漢化遠控木馬下發挖礦程式,利用肉雞資源撈金
0x0 背景介紹
近日,深信服安全團隊排查定位到一款偽裝為Windows系統幫助檔案的遠控木馬,攻擊者透過遠控木馬下發挖礦程式到被害主機,佔用主機資源進行挖礦。
0x1 威脅關聯分析
透過威脅分析發現,該木馬連線的域名 fuck88.f3322.net和r.nxxxn.ga是已經被開源威脅情報收錄的兩個惡意域名,同時用於Kryptik木馬的控制端:
查詢域名fuck88.f3322.net的whois資訊,可以看到註冊者使用名為“peng yong”,並且該註冊者同時註冊了多個具有欺騙性的動態域名:
透過深信服雲腦查詢惡意域名相關資訊,在最近一個月內攻擊次數均較為平穩:
服務DLL檔案Remote.hlp是一個偽裝成Windows幫助檔案的後門程式,僅從字串分析,就能夠得到許多功能資訊,而此次事件捕獲的域名所關聯的後門程式中,均存在一條“TheCodeMadeByZPCCZQ”標識字串:
可以推斷,這些後門程式均來源於同一款遠控生成器,並且透過對後門dll的字串分析,有很多中文描述的控制操作,可以確認是一款漢化的遠控程式:
在此次捕獲的安全事件中,除了持久化駐留的後門程式,在被害主機中存在透過後門投放的挖礦程式,偽裝成銀行圖示,佔用主機資源進行挖礦:
命令列中配置的的惡意域名為o.vollar.ga。
0x2 後門母體
1. 檢查互斥體“XXNBbin1”,如不存在則建立該互斥體:
2. 驗證路徑“C:\ProgramData\Microsoft\Windows\GameExplorer”是否存在,如不存在則建立:
3. 建立登錄檔值,並設定如下鍵值:
hKey = HKEY_CURRENT_USER
Subkey = "Software\Microsoft\Windows\Windows Error Reporting"
ValueName = "DontshowUI"
Value = 0x01
hKey = HKEY_LOCAL_MACHINE
Subkey = "software\microsoft\remote\Desktop"
ValueName = ""
Value = "C:\Documents and Settings\Administrator\桌面\"
4. 釋放用於註冊後門服務的DLL檔案,路徑為"C:\ProgramData\Microsoft\Windows\GameExplorer\Remote.hlp",並設定檔案屬性為HIDDEN|SYSTEM:
5. 登錄檔裡新增服務註冊項,不同的母體註冊的服務名稱會有變化:
該樣本中服務名稱為".Net CLR",研究員排查過程中發現有過“Ias”、“FastUserSwitchingCompatibilty”,服務指向的DLL程式都是母體釋放的Remote.hlp:
6. 建立服務並啟動:
7. 釋放"C:\Windows\System32\\Delete00.bat"檔案,清除母體,然後退出母體程式:
0x3 服務DLL
1. 服務DLL檔案通常是遠端控制軟體批次生產的的被控端,會釋放在C:\ProgramData\Microsoft\Windows\GameExplorer\目錄下並命名為Remote.hlp,偽裝成Windows幫助檔案:
2. 透過逆向分析可總結該遠控木馬所具有的功能如下:
| 獲取主機資訊 | 程式獲取/結束/暫停/恢復 |
| 滑鼠鎖定/解鎖 | 檔案傳輸 |
| 螢幕黑屏/解除黑屏 | 重啟/關機/登出 |
| 隱藏桌面/解除隱藏 | 服務安裝/啟動/停止/刪除 |
| 系統操作快捷鍵 | 網路管理/代理設定 |
| Win7加速開啟/關閉 | 軟體管理 |
| hosts檔案修改 | 新增使用者 |
| 遠端shell | 訊息傳送 |
| 檔案壓縮 | 新增QQ群 |
3. 同時,該遠控木馬會檢測是否存在以下安全軟體,嘗試繞過,具體見下表:
| Navapsvc.exe | FilMsg.exe |
| spiderui.exe | Iparmor.exe |
| AVK.exe | KSafeTray.exe |
| 360sd.exe | KvMonXP.exe |
| ashDisp.exe | kxetray.exe |
| avcenter.exe | mcupdui.exe |
| avguard.exe | msseces.exe |
| AVK.exe | Navapsvc.exe |
| 360sd.exe | 360netman.exe |
| ashDisp.exe | ns.exe |
| avcenter.exe | PFW.exe |
| avguard.exe | QQPCTray.exe |
| 360Tray.exe | RavMon.exe |
| avp.exe | secenter.exe |
| BaiduSdSvc.exe | egui.exe |
| ccSvrHst.exe | 360tray.exe |
0x4 解決方案
深信服安全產品解決方案
1. 深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4. 深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
0x5 加固建議
1. 使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;
2. 避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;
3. 定期使用安全軟體進行全盤掃描和處置,定期檢測系統漏洞並且及時進行補丁修復。
相關文章
- 快速定位挖礦木馬 !
- 病毒木馬釣魚網站肉雞等技術的正向利用網站
- 用疫情防控思路解決挖礦木馬風險
- Linux挖礦木馬WorkMiner集中爆發,利用SSH暴力破解傳播Linux
- 移花接木大法:新型“白利用”華晨遠控木馬分析
- 記一次掛馬清除經歷:處理一個利用thinkphp5遠端程式碼執行漏洞挖礦的木馬PHP
- 比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?比特幣
- 挖礦木馬猖獗,360安全衛士破解“黑礦工”之困
- “漏洞利用之王”HolesWarm挖礦木馬新增大量攻擊模組強勢來襲Swarm
- 一次minerd肉雞木馬的排查思路
- Windows應急響應-灰鴿子遠控木馬Windows
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器
- 遊戲私服捆綁傳播挖礦木馬,已感染超5000臺電腦遊戲
- 針對macOS的新型加密貨幣挖礦木馬OSX.CpuMeanerMac加密
- 《2020挖礦木馬年度報告》:挖礦團伙勾結殭屍網路日趨多見
- “大灰狼”遠控木馬分析及幕後真兇調查
- 利用msfvenom生成木馬檔案
- 騰訊安全:新型挖礦木馬“快Go礦工”猛攻企業裝置 IT行業成重災區Go行業
- 另類遠控:木馬借道商業級遠控軟體的隱藏執行實現
- 木馬藏在何處-遠離遠端控制
- 教你解密Gh0st 1.0遠控木馬VIP版配置資訊解密
- 日常“列印軟體”竟然暗藏遠控木馬,白領小心中招!
- 騰訊安全:開啟檔案就中招 “老虎”挖礦木馬已感染超5000臺電腦
- 利用DNS隧道通訊木馬分析DNS
- “永恆之藍下載器”木馬篡改hosts指向隨機域名 多個漏洞攻擊內網挖礦隨機內網
- 技術不夠,外掛來湊,小心遠控木馬“上身”爆發隱私危機
- “您的主機已被接管!”新型 JavaScript 遠控木馬花樣來襲JavaScript
- 駭客組織C0594挖礦木馬攻擊 數千個網站已被攻陷!網站
- DeFi流動性質押挖礦系統開發及馬蹄鏈質押挖礦詳細開發方案
- 騰訊安全:2017年度網際網路安全報告 “炒幣”致挖礦木馬盛行
- 利用WMI命令入侵挖礦,新型挖礦病毒Audliodg持續活躍中
- Linux挖礦木馬的技術演進探討Linux
- 一個簡單木馬分析及接管利用
- Polygon馬蹄鏈智慧合約挖礦系統開發|Polygon馬蹄鏈專案開發Go
- IPP挖礦技術開發/Defi挖礦/IPPswap理財挖礦系統開發元件解析元件
- MDEX挖礦系統開發/MDEX流動性挖礦系統開發(程式碼原理分析)
- linux下查詢php木馬LinuxPHP
- WindowsApache下防PHP木馬設定WindowsApachePHP