门罗币挖矿+远控木马样本剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

门罗币挖矿+远控木马样本剖析

申博_人物事迹 申博 215次浏览 未收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

近日,要挟谍报小组在对可疑下载类样本举行剖析时,发明一同门罗币挖矿+木马的双功用样本。该样本会在实行挖矿的同时,经由历程C2配置文件,到指定站点下载具有远控功用的样本,猎取受益主机信息,并进一步掌握受益主机。

详细剖析历程:

样本主体:

样本主体文件接纳的是360杀软的图标,并且文件形貌信息为 “360主动防备效劳模块”,引诱用户点击实行。

主体在实行时会开释拷贝本身到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SQLAGENTSA.exe,并继承实行。

拷贝本身并继承实行

SQLAGENTSA.exe 会在当地开释并实行称号为“VBS.vbs”和“AutoRun.vbs”的两个vbs剧本,同时还会联网下载挖矿顺序,并读取C2配置文件,下载木马文件继承实行。

VBS.vbs剧本内容

该剧本的目标就是为了确保历程“SQLAGENTSN.exe”会一直在运转。“AutoRun.vbs”剧本的内容和“VBS.vbs”剧本的内容很类似,目标也是为了确保历程“SQLAGENTSN.exe”会一直在运转。

挖矿行动

样本中存在以下硬编码文件途径。

登录站点能够发明,该站点为一个HFS下载站点。

针对cpu32.exe的文件举行剖析,发明该文件现实是利用了开源代码XMRig2.11版本的门罗币挖矿顺序。

该文件鄙人载到当地以后,本重命名为sqlagentc.exe,存放于 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下,并被启动实行,启动参数为“–donate-level 1 –max-cpu-usage 75 -o x.huineng.co:80 -u x.0309C -p x -k”,

sqlagentc.exe启动参数

同时在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下也发明了顺序运转日记。

挖矿日记

个中CPU_log.txt 即为挖矿日记。

由日记能够确认,矿池地点为 x.huineng.co:80  ip地点为 154.92.19.164。

木马行动

该样本主体除载挖矿顺序举行挖矿以外,还会直接读取 http://a.owwwa.com/mm/SQL.txt文件的内容,从中猎取木马文件地点,然后下载木马文件到当地继承实行。

样本中硬编码的配置文件途径

SQL.txt的内容

登录到站点上以后,发明该站点也是一个HFS下载站点,文件列表以下:

个中startas.bat剧本卖力将SQLAGENTSON.exe建立为效劳,并且以“System”账户运转。

sqlbrowsers.exe 会起首搜检以后历程是否是以管理员权限运转,若是不是的话就以管理员权限再次启动历程,不然就解密并加载内存PE。

推断是否是管理员权限运转

加载内存DLL

内存DLL有一个导出函数StartAsFrameProcess,该DLL的主要功用都集合在这个函数中。

该函数内会起首禁用UAC。

禁用UAC

然后下载新样本到磁盘根目录,并启动新样本。

然后再次以效劳的体式格局自启动,实行主要功用。

主要功用有:监听、纪录本机键盘数据并解密写入磁盘文件,猎取本机装置的杀软信息,修正本级Host文件,剖析、删除本机日记信息等。

键盘纪录并加密存储

猎取主机杀软状况

体贴的杀软列表以下:

“360tray.exe”、”360安全卫士”、”360sd.exe”、”360杀毒”、”kxetray.exe”、”金山毒霸”、”KSafeTray.exe”、”金山安全卫士”、”QQPCRTP.exe”、”QQ电脑管家”、”BaiduSd.exe”、”百度杀毒”、; “baiduSafeTray.exe”、”百度卫士”、”KvMonXP.exe”、”江民”、”RavMonD.exe”、”瑞星”、”QUHLPSVC.EXE”、”QuickHeal”、”mssecess.exe”、”微软MSE”、”cfp.exe”、”Comodo杀毒”、”SPIDer.exe”、”DR.WEB”、”acs.exe”、”Outpost”、”V3Svc.exe”、”安博士V3″、”AYAgent.aye”、”韩国胶囊”、”avgwdsvc.exe”、”AVG”、”f-secure.exe”、”F-Secure”、”avp.exe”、”卡巴”、Mcshield.exe”、”麦咖啡”、”egui.exe”、”NOD32″、”knsdtray.exe”、”可牛”、”TMBMSRV.exe”、”趋向”、”avcenter.exe”、”小红伞”、”ashDisp.exe”、”Avast网络安全“、”rtvscan.exe”、”诺顿”、”remupd.exe”、”熊猫卫士”、”vsserv.exe”、”BitDefender”、”PSafeSysTray.exe”、”PSafe反病毒”、”ad-watch.exe”、”Ad-watch反间谍”、”K7TSecurity.exe”、”K7杀毒”、”UnThreat.exe”、”UnThreat”。

修正主机Host文件

门罗币挖矿+远控木马样本剖析

剖析、删除操纵体系日记

SQLIOSIM.exe 会在进口处运用RC4算法解密出内存PE,然后实行分歧的功用,在实行的时刻,会加载名为“Consys21.dll”的DLL文件,传入详细的功用形貌信息,末了实行。

Roaming Mantis攻击活动又更新

1年前,研究人员就对Roaming Mantis攻击活动进行过分析。今年2月,研究人员检测到该攻击活动的新动向,本文主要介绍工具和技术方面的更新。 Apple钓鱼的mobile config 研究人员的重要发现之一就是攻击者继续寻找方法来入侵iOS设备,并为i

这些功用触及:文件、注册表、历程、shell、音频、视频、屏幕、窗口、弹框、署理、DDOS开启,封闭等操纵。

内存PE解密局部:

运用RC4解密内存PE

主要功用局部:

文件操纵

注册表操纵

历程操纵

shell操纵

音频操纵

视频操纵

屏幕操纵

窗口操纵

弹框操纵

署理操纵

DDOS开启

DDOS封闭

SQLIOSIMSA.exe也是会加载内存PE,且PE为一个Dll文件,然后挪用Dll文件的“DllFuUpgradrs”的导出函数实行主要功用,功用有:完毕指定历程、修正硬盘MBR、删除指定文件、为体系增加账户,开启3389等。

加载内存PE

挪用导出函数“DllFuUpgradrs”

以导出函数“DllFuUpgradrs”为进口,实行响应的功用。

完毕指定历程

历程称号列表:IEXPLORE.exe、360SE.exe、sogouexplorer.exe、Chrome.exe、Firefox.exe、Maxthon.exe、taskmgr.exe、regedit.exe、mmc.exe、mstsc.exe、QQ.exe、s.exe、cmd.exe。

修正硬盘MBR

门罗币挖矿+远控木马样本剖析

删除指定文件

为体系增加账户

开启3389

 

联系关系剖析:

样本联系关系剖析:

在样本剖析历程当中,根据一些代码特性能够断定远控局部为“大灰狼远控”修正而来,但代码那种依旧留下了许多陈迹,主要有以下几点:

样本在内存PE解密局部运用的是RC4算法,并且初始字符串为“Mother360”,这一点和大灰狼远控如出一辙。

大灰狼远控 源码

样本在监控键盘内容,加密写入磁盘时运用的加密算法是与0x62亦或,该体式格局也与大灰狼远控局部如出一辙。

大灰狼远控 源码

样本中运用了Consys21.dll模块,并且挪用了该模块的导出函数完成症结功用,而大灰狼远控中也有该模块,并且均含有症结导出函数。

大灰狼远控模块导出函数

关系人联系关系:

样本屡次涌现了一个邮箱EMail:[email protected](但在现实通信中未见运用)

样本中的邮箱信息

根据此邮箱能够联系关系到详细的个人信息:

由其个人经历能够看出,这人是个事情对照久的windows开发人员,对Windows体系也对照相识,以是该远控有多是该人在大灰狼远控的基本之上修正而来。

Roaming Mantis攻击活动又更新

1年前,研究人员就对Roaming Mantis攻击活动进行过分析。今年2月,研究人员检测到该攻击活动的新动向,本文主要介绍工具和技术方面的更新。 Apple钓鱼的mobile config 研究人员的重要发现之一就是攻击者继续寻找方法来入侵iOS设备,并为i


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明门罗币挖矿+远控木马样本剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址