一、概述

加密貨幣一直以來都是黑客們極為熱衷的攻擊領域，除了攻擊加密貨幣交易平臺以獲得鉅額的經濟利益外，還存在大量以竊取加密貨幣錢包的攻擊，啟明星辰ADLab近期發現多起以加密貨幣機器人為誘餌進行加密貨幣錢包竊取的攻擊案例。起初我們注意到一些行為異常的交易機器人（主要以Bitmex Bot、Trade Bot、UniqueTradingBot為主），這些機器人在安裝過程中彈出缺少.NET執行庫的錯誤提示框。而通過調查分析發現，其中多款機器人的官方軟體並沒有使用.NET進行相關元件的開發。因而進一步分析後，我們發現這些異常的機器人釋放並試圖執行一些使用C#編寫的可執行檔案，同時發現一些非官方的網路連線。隨後，我們將這些機器人釋放的非官方元件一一提取出來做進一步分析和對比，最後確認這是一款新型的具有豐富竊密功能的惡意軟體。其中核心元件的大部分類均以“NoiseMe”作為名稱空間的起始標誌，因而此處我們將該惡意軟體命名為“NoiseMe”。其除了具備竊取幾乎所有主流加密貨幣錢包的能力外，還被用於敏感資訊（如受害主機的各種登入憑證資料）竊取，進一步黑客還可以利用該惡意軟體對受害主機進行定製化的攻擊，對不同的受害主機下發不同攻擊外掛來執行不同的任務，以實現黑客利益的最大化。

通過我們全面的分析發現，該竊密軟體幾乎會竊取所有可能竊取的憑證資料，並且涵蓋多達10種主流加密貨幣客戶端軟體的錢包檔案。其中竊取的憑證的資料包含RDP憑證、FTP憑證、Telegram憑證、Discord憑證、以及瀏覽器憑證（Cookies、Autofill、CreditCards、Credentials）等。其中涉及的加密貨幣客戶端包含比特幣、萊特幣、位元組幣、達世幣、以太幣、門羅幣、Electrum、Exodus等，這裡Electrum是比特幣的輕量錢包客戶端，Exodus是一款用於管理資產和交易資料的數字貨幣錢包軟體，其支援100多種加密貨幣，如比特幣、以太坊、BAT、EOS、Augur、Tezos、Dash等。

此外，該竊密軟體為了增加自身的存活時間，提高攻擊的隱蔽性，其還大量使用程式碼混淆、關鍵字串加密、高強度程式碼保護技術（WinLicense）來保護其攻擊程式碼，提高逆向分析的難度和時間成本，同時採用檔案記憶體載入技術來防止取證分析人員獲取其核心攻擊模組。在我們分析的整個過程中，需要對其採用高強度程式碼保護技術進行處理，解密出被保護的程式碼，並動態除錯提取出其中被二次加密的字串方可對其進行完整的逆向分析。

二、NoiseMe工作原理分析

在分析完“NoiseMe”惡意軟體後，我們對其整個攻擊過程進行回溯發現，其攻擊載體主要儲存在一些合法的下載站點、雲盤，通過一些論壇和社交網路誘使特定人員下載惡意軟體執行。黑客將這些攻擊載體偽裝成各種加密貨幣自動交易機器人，並以交易機器人為幌子釋出惡意軟體鏈進行傳播。

圖1攻擊流程圖

如圖1所示，這些攻擊載體一旦被受害人下載執行，“NoiseMe”惡意軟體便會在後臺偷偷地執行。其中首先啟動一個“Dropper”執行，該“Dropper”會從黑客的一個惡意程式碼儲存點去下載“上線”模組（下載自站點ra.pdofan.ru）和“核心竊密”模組（下載自站點v69.pdofan.ru）執行。其中，“上線”模組會收集受害主機的系統狀態資訊並回傳至C&C伺服器（45.67.231.23:53623）完成上線任務，同時C&C伺服器會指定一個遠端元件的地址給該模組執行，以完成特定工作。而“Dropper”下載的“核心竊密”模組主要以竊取受感染主機的加密貨幣錢包地址和多種登入憑證資料為主，這些資料均會回傳給內建的儲存伺服器（195.161.62.146:2012）使用。

通過對“NoiseMe”攻擊載體的收集發現，黑客使用了多種型別的攻擊載體以擴大其攻擊目標，其中除了包含有三款比較著名的商用加密貨幣機器人外，還包含有多種用於賺取比特幣的自動化輔助工具以及一些使用Autoit指令碼實現的偽裝器。

表1攻擊載體偽裝資訊

偽裝的商用加密貨幣機器人中，實際安裝的是類似於MarginClick及AutomatedTrading Bot之類的商業化交易客戶端。其中攻擊載體偽裝成為類似於“BtcClicks Autoclicker.exe”的輔助工具，經過查證該工具是基於網站https://btcclicks.com進行模擬觀看廣告以賺取比特幣的自動化工具，可以看出黑客還試圖攻擊此類灰色收入者以竊取其所得的比特幣收入。

此外，還有一些攻擊載體以Autoit指令碼轉EXE的方式存在，不過這類攻擊載體似乎大量感染上了Ramnit蠕蟲（是一款具備廣泛感染能力的蠕蟲病毒，其支援感染EXE、DLL、HTML以及HTM等型別的檔案）。這很可能是“NoiseMe”在傳播過程中受此病毒感染，而並非是黑客刻意為之，因為在“NoiseMe”中加入Ramnit蠕蟲極容易暴露自身並且其攻擊目的也大相徑庭。

最後，我們對“NoiseMe”惡意軟體進行了溯源，最終發現一款攻擊功能和目標較為相似的惡意軟體GrandSteal，通過比對分析還發現他們中出現了完全相同的程式碼，見圖2。

圖2程式碼比對圖

但是他們之間大量的程式碼仍然存在許多差別，我們猜測這兩款惡意軟體極有可能來自同一個家族的原始碼改造。“NoiseMe”相較於GrandSteal，其功能更豐富，對抗手段更強，如GrandSteal僅僅使用ConfuserEx混淆工具進行簡單的程式碼混淆，而“NoiseMe”則使用高強度的商業加密工具進行了程式碼保護；GrandSteal單純只有竊密功能，而“NoiseMe”卻加入了Loader的使用和遠端任意元件執行的功能；此外“NoiseMe”使用了更為豐富的攻擊載體進行傳播。

三、詳細技術分析

      黑客利用Dropper模組下載執行“上線模組”和“核心竊密模組”，達到竊取受感染主機加密貨幣和隱私憑證資料的目的。為了躲避安全防護軟體查殺和對抗安全分析人員逆向分析，黑客使用了字串加密、記憶體載入執行以及利用商業保護軟體WinLicense加殼等多種技術手段保護“NoiseMe”竊密軟體。“NoiseMe”竊密軟體各個模組功能如圖3所示。

圖3NoiseMe模組功能示意圖

3.1Dropper模組分析

      Dropper模組的主要任務是下載和執行功能模組。為了對抗逆向分析，黑客將Dropper模組中的關鍵字串資訊先進行異或加密（異或金鑰為“dNwlEXttSqq”），加密的結果再用Base64編碼儲存到程式中。解密方法為其逆過程。解密程式碼如圖4所示。

圖4 字串解密演算法

      在完成關鍵字串解密後，Dropper模組會從2個內建的連結下載並執行功能模組。其中，內建連結“hxxp://ra.pdofan[.]ru/Justmine.exe”下載的是上線模組，該模組以Justmine.exe命名並儲存到%USERPROFILE%目錄；內建連結“hxxp://v69.pdofan[.]ru/111111111.exe”下載的是核心竊密模組，以111111111.exe命名並儲存到%USERPROFILE%目錄。下文我們會詳細地分析這兩個功能模組的具體實現。下載和執行功能模組相關程式碼如圖5所示。

圖5下載檔案並執行

      從圖5中可以看出，Dropper模組中下載功能模組的URL連結是HTTP協議，但是在分析過程中我們發現它在傳輸功能模組時實際使用的是HTTPS協議。黑客利用了HTTP重定向功能將下載連結重定向到HTTPS網址上，再以HTTPS協議傳輸資料以達到隱藏惡意模組傳遞和躲避防火牆偵測的目的。重定向請求和應答的網路資料包如圖6所示。

圖6重定向到HTTPS

      當Dropper模組完成上線模組和核心竊密模組的下載和執行後，其核心功能使命便已完成，接下來就是清理痕跡以躲避安全分析人員的追蹤溯源。清理痕跡功能是利用上文解密出的Remove.bat批處理指令碼程式實現，具體由Dropper模組中的“SystemDataDataRowBuilder”函式負責實施。相關程式碼如圖7所示。

圖7自刪除程式碼

3.2 上線模組

      “上線模組”是由Dropper模組下載並命名為Justmine.exe，其將自身偽裝成WinRAR應用程式，用於迷惑攻擊目標，​獲取被感染主機的國家、城市以及系統版本、時區等資訊，然後將這些資訊上傳到C&C伺服器。黑客能夠根據攻擊需求向受感染主機下發並執行任意攻擊模組。

3.2.1獲取裝置資訊

      ​“上線模組”利用Replace函式過濾掉垃圾資料得到真正的C&C伺服器地址“45.67.231.23:53623”。C&C地址的獲取程式碼如圖8所示。

圖8 C&C地址獲取

在獲得C&C伺服器後，“上線模組”便開始收集受感染主機的裝置資訊，包括硬體ID、作業系統、公網IP、國家、CPU資訊和顯示卡資訊。這些資訊會臨時儲存在記憶體中，作為上線資訊上傳到C&C伺服器。獲取裝置資訊程式碼如圖9所示。

圖9獲取裝置資訊

3.2.2安裝和持久化

      在獲取到裝置資訊後，“上線模組”接著安裝自身並利用計劃任務實現持久化，其會先判斷當前的執行路徑與它預置的“%USERPROFILE%\\Video\\Junker”路徑是否相同，為了方便描述，下文簡稱該路徑為“安裝目錄”。

      如不相同，“上線模組”會先建立該“安裝目錄”，然後通過遍歷程式殺死在“安裝目錄”下的PHPmyAdmin.exe程式，接著將自身拷貝到“安裝目錄”下並命名為PHPmyAdmin.exe，再執行“安裝目錄”下的PHPmyAdmin.exe，最後退出執行。相關程式碼如圖10所示。

圖10安裝目錄

      如相同，“上線模組”會判斷是否已經安裝過，如果安裝過就退出執行，否則就呼叫“Junk”函式向受感染主機安裝計劃任務以實現持久化。惡意程式碼利用Windows系統自帶的schtasks程式執行安裝計劃任務，反編譯後顯示用於安裝計劃任務的命令字串被混淆過，見圖11。

圖11計劃任務

      從圖11中可以看出，計劃任務被安裝到“\\Microsoft”路徑下。任務名稱以“Php-”字串開始，後面再拼接一個受感染主機硬體資訊（機器名稱、當前登入使用者名稱、使用者所在域、作業系統版本資訊組成的字串）的HASH值。安裝好的計劃任務如圖12所示。

圖12電腦中被安裝的計劃任務

3.2.3下載執行擴充套件模組

      “上線模組”在實現持久化後，就利用前面解析的C&C伺服器和受感染主機的裝置資訊構造上線請求，並以SOAP協議每隔60秒與C&C伺服器進行一次通訊。C&C伺服器收到上線請求後會向受感染主機下發配置資訊，配置資訊包含擴充套件模組的下載地址和擴充套件模組的啟動方式（顯示執行、隱藏執行）等配置資訊。“上線模組”會按照配置資訊下載並執行擴充套件模組。利用配置資訊下達控制指令，黑客可以十分靈活的控制被感染主機執行任意攻擊程式以實現其攻擊目的。解析控制指令程式碼如圖13所示。

圖13解析控制指令

     從圖13中可以看出，“上線模組”會呼叫“Drop”函式來下載和執行擴充套件模組。該函式會判斷“%USERPROFILE%\\Video\\Junker\\Lock”目錄是否存在，如若不存在則先建立該目錄，然後再按照配置資訊下載執行擴充套件模組。相關程式碼如圖14所示。

圖14下載執行程式碼

捕獲到的上線請求資料包如圖15所示。

圖15上線請求資料包

上線請求資料各欄位的含義如表2所示。

表2上線請求欄位含義

C&C伺服器返回的控制指令資料包內容如圖16所示。

圖16控制指令資料包

圖16中各個欄位含義如表3所示。

表3上線應答欄位含義

在對“Target”欄位中的擴充套件模組進行分析後，我們發現其是一個與Dropper模組類似的功能模組，用於下載核心竊密模組，故不再做過多的介紹。

3.3、核心竊密模組

“核心竊密模組”是由Dropper模組下載並命名為11111111.exe，它的核心程式碼經解密後在記憶體中執行以達到繞過防毒軟體的效果。

3.3.1、自解密執行

反編譯“核心竊密模組”，結果顯示該模組僅有2個類，一個是入口函式類（入口點“_0x_u1632184666.Main”），另一個是加密解密類（_0x_u1005254334），類名稱和函式名均是被混淆過的，如圖17所示。

圖17入口類和加密解密類

“核心竊密模組”執行後先呼叫“_0x_u1005254334”函式對內建的字串進行解密。解密過程是先將字串轉為16進位制，然後使用硬編碼的金鑰“QDAWDfskVf”與該16進位制資料進行異或，異或的結果再Base64解碼得到最終的可執行程式（Holivar.exe）。相關程式碼如圖18所示。

圖18解密程式碼

“核心竊密模組”通過呼叫“_0x_u956374591”函式實現記憶體載入並執行Holivar.exe，並向Holivar.exe傳遞2個引數，分別為儲存伺服器（“195.161.62.146”）和BuildID（“MERCEDES”）。程式碼如圖19所示。

圖19記憶體載入執行

3.3.2、竊密功能分析

“核心竊密模組”在記憶體中載入並執行Holivar.exe，由Holivar.exe負責實施竊取受害人的加密貨幣財產和隱私資料。為了便於描述，我們在分析竊密功能時均稱之為“Holivar模組”。

1）   下載竊密配置

      “Holivar模組”啟動後會嘗試以websocket協議、2012埠與儲存伺服器（“195.161.62.146”）建立連線，如果不能連線，則一直等待；如果連線成功，則從儲存伺服器下載配置資訊。通過修改配置資訊，黑客可以指定要竊取資料的型別。圖20為下載和解析竊密配置資訊程式碼。

圖20下載和解析配置資訊

圖20中各個欄位含義如4表所示。

表4竊密配置資訊欄位含義

解析完竊密配置資訊後，“Holivar模組”便開始按照配置資訊收集受感染主機的隱私資料。

2）   獲取客戶端資訊

      “Holivar模組”會收集受感染主機的客戶端資訊，其中包括該竊密軟體的BuildID、顯示器螢幕解析度、受感染主機的時間、時區、使用者名稱、公網IP、國家、城市、作業系統、硬體資訊、反病毒軟體、作業系統語言資訊。利用這些客戶端資訊，黑客可以區分不同的受感染主機，通過篩選後對特定目標進行攻擊。資訊收集相關程式碼如圖21所示。

圖21 獲取客戶端資訊

      通過對“Holivar模組”進行二進位制分析後，我們發現黑客可能利用了GitHub上的一個開源專案（https://github.com/chrizator/WMIGatherer）實現了獲取裝置的硬體資訊和反病毒軟體資訊。開原始碼與“Holivar模組”的程式碼片段比較如圖22所示。

圖22 GitHub開原始碼與Holivar模組程式碼對比

3）   竊取瀏覽器資料

      反彙編程式碼顯示“Holivar模組”能夠竊取基於Chromium和Firefox核心的瀏覽器的資料。“Holivar模組”通過遍歷和查詢“%USERPROFILE%\\AppData\\Local”和“%USERPROFILE%\\AppData\\Roaming”兩個目錄下的LoginData、Web Data、Cookies檔案，獲取符合條件的瀏覽器資料夾。相關程式碼如圖23所示。

圖23獲取Profile目錄

在得到瀏覽器的安裝路徑後，“Holivar模組”通過拼接目錄獲取Cookies、autofill、Credit Cards、Credentials的全路徑，獲得瀏覽器中儲存的隱私資料。反編譯後的程式碼如圖24所示。

圖24讀取Cookies

4）   竊取加密貨幣錢包

      “Holivar模組”能夠竊取10種加密貨幣客戶端軟體的錢包檔案，其中包括6種加密貨幣官方客戶端錢包，如：比特幣、萊特幣、位元組幣、達世幣、以太幣、門羅幣，此外還有比特幣的輕量錢包客戶端Electrum和加密貨幣交易軟體Exodus的錢包。惡意軟體獲取受感染主機中數字錢包的資訊如表5所示。

表5錢包檔案位置資訊獲取方法

5）   竊取檔案

      “Holivar模組”具有竊取受感染主機任意檔案的功能，其竊取的檔案路徑和檔案字尾是從上文中“下載竊密配置”獲得。黑客可以按照攻擊需求靈活的配置要竊取檔案的目錄以及檔案字尾名。通過逆向分析我們發現，“Holivar模組”僅上傳小於等於2097152位元組的檔案。程式碼如圖25所示。

圖25 竊取檔案大小

6）   竊取Discord憑證

      Discord是專門為了服務遊戲人群而設計出來的即時通訊軟體，其提供簡訊、語音和視訊通話等功能。此外，它還擁有極高的匿名性，這一特點吸引了很多不法分子（如：“右翼分子”、“非自願獨身者”、“男權至上主義者”）使用這款應用進行線上交流和線下集會。

      逆向分析顯示“Holivar模組”也對Discord憑證感興趣，其獲取Discord的憑證資訊大致流程是：首先找到Discord的程式，然後dump其程式資料，最後解析dump檔案，獲取到登入憑證資訊。相關程式碼如圖26所示。

圖26 查詢Discord程式

7）   竊取Ftp憑證

      “Holivar模組”能夠竊取FileZilla軟體的登入憑證，FileZilla是一個免費開源的FTP軟體，它的快速連線密碼被儲存在%userprofile%\AppData\Roaming\FileZilla\recentservers.xml中，檔案格式如圖27所示。

圖27 recentservers配置檔案

儲存的站點密碼被儲存在%userprofile%\AppData\Roaming\FileZilla\sitemanager.xml中，檔案格式如下圖所示：

圖28 sitemanager配置檔案

“Holivar模組”只要讀取上面的兩個檔案就能夠輕易獲取FileZilla登入憑證。圖29是惡意軟體解析FileZilla登入憑證的部分程式碼截圖。

圖29 解析配置資訊

8）   竊取RDP憑證

      RDP（遠端桌面協議）登入憑證通常是各類黑客軟體的攻擊目標之一，其在暗網中以3至15美元的價格被出售。逆向分析顯示“Holivar模組”也竊取RDP憑證資料，其使用了CredEnumerateW API讀取受感染主機的RDP憑證，然後提取每個RDP憑證儲存的主機名、使用者名稱和密碼。解析RDP憑證程式碼如圖30所示。

圖30 盜取RDP憑證

9）   竊取Telegram憑證

   “Holivar模組”通過讀取“%AppData%\TelegramDesktop\tdata\D877F783D5D3EF8C\map*”和“%AppData%\TelegramDesktop\tdata\D877F783D5D3EF8*”獲取桌面版的Telegram登入憑證，進而實現對Telegram會話的劫持。相關程式碼如圖31所示。​

圖31 盜取Telegram資料

10）獲取程式資訊

      “Holivar模組”會收集受感染主機執行的程式名稱和啟動引數並將其上傳到儲存伺服器。黑客通過對這些資料進行篩選從而判斷目標裝置是否存在能夠被攻擊的程式，以便展開後續的攻擊。相關程式碼如圖32所示。

圖32 遍歷程式資訊

11）獲取安裝應用列表

      “Holivar模組”除了竊取當前執行的程式列表，還竊取受感染主機安裝的應用程式列表，它通過遍歷登錄檔"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall"下面的內容獲取安裝應用的名稱。相關程式碼如圖33所示。

圖33 獲取應用列表

12）獲取螢幕截圖

      “Holivar模組”會向儲存伺服器傳送受感染主機的螢幕截圖，它先獲取受感染主機的螢幕大小，然後建立一個與螢幕大小相同的Bitmap，最後利用Graphice.CopyFromScreen函式獲取當前螢幕的點陣圖資訊。螢幕截圖實現程式碼如圖34所示：

圖34 螢幕截圖

13）上傳憑證資料

      在“Holivar模組”完成隱私資料收集後，其使用websocket協議將這些資料上傳到儲存伺服器，請求路徑是“Credentials”。上傳資料請求程式碼如圖35所示。​

圖35回傳資料

資料上傳成功後，“Holivar模組”會建立"%USERPROFILE%\\AppData\\Local\\Temp\\Remove.bat"批處理檔案，利用此指令碼實現自刪除功能。

四、總結及建議

通過上文的分析可以看出，“NoiseMe”竊密軟體是一款同時具備加密貨幣錢包及主機憑證資訊竊取的功能。通過其偽裝性的攻擊載體來看，其主要針對的是那些期望進行自動化交易的人員，這些人具有交易頻繁，交易量大等特點，其中很多是擁有大量加密貨幣的大戶。一旦此類人感染了“NoiseMe”，其受到的損失將是不可估量的。此外，黑客從中竊取的憑證資訊也將是黑客進行關聯攻擊的重要依據，這會大大的擴充套件黑客的攻擊路徑，以實現攻擊的最大利益化。

從本次攻擊的過程來看，“NoiseMe”惡意程式碼主要以偽裝的手段來傳播，並在一定程度使用社會工程學來欺騙目標下載惡意程式碼執行。由於目標的安全意識薄弱，使得這種看似簡單的攻擊手段依然有效，且在黑客中仍然被大量使用。隨著數字貨幣的應用場景日趨豐富，我們仍然需要做好基礎的安全工作包含安全意識的培養、基礎安全設定的管理等等。因此，基於本次攻擊的分析給出如下幾條建議以防禦“NoiseMe”惡意程式碼的入侵：

1) 不要從第三方下載和執行未知的應用程式，

2) 校驗可執行檔案的簽名以及HASH，

3) 開啟防火牆，攔截未知應用網路通訊，

4) 及時給電腦打補丁，修復漏洞，

5) 不要使用瀏覽器的自動填充密碼和信用卡功能，

6) 不要使用一些應用程式的儲存密碼功能。

五、IOC

注：以下為收集到的部分NoiseMe家族域名資訊