贪吃蛇挖矿木马团伙分析报告

栏目: 编程工具 · 发布时间: 5年前

内容简介:腾讯御见威胁情报中心监测到“贪吃蛇”挖矿木马团伙针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权工具进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术,可绕过大部分软件防火墙,多次利用大厂商白文件进行攻击。【转】1)下载多个恶意文件或者白加黑文件,如mscorsvws.exe,aspnet_wp.exe等2)链接aaaa.usa-138.com,与C2进行交互

0x1 概述

腾讯御见威胁情报中心监测到“贪吃蛇”挖矿木马团伙针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权 工具 进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术,可绕过大部分软件防火墙,多次利用大厂商白文件进行攻击。【转】

0x2 IoC

0x2.1 C2

  • aaaa.usa-138.com

  • http://sql.4i7i.com/32.exe

  • http://4i7i.com/11.exe

  • o.ry52cc.cn,aaaa.usa-138.com

  • o.ry52cc.cn

  • vtqq.f3322.net

  • www.memejerry.top

  • syw520.3322.org

  • http://sql.4i7i.com/64.exe

0x2.2 SHA256

  • 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf

  • 86c2b941b1f9ad3b461ca4902f7920b68180bc0f8cf9e7ed53e34a8971e3f95a

  • bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22

  • 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624

  • abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1

  • 7538b643ed550032aad2c11e650c51d7c261cf8c714c34bd636164a7518184c0

  • 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624

  • e8c726d1301ac3cdbf2532f5d54e93fc7620cab76381b35ac5f6c5990b19efa1

  • d56fc3208cace3c87a7ce2b3520519ee8003c4324bb8da6aaf3c8c629a5eef6d

  • abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1

  • 6e81d7c71b3e8d731e11ad75d3dac02a4210c9f90fac618af5c00cbce3718658

  • 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf

0x3 感染现象

1)下载多个恶意文件或者白加黑文件,如mscorsvws.exe,aspnet_wp.exe等

2)链接aaaa.usa-138.com,与C2进行交互

3)链接http://sql.4i7i.com/和http://4i7i.com/释放后门程序和挖矿程序

4)创建服务用于常驻

5)执行挖矿操作

贪吃蛇挖矿木马团伙分析报告

0x4 样本分析

0x4.1:主体样本

1)得到的原始样本SHA值为 bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22, 加了UPX的壳,脱去外壳得到样本。

2)判断是否是管理员用户,如果是管理员用户会执行如3-11的操作。


贪吃蛇挖矿木马团伙分析报告

3)创建一个名为 clr_optimization的服务,映像路径如下:%windowsdir%\ Framework\mscorsvws.exe。

贪吃蛇挖矿木马团伙分析报告

贪吃蛇挖矿木马团伙分析报告

4)判断是否存在 C:\WINDOWS\Microsoft.NET\Framework\mscorsvws.exe ,如果存在,则执行,否则创建文件 mscorsvws.exe ,并这是只读,隐藏,系统属性。

贪吃蛇挖矿木马团伙分析报告 贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

5)创建 C:\WINDOWS\Microsoft.NET\Framework\aspnet_wp.exe ,并设置只读,系统,隐藏属性,并执行。此样本是一个白加黑的样本。

贪吃蛇挖矿木马团伙分析报告 贪吃蛇挖矿木马团伙分析报告

6)创建 C:\WINDOWS\Microsoft.NET\Framework\ETComm.dll,这是aspnet_wp.exe 的必备组件。


贪吃蛇挖矿木马团伙分析报告

7)创建 C:\WINDOWS\MpMgSvc.dll 文件。

贪吃蛇挖矿木马团伙分析报告

8)给如下进程进行提权,主要提升如下权限: SeRestorePrivilege,SeBackupPrivilege,SeSecurityPrivilege,SeTakeOwnershipPrivilege,其中需要提权的进程主要有:

C:\Windows\system32\sethc.exe,

C:\Windows\system32\osk.exe

C:\Windows\system32\Magnify.exe,

C:\Windows\system32\Narrator.exe

C:\Windows\system32\Utilman.exe

贪吃蛇挖矿木马团伙分析报告

9)利用calc工具拒绝 system对C:\Windows\Fonts*.exe 进行访问。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

10)创建从 http://4i7i.com/11.exe 处,创建 11.exe,并执行11.exe。

11)

如果不是管理员用户,则使用傀儡进程技术。

贪吃蛇挖矿木马团伙分析报告

12)判断程序是在32位系统中还是64位系统,由此解密不同的恶意文件。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

13) 在当前目录下创建 TrustedInsteller.exe,TrustedInsteller.exe 是一个挖矿程序,然后执行挖矿。

矿池 为:pool.usa-138.com:80;

钱包地址为: 4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S。

贪吃蛇挖矿木马团伙分析报告

14)通过dump侵入 svchost.exe 执行傀儡进程操作的文件。首先程序会 Kill rundll32.exe 这个进程,这步的目的是后续的样本会使用 rundll32.exe 加载dll文件。

贪吃蛇挖矿木马团伙分析报告

15)检测路径是否处于 %windows% 下,接着设置服务函数 ServiceProc 分析服务函数,我们知道其执行了以下2个重要操作。

1. 提升进程权限,创建伪句柄。

2. 并且与CC服务器交互3.获取设备相关信息(主要包括处理器信息,系统物理和虚拟内存使用情况,设备驱动器信息和驱动程序信息)

  贪吃蛇挖矿木马团伙分析报告

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

16)开始服务 aspnet_staters。

贪吃蛇挖矿木马团伙分析报告

17)并设置程序自启动。

贪吃蛇挖矿木马团伙分析报告

18)设置注册表数据,主要是设置 aspnet_staters 服务的相关信息,以便其他样本读取,并判断是否被感染。

贪吃蛇挖矿木马团伙分析报告

19)检索大多数国内安全厂商进程。

贪吃蛇挖矿木马团伙分析报告

0x4.2 11.exe分析

1)创建文件 C:\WINDOWS\Help\Helpsvc.exe. 创建名为 WinHelpSvcs 的服务,二进制文件为 Helpsvc.exe, 实现永久化

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

2)将 HelpSvc.exe 设置系统隐藏属性。

贪吃蛇挖矿木马团伙分析报告

3)创建 C:\WINDOWS\Help\Winlogon.exe 同样设置隐藏系统属性,并执行。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

4)创建 C:\WINDOWS\Help\active_desktop_render.dl l文件。

贪吃蛇挖矿木马团伙分析报告

5)删除服务。

6)配置 IPSEC 安全策略(DNS桥隧通信)。

贪吃蛇挖矿木马团伙分析报告

7)利用cacls禁止system用户对如下文件访问

  • C:\ProgramData\Storm\update\%YOUSHIZHUAY%*.cc3

  • C:\ProgramData\DRM\%SESSIONNAME%*.cc3

  • C:\ProgramData\Storm\update\%SESSIONNAME%*.cc3

8)关闭 LanmanServer和Schedule 服务。

贪吃蛇挖矿木马团伙分析报告

9)自删除。

贪吃蛇挖矿木马团伙分析报告

0x4.3:Winlogon.exe 分析

1)首先这是一个白加黑的样本,利用kugou需要加载 active_desktop_render.dll调用SetDesktopMonitorHook 的原理,改写 active_desktop_render.dll 文件,实现白加黑的技术。主要分析在于对 active_desktop_render_new.dll 的分析。

2) HOOK svchost 进程,为了是为了调用 TrustedInstaller.exe_ 进行挖矿。

贪吃蛇挖矿木马团伙分析报告

3)这三个删除创建操作是为了恢复原来存在的a ctive_desktop_render.dl l文件。

贪吃蛇挖矿木马团伙分析报告

4)检索 HelpSvc.exe, 并终止进程。

贪吃蛇挖矿木马团伙分析报告

5)键盘记录。

贪吃蛇挖矿木马团伙分析报告

6)传输音频数据。

贪吃蛇挖矿木马团伙分析报告

7)截屏。

贪吃蛇挖矿木马团伙分析报告

0x4.4: active_desktop_render_new.dll 分析

1) 首先这是利用白加黑实现的一次攻击,通过酷狗音乐调用 SetDesktopMonitorHook 进行团伙的黑操作。

贪吃蛇挖矿木马团伙分析报告

2)样本会侵入 svchost 这一个系统关键宿主进程,这样为了迷惑用户,以至于难以察觉。从编码方式上来看,是同一个作案团伙,同样使用 jmp-API, 或者 jmp-Fun 这类操作,没有直接调用函数或者API,有效阻碍分析人员分析。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

3)由于样本是白加黑,为了避免由于黑文件存在影响正常的功能,所以样本会释放以前正常的dll文件,并替换。

贪吃蛇挖矿木马团伙分析报告

4)最后程序会终止 HelpSvc.exe 进程。

贪吃蛇挖矿木马团伙分析报告

0x4.5 MpMgSvc.dll 分析

1)从样本维度看,这是一个dll文件,暂时没有找到调用他的PE文件,所以一下只能从功能上分析。由此可知,这是一个连接C2,并根据不同的指令执行对应的操作,包括检索服务信息,设置服务,获取会话,用户信息,关闭指定进程,断开注销会话等操作。

贪吃蛇挖矿木马团伙分析报告

2)创建服务和设置服务的启动状态,借此实现常驻内存。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

3)获取用户信息,检索会话信息,根据不同指令,执行不同操作。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

4)通过管道通信,传输用户信息。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

5)判断进程列表中是否存在指定的进程。

贪吃蛇挖矿木马团伙分析报告

6)检索windows窗口信息。

贪吃蛇挖矿木马团伙分析报告

7) 获取机器相关信息。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

0x4.6:aspnet_wp.exe

1) 盛大的白加黑文件,黑文件是 ETComm.dll,其中ETComm.dll 。而且运行之后会跑非,怀疑存在反调试,OD设置中断在系统断点,加载后,中断。然后A lt+E,找到ETComm.dll 脱壳。最好不要使用直接对dll脱壳,这样修复有点问题。

2)创建 clr_optimization_v3.0.50727_32 服务。

贪吃蛇挖矿木马团伙分析报告

3)入侵s vchost.exe 进程。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

4)释放隐藏文件 ETComm.dll 到当前目录,这其实是正常的 ETComm.dll, 当操作执行完毕后,删除黑文件 ETComm.dl l。

贪吃蛇挖矿木马团伙分析报告

5)终止 mscprsvws.exe, 爆破sql。

贪吃蛇挖矿木马团伙分析报告

6)通过 dump入侵svchost.exe 的PE,主要功能是启动 aspnet_wp.exe 对应的服务。并设置自启动。

贪吃蛇挖矿木马团伙分析报告   贪吃蛇挖矿木马团伙分析报告

7)在特定情况下也会解析如下域名

o.ry52cc.cn

aaaa.usa-138.com

o.ry52cc.cn

vtqq.f3322.net

syw520.3322.org

www.memejerry.top

贪吃蛇挖矿木马团伙分析报告

- End -

贪吃蛇挖矿木马团伙分析报告

看雪ID: findreamwang        

https://bbs.pediy.com/user-739734.htm

本文由看雪论坛  hackerbirder     原创

转载请注明来自看雪社区

热门图书推荐

贪吃蛇挖矿木马团伙分析报告   立即购买!

:warning: 注意

2019 看雪安全开发者峰会门票正在热售中!

长按识别下方 二维码 即可享受  2.5折  优惠!

贪吃蛇挖矿木马团伙分析报告

贪吃蛇挖矿木马团伙分析报告

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

点击下方“阅读原文”,查看更多干货


以上所述就是小编给大家介绍的《贪吃蛇挖矿木马团伙分析报告》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

编程.建筑

编程.建筑

保罗·科茨 / 2012-9 / 45.00元

《编程•建筑》简单明了地介绍了计算机算法与程序用于建筑设计的历史,解释了基本的算法思想和计算机作为建筑设计工具的运用。作为计算机辅助设计的先驱,保罗·科茨通过多年讲授的计算、设计的教学内容和实例研究,向我们展示了算法思维。《编程•建筑》提供了详细、可操作的编码所需要的技术和哲学思想,给读者一些代码和算法例子的认识。一起来看看 《编程.建筑》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具