漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

深信服千里目發表於2020-05-14

0x0 背景介紹

近日,深信服安全團隊排查定位到一款偽裝為Windows系統幫助檔案的遠控木馬,攻擊者通過遠控木馬下發挖礦程式到被害主機,佔用主機資源進行挖礦。

0x1 威脅關聯分析

通過威脅分析發現,該木馬連線的域名 fuck88.f3322.net和r.nxxxn.ga是已經被開源威脅情報收錄的兩個惡意域名,同時用於Kryptik木馬的控制端:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

查詢域名fuck88.f3322.net的whois資訊,可以看到註冊者使用名為“peng yong”,並且該註冊者同時註冊了多個具有欺騙性的動態域名:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

通過深信服雲腦查詢惡意域名相關資訊,在最近一個月內攻擊次數均較為平穩:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

服務DLL檔案Remote.hlp是一個偽裝成Windows幫助檔案的後門程式,僅從字串分析,就能夠得到許多功能資訊,而此次事件捕獲的域名所關聯的後門程式中,均存在一條“TheCodeMadeByZPCCZQ”標識字串:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

可以推斷,這些後門程式均來源於同一款遠控生成器,並且通過對後門dll的字串分析,有很多中文描述的控制操作,可以確認是一款漢化的遠控程式:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

在此次捕獲的安全事件中,除了持久化駐留的後門程式,在被害主機中存在通過後門投放的挖礦程式,偽裝成銀行圖示,佔用主機資源進行挖礦:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

命令列中配置的的惡意域名為o.vollar.ga。

0x2 後門母體

1. 檢查互斥體“XXNBbin1”,如不存在則建立該互斥體:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

2. 驗證路徑“C:\ProgramData\Microsoft\Windows\GameExplorer”是否存在,如不存在則建立:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

3. 建立登錄檔值,並設定如下鍵值:

hKey = HKEY_CURRENT_USER

Subkey = "Software\Microsoft\Windows\Windows Error Reporting"

ValueName = "DontshowUI"

Value = 0x01


hKey = HKEY_LOCAL_MACHINE

Subkey = "software\microsoft\remote\Desktop"

ValueName = ""

Value = "C:\Documents and Settings\Administrator\桌面\"

4. 釋放用於註冊後門服務的DLL檔案,路徑為"C:\ProgramData\Microsoft\Windows\GameExplorer\Remote.hlp",並設定檔案屬性為HIDDEN|SYSTEM:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

5. 登錄檔裡新增服務註冊項,不同的母體註冊的服務名稱會有變化:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

該樣本中服務名稱為".Net CLR",研究員排查過程中發現有過“Ias”、“FastUserSwitchingCompatibilty”,服務指向的DLL程式都是母體釋放的Remote.hlp:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

6. 建立服務並啟動:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

7. 釋放"C:\Windows\System32\\Delete00.bat"檔案,清除母體,然後退出母體程式:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

0x3 服務DLL

1. 服務DLL檔案通常是遠端控制軟體批量生產的的被控端,會釋放在C:\ProgramData\Microsoft\Windows\GameExplorer\目錄下並命名為Remote.hlp,偽裝成Windows幫助檔案:

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

2. 通過逆向分析可總結該遠控木馬所具有的功能如下:

獲取主機資訊程式獲取/結束/暫停/恢復
滑鼠鎖定/解鎖 檔案傳輸
螢幕黑屏/解除黑屏 重啟/關機/登出
隱藏桌面/解除隱藏 服務安裝/啟動/停止/刪除
系統操作快捷鍵 網路管理/代理設定
Win7加速開啟/關閉 軟體管理
hosts檔案修改 新增使用者
遠端shell 訊息傳送
檔案壓縮 新增QQ群

3. 同時,該遠控木馬會檢測是否存在以下安全軟體,嘗試繞過,具體見下表:

Navapsvc.exeFilMsg.exe
spiderui.exeIparmor.exe
AVK.exeKSafeTray.exe
360sd.exe KvMonXP.exe
ashDisp.exe kxetray.exe
avcenter.exe mcupdui.exe
avguard.exe msseces.exe
AVK.exe Navapsvc.exe
360sd.exe 360netman.exe
ashDisp.exe ns.exe
avcenter.exe PFW.exe
avguard.exe QQPCTray.exe
360Tray.exe RavMon.exe
avp.exe secenter.exe
BaiduSdSvc.exe egui.exe
ccSvrHst.exe 360tray.exe

0x4 解決方案

深信服安全產品解決方案

1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;

3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;

4. 深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。

漢化遠控木馬下發挖礦程式,利用肉雞資源撈金

0x5 加固建議

1. 使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;

2. 避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;

3. 定期使用安全軟體進行全盤掃描和處置,定期檢測系統漏洞並且及時進行補丁修復。

相關文章