门罗币挖矿+远控木马样本分析

  • 来源:深信服安全中心
  • 发布时间:2019-04-15
#

事件描述


+C2  杀软的图标,并且文件描述信息为 “主动防御服务模块”,诱导用户点击执行。

 

 

主体在执行时会释放拷贝自身到Cimage.png拷贝自身并继续执行

 

 VBS.vbsAutoRun.vbsvbsC2 

VBS.vbsSQLAGENTSN.exeAutoRun.vbsVBS.vbsSQLAGENTSN.exe 

挖矿行为

样本中存在如下硬编码文件路径。

 

 

登录站点可以发现,该站点为一个HFS 

的文件进行分析,发现该文件实际是利用了开源代码版本的门罗币挖矿程序。

 

 

该文件在下载到本地之后,本重命名为C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下,并被启动执行,启动参数为”,

image.png 

同时在 

 

其中CPU_log.txt image.png地址为

ttp://a.owwwa.com/mm/SQL.txt文件的内容,从中获取木马文件地址,然后下载木马文件到本地继续执行。

image.png样本中硬编码的配置文件路径

 

 

SQL.txt的内容

 

登录到站点上之后,发现该站点也是一个HFSimage.pngstartas.bat脚本负责将S”账户运行。

image.png 

 

 

image.png加载内存DLL

 

内存DLLStartAsFrameProcess,该DLLimage.png 

该函数内会首先禁用UAC

 

image.pngimage.png文件,解析、删除本机日志信息等。

 

 

 

image.png获取主机杀软情况

关心的杀软列表如下:

安全卫士杀毒金山毒霸金山安全卫士电脑管家百度杀毒百度卫士江民瑞星微软杀毒安博士韩国胶囊卡巴麦咖啡可牛趋势小红伞网络安全诺顿熊猫卫士反病毒反间谍杀毒

image.png修改主机Host
image.pngimage.png解析、删除操作系统日志

 

.exe会在入口处使用RC4PEConsys21.dllDLL、音频、视频、屏幕、窗口、弹框、代理、开启,关闭等操作。

 解密部分:

 

 

解密内存image.png文件操作

 

 

image.png进程操作

 

 

shellimage.png音频操作

 

 

image.png屏幕操作

 

 

image.png弹框操作

 

 

image.png开启

 

 

DDOS 

image.png 

.exe也是会加载内存PEPEDllDllDllFuUpgradrs、删除指定文件、为系统添加账户,开启 

 

image.pngimage.png调用导出函数

 

以导出函数”为入口,执行相应的功能。

 

image.png修改硬盘MBR

 

 

image.png为系统添加账户

 

 


IOCF7FFF1F9F7CB0D2E6A1F532515F1787A

http://owwwa.com/mm/cpu32.exe                                                                       

http://owwwa.com/mm/amd32.exe                                                                       

http://owwwa.com/mm/nvidia.exe

http://a.owwwa.com/mm/SQL.txt  

http://mingtian2016.gnway.cc:7089/ma/startas.bat

http://mingtian2016.gnway.cc:7089/ma/SQLIOSIMS.exe

 

http://124.112.49.52:7089/mm/SqlWtsnt.exe

 

解密部分使用的是算法,而且初始字符串为“”,这一点和大灰狼远控一模一样。

 

源码

 

样本在监控键盘内容,加密写入磁盘时使用的加密算法是与0x62 

 

源码

 

样本中使用了image.png大灰狼远控模块导出函数

 

关系人关联:

样本多次出现了一个邮箱 

样本中的邮箱信息

 

依据此邮箱可以关联到具体的个人信息:

image.png 

由其个人经历可以看出,此人是个工作比较久的windowsWindows系统也比较了解,所以该远控有可能是该人在大灰狼远控的基础之上修改而来。