内容简介:声明:本文由二进制分析小组@360 A-Team原创,仅用于研究交流,不恰当使用会造成危害,严禁违法使用,否则后果自负。
这是360 A-Team的第17篇文章
声明:本文由二进制分析小组@360 A-Team原创,仅用于研究交流,不恰当使用会造成危害,严禁违法使用,否则后果自负。
0x00:概述
近日, 360 安全监测与响应中心接到某企业客户反馈,某台办公机出现了卡顿的现象,同时在系统中发现了多个异常进程,经过溯源关联分析,发现背后是一个近期开始活跃的传播挖矿木马以及窃密木马的黑客团伙,该团伙收集大量破解软件以及实用系统工具,之后捆绑病毒 loader ,并大量发帖宣传,恶意程序获得执行后,会下载并运行 xmrig 挖矿程序以及 AZORult 窃密木马,不仅利用受害者主机资源挖矿牟利,同时还窃取用户的比特币钱包, paypal 账号等信息,值得注意的是,此次捕获的恶意程序大量使用了 AutoHotKey 脚本,大大降低了挖矿团伙的开发成本
0x01:感染过程分析
获得客户同意后, 360 安全监测与响应中心对被感染主机进行了远程排查,与使用者交流后发现,该主机前一天刚刚重做系统,安装了大量软件,研究人员随后对浏览器下载记录进行检查,发现该主机使用者安全意识较好,软件均为官网下载安装,在对所有软件进行检查,排除供应链污染可能性后,下载历史中一个小 工具 引起了研究人员的注意,但是该工具使用后已经被删除
重新下载发现链接也已经失效,显示文件已过期,这更说明了文件的可疑
后期结合威胁情报找到了攻击者投放的其中一个恶意软件,补齐了攻击链条,并确定前文下载的工具就是病毒入口, 360 安全监测与响应中心分析了整个攻击链条如下 :
0x02:样本分析
我们将此次事件中主要文件以列表形式整理如下,并逐一进行分析
| 文件路径 |
MD5 |
作用 |
| %TEMP%\25565740\ic-0.35a503e0884b.exe |
822b8c413bd5d1ceefae7c759721f44e |
释放并执行 Blogger.exe |
| C:\ProgramData\Blogger\Blogger.exe |
75c8dfaf2ae56307755b04ef6af19390 |
下载并执行 1.exe 与 2.exe |
| C:\ProgramData\1.exe |
30e09c6b824fba46e0580254c0f233ae |
释放并执行 xmrig 矿机 |
| C:\ProgramData\2.exe |
ccadc0d2a581bcab9954fe40e8cccdac |
释放并执行 AZORult 窃密木马 |
0x03:样本分析 -- ic-0.35a503e0884b.exe
当用户运行恶意工具时,会在 Temp 目录下释放 ic-0.35a503e0884b.exe ,经分析该文件为 AutoHotKey 脚本打包而成,在资源节可以提取明文脚本,脚本如下 :
可以看出主要功能为释放并执行 C:\ProgramData\Blogger\Blogger.exe 并添加启动项,经过对捕获的其他样本分析,所有染毒工具都会在 Temp 目录下释放名为 ic+ 随机数的恶意程序
0x04:样本分析 -- Blogger.exe
Blogger.exe 同样为 AutoHotKey 脚本打包而成,会联网下载运行 1.exe 以及 2.exe ,并释放执行一次 IPRAS.vbs ,之后删除 IPRAS.vbs
IPRAS .vbs脚本如下,经过我们对后期关联到的样本的分析,每个样本IPRAS.vbs中链接都不同,但是都指向同一个IP 88.99.66.31,推测功能为统计每个恶意程序的感染情况
我们的监控系统也发现了下载服务器 mcdir.ru 在 7 , 8 两月都出现了访问高峰
通过威胁情报关联到的 myihor.ru 同样出现了访问高峰
0x05:样本分析 -- 1.exe
1.exe 为自解压压缩包,解压后执行 pmcyowrurg.vbs
解压后文件如下 :
| 文件路径 |
MD5 |
作用 |
| C:\ProgramData\nwnmsxuc.exe |
a3af8f589a1d693fe9de72099aaee783 |
Winrar 程序,用于解压缩 |
| C:\ProgramData\pmcyowrurg.vbs |
f32482acbe09b049ddafaf2ca49b7857 |
解压 pmcyowrurg.rar |
| C:\ProgramData\pmcyowrurg.rar |
4927186d64e430efbb9efee5346f2b61 |
存放挖矿程序及相关启动脚本,配置文件 |
pmcyowrurg.vbs 脚本如下,主要功能为通过 nwnmsxuc.exe ( winrar.exe )使用密码 jqktgaqlorpsqs 解压 C:\ProgramData\pmcyowrurg.rar 到 "C:\ProgramData\kxjfamiehf\" ,之后执行 "C:\ProgramData\kxjfamiehf\eoptvbkvxvaz.vbs" ,最后清除部分文件
pmcyowrurg.rar 解压后 C:\ProgramData\kxjfamiehf\ 目录下文件如下 :
| 文件路径 |
MD5 |
作用 |
| eoptvbkvxvaz.vbs |
891b4eb66ca5a5b67f73f48673a3b349 |
添加计划任务,定时调用 Checks.vbs 检测分析工具 |
| Checks.vbs |
d6d772fe4c41d64f3c44b4eaa5ee4412 |
检测分析工具 |
| zuvdorktks.vbs |
d7834d0a53d29f3e9e3a16a0a2f4c187 |
执行 atisqbbafi.vbs |
| atisqbbafi.vbs |
6967a1d8bdc7b0ed2815be91fdeb511c |
执行 jcoxznjlykp.exe |
| jcoxznjlykp.exe |
a276fe03db37d0bd17b4ac656be8f8df |
加壳的 Xmrig 挖矿程序 |
| config.json |
c9b152c1abb97d859258e659da9a6d69 |
挖矿程序配置文件 |
| eoptvbkvxvaz.xml |
27fdaec737ea64ace5a857ca1ef871bf |
计划任务配置文件 |
eoptvbkvxvaz.vbs 脚本如下,主要功能为复制 Checks.vbs 到 "C:\Users\Public\Libraries\" ,为 Checks.vbs 添加计划任务,将 C:\ProgramData\kxjfamiehf\ 目录设置为隐藏
Checks.vbs 脚本如下,主要功能为通过两层 vbs 运行 xmrig 挖矿程序,检查系统进程中是否存在分析工具,如果存在则关闭挖矿进程
样本检测的分析工具如下表
| taskmgr.exe |
| ProcessHacker.exe |
| procexp64.exe |
| HWMonitor_x64.exe |
| HWMonitor.exe |
| SystemExplorer.exe |
| AnVir.exe |
| Speccy64.exe |
| HWMonitor_x32.exe |
| aida64.exe |
| HWiNFO64.EXE |
| HWiNFO32.EXE |
Checks.vbs 调用 zuvdorktks.vbs , zuvdorktks.vbs 调用 atisqbbafi.vbs , atisqbbafi.vbs 拉起挖矿程序
jcoxznjlykp.exe 为 MPRESS 壳的 64 位 PE 文件,脱壳后分析为 VC 编写,运行后会在内存中解密出 UPX 加壳的 xmrig 矿机,并调用 shellcode 在内存中解析并调用矿机程序, shellcode 为硬编码在样本中
值得注意的是,样本将 shellcode 分割为 DWORD 存储,调用之前再复制到缓冲区,起到了躲避静态扫描的作用
0x06:样本分析 – 2.exe
2.exe 为 32 位无壳 PE 文件,使用与 1.exe 中矿机相同的加载方法,将 PE 文件 dump 下分析为 AZORult 窃密木马,可以窃取受害者浏览器密码, paypal 账号,比特币钱包等敏感信息,通过威胁情报关联,找到了一个木马打包的受害者信息,内含大量敏感信息
IOC 信息
矿池地址及 C&C
| IP/URL |
说明 |
| tiriff.info[:]8888 |
私有矿池地址 |
| izvekovasusanna.mcdir.ru |
1.exe,2.exe 下载地址 |
| 2no.co |
统计链接 |
| www.tinevenghansanddown.com |
AZORult 回连 C&C |
| myihor.ru |
威胁情报关联到的 1.exe 下载域名 |
| radisol.org |
威胁情报关联到的 1.exe 下载域名 |
| izvekovasu.tmp.fstest.ru |
威胁情报关联到的 1.exe 下载域名 |
| worm.noiseoranges.fun |
染毒工具下载域名 |
| hall.attractionsecretary.club |
染毒工具下载域名 |
后给出感染情况统计服务器 88.99.66.31 在 2018 年的历史解析,
最可以据此排查
imap.yip.su
mcm.iplogger.com
www.iplogger.co
api.iplogger.com
02ip.ru
enterpriseenrollment.iplogger.ru
iplogger.org
ezstat.ru
office.iplogger.com
blog.iplogger.org
corp.ezstat.ru
cdn-www.ezstat.ru
pub-my.iplogger.com
css.iplogger.ru
www.iplogger.ru
message.ezstat.ru
cdn-www.ezstat.ru
iplogger.co
yip.su
www.iplis.ru
www.iplogger.ru
devqa.iplogger.org
imap.iplogger.com
mail.ezstat.ru
docs.ezstat.ru
static.31.66.99.88.clients.your-server.de
superadmin.maper.info
2no.co
sentry.ezstat.ru
pages.ezstat.ru
m.iplogger.com
de.ezstat.ru
dwww.iplogger.org
iplogger.info
iplogger.blog
plus.ezstat.ru
promod.iplogger.org
api.ezstat.ru
yip.su
onelogin.ezstat.ru
mobile.iplogger.com
support02.maper.info
media2.iplogger.org
qa.ezstat.ru
dashboard.ezstat.ru
prx.ezstat.ru
ipgraber.ru
login.ezstat.ru
wldcrdrcrd.ezstat.ru
dr.iplogger.ru
iplo.ru
support02.maper.info
games.ezstat.ru
partners.ezstat.ru
alfa.maper.info
bes.ezstat.ru
qa.ezstat.ru
yip.su
blog.iplogger.org
jenkins.ezstat.ru
pma.deorg.ru
ease.iplogger.org
ftp.iplogger.com
devtest.iplogger.ru
antispam.iplogger.com
ease.iplogger.com
www.iplogger.org
www.ezstat.ru
apac.ezstat.ru
iplogger.info
awmdm.ezstat.ru
plus.ezstat.ru
pages.ezstat.ru
games.ezstat.ru
cs.ezstat.ru
beta.iplogger.ru
prd.iplogger.ru
aws.ezstat.ru
prix.iplogger.org
live.ezstat.ru
www.02ip.ru
mobicontrol.iplogger.com
vpc.ezstat.ru
www.iplogger.info
en-gb.iplogger.com
maper.info
wdw.iplogger.org
webmail.iplogger.com
mobileiron.iplogger.com
soti.ezstat.ru
pro.iplogger.org
2no.co
mi1.ezstat.ru
common.ezstat.ru
touch.ezstat.ru
corp.ezstat.ru
jiangmen.iplogger.org
apac.ezstat.ru
ad.ezstat.ru
iplogger.ru
embed.iplogger.ru
ddd.iplogger.org
iplogger.ru
www-origin.ezstat.ru
aws.ezstat.ru
forum.iplogger.com
chefserver.iplogger.ru
mcm.iplogger.com
work.ezstat.ru
maper.info
www.wwqw.iplogger.org
www.iplogger.co
prod.ezstat.ru
www.2no.co
www.iplogger.com
www.ww.iplogger.org
data.ezstat.ru
sql.iplogger.ru
www.ezstat.ru
www.iplogger.com
ezstat.ru
sas.iplogger.ru
mail.ezstat.ru
docker.ezstat.ru
2.iplogger.org
deorg.ru
pip.iplogger.com
www.code.iplogger.org
www.yip.su
iplogger.org
02ip.ru
platform.ezstat.ru
docs.ezstat.ru
sdfsd.iplogger.com
smtp.iplogger.org
www.2no.co
wwqw.iplogger.org
cloud.ezstat.ru
ddd.iplogger.org
lbl.ezstat.ru
mon.ezstat.ru
ww2w.iplogger.org
www.iplogger.org
work.ezstat.ru
iplogger.com
mh.iplogger.org
iplogger.com
iplogger.com
soti.ezstat.ru
portal.ezstat.ru
zh-tw.maper.info
tracker.ezstat.ru
qwww.iplogger.org
sentry.iplogger.com
cdn-www.iplogger.ru
chat.iplogger.ru
sub.ezstat.ru
controlpanel.ezstat.ru
mail.iplogger.info
mail.iplogger.com
eventtracker.iplogger.ru
img1.iplogger.org
www.iplogger.org
airwatch.iplogger.ru
www.iplo.ru
mail.2no.co
tracker.ezstat.ru
iplogger.co
ww2.iplogger.org
sto.iplogger.ru
wiki.ezstat.ru
mobility.iplogger.org
static.ezstat.ru
mi1.ezstat.ru
iplogger.blog
www.maper.info
media2.ezstat.ru
mail.iplogger.org
api.iplogger.com
2no.co
quzhou.iplogger.ru
www.ww.iplogger.org
eis.ezstat.ru
iplis.ru
iplis.ru
smtp.iplogger.org
www.ipgraber.ru
s0.ezstat.ru
pop.ezstat.ru
svr1.imagespost.com
www.maper.info
dr.ezstat.ru
epay.iplogger.ru
live.ezstat.ru
chat.iplogger.ru
ease.iplogger.com
mam.ezstat.ru
mail.iplogger.org
www.blog.iplogger.org
watch.ezstat.ru
rtr.ezstat.ru
www.yip.su
de.ezstat.ru
ipgrabber.ru
svr1.imagespost.com
ipgrabber.ru
iplo.ru
iplogger.org
dashboard.ezstat.ru
sdds-gov-cn.iplogger.com
以上所述就是小编给大家介绍的《警惕利用AutoHotKey程序传播的挖矿网络》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 警惕!WinRAR漏洞利用升级:社工、加密、无文件后门
- 警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
- 警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
- 警惕利用Office漏洞传播商业间谍软件AgentTesla
- 警惕:黑客利用“流浪地球票房红包”在微信中传播恶意诈骗广告
- 警惕!利用Confluence最新漏洞传播的Linux挖矿病毒seasame
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
