用

C:\ProgramData\nwnmsxuc.exe

a3af8f589a1d693fe9de72099aaee783

Winrar 程序,用于解压缩

C:\ProgramData\pmcyowrurg.vbs

f32482acbe09b049ddafaf2ca49b7857

解压 pmcyowrurg.rar

C:\ProgramData\pmcyowrurg.rar

4927186d64e430efbb9efee5346f2b61

存放挖矿程序及相关启动脚本,配置文件

pmcyowrurg.vbs 脚本如下,主要功能为通过 nwnmsxuc.exe ( winrar.exe )使用密码 jqktgaqlorpsqs 解压 C:\ProgramData\pmcyowrurg.rar "C:\ProgramData\kxjfamiehf\" ,之后执行 "C:\ProgramData\kxjfamiehf\eoptvbkvxvaz.vbs" ,最后清除部分文件

警惕利用AutoHotKey程序传播的挖矿网络

pmcyowrurg.rar 解压后 C:\ProgramData\kxjfamiehf\ 目录下文件如下 :

文件路径

MD5

作用

eoptvbkvxvaz.vbs

891b4eb66ca5a5b67f73f48673a3b349

添加计划任务,定时调用 Checks.vbs 检测分析工具

Checks.vbs

d6d772fe4c41d64f3c44b4eaa5ee4412

检测分析工具

zuvdorktks.vbs

d7834d0a53d29f3e9e3a16a0a2f4c187

执行 atisqbbafi.vbs

atisqbbafi.vbs

6967a1d8bdc7b0ed2815be91fdeb511c

执行 jcoxznjlykp.exe

jcoxznjlykp.exe

a276fe03db37d0bd17b4ac656be8f8df

加壳的 Xmrig 挖矿程序

config.json

c9b152c1abb97d859258e659da9a6d69

挖矿程序配置文件

eoptvbkvxvaz.xml

27fdaec737ea64ace5a857ca1ef871bf

计划任务配置文件

eoptvbkvxvaz.vbs 脚本如下,主要功能为复制 Checks.vbs "C:\Users\Public\Libraries\" ,为 Checks.vbs 添加计划任务,将 C:\ProgramData\kxjfamiehf\ 目录设置为隐藏

警惕利用AutoHotKey程序传播的挖矿网络

Checks.vbs 脚本如下,主要功能为通过两层 vbs 运行 xmrig 挖矿程序,检查系统进程中是否存在分析工具,如果存在则关闭挖矿进程

警惕利用AutoHotKey程序传播的挖矿网络

样本检测的分析工具如下表

taskmgr.exe

ProcessHacker.exe

procexp64.exe

HWMonitor_x64.exe

HWMonitor.exe

SystemExplorer.exe

AnVir.exe

Speccy64.exe

HWMonitor_x32.exe

aida64.exe

HWiNFO64.EXE

HWiNFO32.EXE

Checks.vbs 调用 zuvdorktks.vbs zuvdorktks.vbs 调用 atisqbbafi.vbs atisqbbafi.vbs 拉起挖矿程序

警惕利用AutoHotKey程序传播的挖矿网络

jcoxznjlykp.exe MPRESS 壳的 64 PE 文件,脱壳后分析为 VC 编写,运行后会在内存中解密出 UPX 加壳的 xmrig 矿机,并调用 shellcode 在内存中解析并调用矿机程序, shellcode 为硬编码在样本中

警惕利用AutoHotKey程序传播的挖矿网络

值得注意的是,样本将 shellcode 分割为 DWORD 存储,调用之前再复制到缓冲区,起到了躲避静态扫描的作用

警惕利用AutoHotKey程序传播的挖矿网络

0x06:样本分析 – 2.exe

2.exe 32 位无壳 PE 文件,使用与 1.exe 中矿机相同的加载方法,将 PE 文件 dump 下分析为 AZORult 窃密木马,可以窃取受害者浏览器密码, paypal 账号,比特币钱包等敏感信息,通过威胁情报关联,找到了一个木马打包的受害者信息,内含大量敏感信息

警惕利用AutoHotKey程序传播的挖矿网络

IOC 信息

矿池地址及 C&C

IP/URL

说明

tiriff.info[:]8888

私有矿池地址

izvekovasusanna.mcdir.ru

1.exe,2.exe 下载地址

2no.co

统计链接

www.tinevenghansanddown.com

AZORult 回连 C&C

myihor.ru

威胁情报关联到的 1.exe 下载域名

radisol.org

威胁情报关联到的 1.exe 下载域名

izvekovasu.tmp.fstest.ru

威胁情报关联到的 1.exe 下载域名

worm.noiseoranges.fun

染毒工具下载域名

hall.attractionsecretary.club

染毒工具下载域名

后给出感染情况统计服务器 88.99.66.31 2018 年的历史解析,

最可以据此排查

imap.yip.su

mcm.iplogger.com

www.iplogger.co

api.iplogger.com

02ip.ru

enterpriseenrollment.iplogger.ru

iplogger.org

ezstat.ru

office.iplogger.com

blog.iplogger.org

corp.ezstat.ru

cdn-www.ezstat.ru

pub-my.iplogger.com

css.iplogger.ru

www.iplogger.ru

message.ezstat.ru

cdn-www.ezstat.ru

iplogger.co

yip.su

www.iplis.ru

www.iplogger.ru

devqa.iplogger.org

imap.iplogger.com

mail.ezstat.ru

docs.ezstat.ru

static.31.66.99.88.clients.your-server.de

superadmin.maper.info

2no.co

sentry.ezstat.ru

pages.ezstat.ru

m.iplogger.com

de.ezstat.ru

dwww.iplogger.org

iplogger.info

iplogger.blog

plus.ezstat.ru

promod.iplogger.org

api.ezstat.ru

yip.su

onelogin.ezstat.ru

mobile.iplogger.com

support02.maper.info

media2.iplogger.org

qa.ezstat.ru

dashboard.ezstat.ru

prx.ezstat.ru

ipgraber.ru

login.ezstat.ru

wldcrdrcrd.ezstat.ru

dr.iplogger.ru

iplo.ru

support02.maper.info

games.ezstat.ru

partners.ezstat.ru

alfa.maper.info

bes.ezstat.ru

qa.ezstat.ru

yip.su

blog.iplogger.org

jenkins.ezstat.ru

pma.deorg.ru

ease.iplogger.org

ftp.iplogger.com

devtest.iplogger.ru

antispam.iplogger.com

ease.iplogger.com

www.iplogger.org

www.ezstat.ru

apac.ezstat.ru

iplogger.info

awmdm.ezstat.ru

plus.ezstat.ru

pages.ezstat.ru

games.ezstat.ru

cs.ezstat.ru

beta.iplogger.ru

prd.iplogger.ru

aws.ezstat.ru

prix.iplogger.org

live.ezstat.ru

www.02ip.ru

mobicontrol.iplogger.com

vpc.ezstat.ru

www.iplogger.info

en-gb.iplogger.com

maper.info

wdw.iplogger.org

webmail.iplogger.com

mobileiron.iplogger.com

soti.ezstat.ru

pro.iplogger.org

2no.co

mi1.ezstat.ru

common.ezstat.ru

touch.ezstat.ru

corp.ezstat.ru

jiangmen.iplogger.org

apac.ezstat.ru

ad.ezstat.ru

iplogger.ru

embed.iplogger.ru

ddd.iplogger.org

iplogger.ru

www-origin.ezstat.ru

aws.ezstat.ru

forum.iplogger.com

chefserver.iplogger.ru

mcm.iplogger.com

work.ezstat.ru

maper.info

www.wwqw.iplogger.org

www.iplogger.co

prod.ezstat.ru

www.2no.co

www.iplogger.com

www.ww.iplogger.org

data.ezstat.ru

sql.iplogger.ru

www.ezstat.ru

www.iplogger.com

ezstat.ru

sas.iplogger.ru

mail.ezstat.ru

docker.ezstat.ru

2.iplogger.org

deorg.ru

pip.iplogger.com

www.code.iplogger.org

www.yip.su

iplogger.org

02ip.ru

platform.ezstat.ru

docs.ezstat.ru

sdfsd.iplogger.com

smtp.iplogger.org

www.2no.co

wwqw.iplogger.org

cloud.ezstat.ru

ddd.iplogger.org

lbl.ezstat.ru

mon.ezstat.ru

ww2w.iplogger.org

www.iplogger.org

work.ezstat.ru

iplogger.com

mh.iplogger.org

iplogger.com

iplogger.com

soti.ezstat.ru

portal.ezstat.ru

zh-tw.maper.info

tracker.ezstat.ru

qwww.iplogger.org

sentry.iplogger.com

cdn-www.iplogger.ru

chat.iplogger.ru

sub.ezstat.ru

controlpanel.ezstat.ru

mail.iplogger.info

mail.iplogger.com

eventtracker.iplogger.ru

img1.iplogger.org

www.iplogger.org

airwatch.iplogger.ru

www.iplo.ru

mail.2no.co

tracker.ezstat.ru

iplogger.co

ww2.iplogger.org

sto.iplogger.ru

wiki.ezstat.ru

mobility.iplogger.org

static.ezstat.ru

mi1.ezstat.ru

iplogger.blog

www.maper.info

media2.ezstat.ru

mail.iplogger.org

api.iplogger.com

2no.co

quzhou.iplogger.ru

www.ww.iplogger.org

eis.ezstat.ru

iplis.ru

iplis.ru

smtp.iplogger.org

www.ipgraber.ru

s0.ezstat.ru

pop.ezstat.ru

svr1.imagespost.com

www.maper.info

dr.ezstat.ru

epay.iplogger.ru

live.ezstat.ru

chat.iplogger.ru

ease.iplogger.com

mam.ezstat.ru

mail.iplogger.org

www.blog.iplogger.org

watch.ezstat.ru

rtr.ezstat.ru

www.yip.su

de.ezstat.ru

ipgrabber.ru

svr1.imagespost.com

ipgrabber.ru

iplo.ru

iplogger.org

dashboard.ezstat.ru

sdds-gov-cn.iplogger.com


以上所述就是小编给大家介绍的《警惕利用AutoHotKey程序传播的挖矿网络》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

JavaScript高级程序设计:第2版

JavaScript高级程序设计:第2版

Nicholas Zakas / 李松峰、曹力 / 人民邮电出版社 / 2010-7 / 89.00元

《JavaScript高级程序设计(第2版)》在上一版基础上进行了大幅度更新和修订,融入了近几年来JavaScript应用发展的最新成果,几乎涵盖了所有需要理解的重要概念和最新的JavaScript应用成果。从颇具深度的JavaScript语言基础到作用域(链),从引用类型到面向对象编程,从极其灵活的匿名函数到闭包的内部机制,从浏览器对象模型(BOM)、文档对象模型(DOM)到基于事件的Web脚本......一起来看看 《JavaScript高级程序设计:第2版》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

在线进制转换器
在线进制转换器

各进制数互转换器

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换