“大黄蜂”远控挖矿木马分析与溯源

事件背景:

近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖矿的功能,用用户的机器来实现自己利益的最大化。通过哈勃同源系统的分析发现,木马作者还在频繁的更新木马功能、感染用户量也在迅速增加,值得引起我们足够 的关注。下面我们会从感染后现象、影响范围、技术分析及溯源上做详细介绍和分析。

现象与危害:

感染现象

感染该类木马后,您的计算机CPU经常占用 100%,并且 会发现常驻进程 winInit.exe。同时,查看启动的服务,会发现名为Apache Tomcat 9.0 Tomca9 的服务处于启动状态。

影响范围:

通过访问黑客的服务器,可以看到恶意程序 xz.exe和xz32.exe 都有上万的下载量。 并且,通过观察发现,每日新增下载量也不断增大, 病毒程序感染了越来越多的受害者。

技术分析:

通过分析发现,该木马启动后,会释放多个可执行文件,我们按其 实现的不同的 功能,将这些可 执行程序,划分为远控模块、挖矿模块和清理模块三个模块,分别用于远程控制、虚拟货币挖矿以及删除清理文件以躲避查杀。

下面我们将从技术细节上详细介绍下主要的模块 。

远控模块

1. 888.exe运行后会从 资源里释放dll 文件,并命名为随机名。接着 , 888.exe 会将释放的dll文件注册为RemoteAccess服务 项 ,并通过从新启动服务已得到加载该dll。

该dll加载后,会删除系统log日志,并将自身复制为%ProgramData%\Aebblnroq.psd ,同时,还会向 %ProgramData%\Aebblnroq.psd写入大量随机数以躲避云查, 但我们发现,有 一定的几率会把%ProgramData%\Aebblnroq.psd文件写坏,导致无法正常运行。接着会 注册%ProgramData%\Aebblnroq.psd 为Tomcat9 服务:

2. 8881.exe运行后会在%TEMP%目录 释放随机名的dll文件,并调用其导出函数Install ,安装该dll为服务名为Microsoft Corporationot的 服务。

服务启动后,获取、加密用户计算机版本信息等隐私信息发送到服务器,并等待服务器的远控指令 。

通过对发送数据以及加密方式的分析,我们可以看出发送的数据和加密方式和Gh0st远控非常相似,可以认定其为Gh0st远控的变种:

(解密后的数据)

3. server.exe运行后会复制自身为随机名,并在文件最后填充大量的0,使得大小可以有20多M,用来躲避云查。随后 将该文件注册为系统服务。

挖矿模块

木马启动后会在%TEMP%目录下释放xmrigbu.exe 可执行文件,该可执行文件首先会将自身复制到%windir%\w1ninit.exe :

w1ninit.exe运动后会创建%TEMP%\win1nit\win1nit.exe用于 挖矿,该文件由UPX加壳 保护。通过分析发现,%TEMP%\win1nit\win1nit.exe 会首先访问服务器获取挖矿信息,包括矿池、矿工ID等,随后会配置好参数进行挖矿 :

我们可以看到服务器返回的矿池和矿工信息,通过查询矿工的收益 ,可以看到不长时间内,已经挖到了 14个Monero币,按当前<img src="https://chart.googleapis.com/chart?cht=tx&chl=120%E7%9A%84%3C%2Fspan%3E%3Cspan%20style%3D%22%22%3E%E4%BB%B7%E6%A0%BC%E7%AE%97%EF%BC%8C%3C%2Fspan%3E%3Cspan%20style%3D%22%22%3E%E5%B7%B2%E7%BB%8F%E6%94%B6%E7%9B%8A" alt="120的价格算,已经收益"> 1680,折合人民币10840元。

清理模块

恶意木马运行最后会创建%TEMP%\ ~DeL!.bAt文件, 用来删除自身, 从而达到隐藏的 目的。

溯源:

由上边的分析可以看到该木马访问了7.me和6.me 两个域名,查询其ip地址为50...38 ,位于美国境内。 查询域名的whois信息发现,其whois信息有隐私保护,未能查到有效的信息:

我们通过访问黑客的服务器,跟踪发现服务器 出现了一个名为“桌面.zip ”的压缩包文件 。下载解压缩该文件,其中有一个名为“何以解忧Ver6.3s.exe” 的 文件,该文件为.Net编写,通过分析该 二进制里边包含的 链接地址www.0*.com ,经由whois查询 ,我们得知了一些黑客作者的信息:

其中,可以看到,该域名注册者名为Huang Feng, 地址为福建泉州市(Fu Jian Sheng Quan Zhou Shi Zhong Shan Nan Lu ),电话为1320024,[邮箱为10**60@qq.com]

(mailto:%E9%82%AE%E7%AE%B1%E4%B8%BA10**60@qq.com)。从邮箱地址我们可以得到域名注册者的QQ号码为10**60。通过这些信息,我们可以对该木马作者做出 更加 详细的画像。

通过域名注册者的电话号码查询其支付宝帐号,我们可以看到其地区为福建泉州,与域名whois注册信息相符,可以确定whois注册信息 的准确性。 由于支付宝帐户名称和真实姓名有隐私保护,我们暂为得知其真实姓名和支付宝注册邮箱信息。

通过在搜索引擎上查询其QQ号码,可以看到该木马作者活跃于各类工具类论坛,热衷于提权、DDoS 、僵尸网络等技术:

接着,我们查询其QQ信息,得知木马作者年龄可能在18岁左右:

我们进一步去访问其QQ空间,可以看到其相册封面是只黄蜂,同时 ,相册里有张王者荣耀的截图,得知其王者荣耀帐号名称为“bumblebees” ,为大黄蜂的意思。 通过 分析的照片可以看到作者应该年纪不大。其中一个相册需要密码访问,而密码提示为“啥子学校”,可以间接印证木马作者应该还在上学或刚毕业 ,与QQ登记的 18岁相符合。

通过以上的溯源分析,我们可以得到该木马作者的基本画像:

年龄:18岁 地址:福建泉州市 爱好:黑客工具、论坛;王者荣耀

目前,腾讯电脑管家和哈勃分析系统均可以准备识别该类病毒,安装电脑管家的用户无需担心感染该病毒 。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-09-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

kail洪水攻击

在计算机行业,拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击是指不法分子企图让某机器或网络资源无法被预期的用户所使用。虽然执行DoS攻击的方式、动机和目标不...

13420
来自专栏企鹅号快讯

黑客界在平常交流的一些专业术语介绍

每天都有人问我,黑客是什么,黑客有什么术语,或者遇到黑客,我应该怎么做,我在这里也给感兴趣的朋友普及一点小知识,黑客有很多的术语,下面我会给大家介绍黑客经常用到...

215100
来自专栏FreeBuf

让你家的楼宇门变聪明:基于树莓派实现任意终端控制楼宇门

原创作者:豆豆青春不喂狗 一、背景 寒冷冬天的早晨,你躺在被窝里,门铃响了,你需要立刻起床穿衣服,然后去开门。现在,树莓派能帮你获得一个从容穿衣的时间。 二、摘...

38990
来自专栏FreeBuf

远离Flash,远离危险:从Flash 0day漏洞披露到集成渗透工具包,仅用4天

6月27日,渗透测试工具包Magnitude已经成功Adobe Flash Player 0day漏洞,而这个时间仅在Adobe发布修复漏洞补丁后的四天,工具包...

21790

分析DAO的漏洞

我敢肯定每个人都听说过有关DAO被一个黑客利用递归以太坊发送漏洞截获1.5亿美元的重大新闻。

63190
来自专栏FreeBuf

深度报告 | 揭秘朝鲜黑客组织Lazarus Group对加密货币的窃取手段

当前,世界各地安全公司、执法机关和情报机构都把Lazarus Group归因于朝鲜的国家支持黑客组织,随着Lazarus Group自身网络攻击工具的进化发展...

40690
来自专栏FreeBuf

革命性创新?走近“高水准”新型勒索软件Spora

勒索软件几乎每周都会增加新的“家族成员”,这类威胁的影响力不断上升。Emsisoft(奥地利的信息安全公司,主营业务有反恶意软件、互联网安全、应急响应、移动安全...

20260
来自专栏FreeBuf

谁蹭了我的WiFi?浅谈家用无线路由器攻防

家用无线路由器作为家庭里不可或缺的网络设备,在给普通人带来极大便利的同时,也给处于互联网时代的我们带来了很多安全隐患,本文将针对普通家用无线路由器的常见攻击过程...

38470
来自专栏沈唁志

整合ThinkPHP功能系列之微信企业付款至用户零钱银行卡

62340
来自专栏发迹网(www.082765.com)

网站建设选择域名时请慎用6数字com域名!

网站建设为什么要慎用6数字com域名?发迹创业网最近用6数字com域名建了几个网站,发现了一些问题,在这篇文章做个叙述,供站长朋友参考。

55000

扫码关注云+社区

领取腾讯云代金券