全能型俄罗斯挖矿木马,简直是木马界的十项全能

0x1 背景

腾讯御见威胁情报中心监控发现,用户在在运行软件激活、数据恢复等工具软件后,被植入后门木马,木马进一步与远程服务器建立连接、利用Arkei Stealer窃取用户隐私信息、下载挖矿木马、通过远程命令控制机器执行ddos、http_flood攻击。

木马运行流程

分析发现全球有包括中国在内的40多个国家和地区受到Arkei Stealer木马感染,最严重的国家依次为俄罗斯、乌克兰、巴西,且感染机器数还在持续增加。

0x2 木马危害

1)窃取设备信息,包括guid、IP、桌面截图、系统和CPU等

2)窃取加密货币钱包信息,浏览器各类网站登录信息

3)占用计算资源进行门罗币挖矿

4)被控制成为肉鸡,接受命令进行DDOS攻击

0x3 传播渠道

木马作者利用人们不愿意为收费软件付费,喜欢使用破解版软件的心理,将木马植入各类“破解版”、“完整版”、“注册机”程序当中,然后上传到网站提供下载,用户一旦下载使用便会中招。

传播木马的网站hxxps://www.4allprograms.net提供andriod、windows、Mac等系统的各类激活版软件,其中系统激活、office激活、图像处理类软件注册机都存在木马植入。

发现木马的部分软件名(下载时对应文件名):

Corel_All_Products_Keygen_Activator_2018_Full_Version.exe

Winrhizo_software_free.exe

EaseUS_Data_Recovery_Wizard_11_9_0.exe

ARTEAM_MAKAIWARS_v_01_04_01_MOD_1_SIGNED.exe

Microsoft_Toolkit_2_7.exe

Microsoft_Office_2016_Activation_Key_List_Free_Dow.exe

0x4 木马分析

4.1.Ctask.exe分析

木马启动时伪装为进程名ctask.exe,拷贝自身到ProgramData\目录然后将自身删除、并释放用于下载update.exe木马的VBS、BAT文件。

木马拷贝自身到programdata目录

木马释放VBS、BAT路径

VBS通过shell执行BAT

BAT利用certutil下载执行木马update.exe

4.2. update.exe分析

1、检测以下软件,如果存在则停止运行

taskmgr.exe

NetMonitor

Process Killer

KillProcess

System Explorer

Process Explorer

AnVir

Process Hacker

OLLYDBG

GBDYLLO

pediy06

FilemonClass

File Monitor

PROCMON_WINDOW_CLASS

Process MonitorRegmonClass

Registry Monitor

检测监控软件

2、将自身注入傀儡进程svchost.exe

注入svchost.exe

3、使用密钥"2P03E3JI5YMCRM8E7"进行异或解密得到服务端域名panel.land-seo.ru

解密域名panel.land-seo.ru

4、从该服务端路径hxxp://panel.land-seo.ru/gate/ 可以看到,服务端提供检查连接、cpu/gpu区分、矿池信息、在线设置以及更新等服务。

5、读注册表SOFTWARE\\Microsoft\\Cryptography获取机器MachineGuid

获取电脑MachineGuid

6、木马与panel.land-seo.ru交互,进行上传、查询、下载

木马与服务端交互

将m=MachineGuid 通过post请求hxxp://panel.land-seo.ru/gate/check.php,返回success代表确认成功。

上传电脑MachineGuid

post请求hxxp://panel.land-seo.ru/gate/checkConnection.php,返回success代表确认连接成功。

检查连接

post请求hxxp://panel.land-seo.ru/gate/pools.php,返回矿池信息。

查询矿池

post请求hxxp://panel.land-seo.ru/gate/cpu.php,返回cpu挖矿木马的下载地址

hxxp://privatlux.pw/file/software.exe。

查询挖矿木马下载地址

Post请求hxxp://panel.land-seo.ru/gate/setOnline.php获取指令远程操控机器

获取指令

云控指令内容

8、privatlux.pw提供cpu.exe、software.exe供木马下载。

8、木马通过get请求hxxp://privatlux.pw/file/software.exe下载CPU挖矿木马。

钱包地址:

48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSW

J4fhdUyZijBGUicoD

钱包信息

4.3.Arkei Stealer分析

Arkei Stealer是一款功能完善的窃密软件,功能包括收集密码,cookies,CC 。

运行后复制自身到系统目录,然后扫描浏览器收集帐号密码信息、桌面截图、获取机器IP地址、MachineGuid、进程信息,然后打包上传到服务器,最后删除自身文件。

支持的浏览器

Chromium Based: Chromium, Google Chrome, Kometa, Amigo, Torch, Orbitum, Opera, Comodo Dragon, Nichrome, Yandex Browser, Maxthon5, Sputnik, Epic Privacy Browser, Vivaldi, CocCoc и другие браузеры, использующие рабочую директорию Chromium.Firefox Based: Mozilla Firefox, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat, K-Meleon и другие браузеры, использующие рабочую директорию Firefox.

盗取加密货币钱包信息

Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Exodus, Dash, Litecoin, ElectronCash, ZCash, MultiDoge, AnonCoin, BBQCoin, DevCoin, DigitalCoin, FlorinCoin, Franko, FreiCoin, GoldCoin, InfiniteCoin, IOCoin, IxCoin, MegaCoin, MinCoin, NameCoin, PrimeCoin, TerraCoin, YACoin.

获取桌面截图

调用CryptUnProtectData()解密浏览器数据库中机密数据

获取信用卡信息

读取加密货币钱包信息

获取电脑、系统信息

将数据发送到服务器hxxp://privatlux.pw/server/gate.php

通过腾讯御见威胁情报中心查询到黑客保存受害者信息的位置,目前数据还在不断更新中。

木马获取的受害用户信息

0x5 木马作者

Arkei Stealer木马在上传搜集的用户信息txt文件中记录了作者为俄罗斯黑客。

病毒作者:Foxovsky(伏克斯沃夫斯基,名字很俄国了^_^)

作者销售搭档:t.me/arsenkooo135

通过搜索引擎找到他们在Telegram上面的账号

Foxovsky:

Arsenkooo135:

Arsenkooo135在2017年12月在俄罗斯黑客论坛发布的Arkei Stealer的销售信息,软件售价为5000卢布(折合人民币513元),若做病毒二级分销商,则2000卢布就够了(折合人民币205元)。

而Arsenkooo135作为木马销售者,在俄罗斯各大黑客论坛均有记录,在某些论坛还是管理员,交易的“担保人”。

(页面经过翻译)

0x6 安全建议

1、不要随意使用来历不明的破解、激活工具。需要用到Windows、office、图形图像等专业软件的企业用户建议使用正版软件。

2、保持腾讯电脑管家开启即可拦截该木马。

IOCs:

C2:

hxxp://panel.land-seo.ru/gate/check.php

hxxp://panel.land-seo.ru/gate/checkConnection.php

hxxp://panel.land-seo.ru/gate/pools.php

hxxp://panel.land-seo.ru/gate/cpu.php

hxxp://panel.land-seo.ru/gate/gpu.php

hxxp://panel.land-seo.ru/gate/reg.php

hxxp://panel.land-seo.ru/gate/setOnline.php

hxxp://privatlux.pw/server/gate.php

hxxp://privatlux.pw/server/ grubConfig.php

hxxp://dagwile.org/server/gate.php

hxxp://dagwile.org/server/ grubConfig.php

md5:

560e7877de85bdbc942617312af5a558

f4fa2e5a54717434d8018109a4f4d1d6

39afb61424957397e168b0ca149aa091

d43c337007fe22ab463a314eea1ec2db

d7bd3db256a7dd1fb02b43a7e00a4f70

ffa3c5cf518b30147b728e7a65fd55c9

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180515G1HZPY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券