<pre id="nvdfx"></pre>

    <pre id="nvdfx"></pre>

    <pre id="nvdfx"></pre>

      <pre id="nvdfx"></pre>
      <dl id="nvdfx"></dl><dl id="nvdfx"></dl>
        <span id="nvdfx"></span>

          《魔域》私服暗藏遠控木馬和挖礦木馬

          2021.10.28 來源:安全豹作者:安全豹

          事件概述

          近期,金山毒霸捕風系統捕獲了一批網絡游戲《魔域》私服木馬,該木馬伴隨著游戲登錄器傳播,會釋放大灰狼遠控和門羅幣挖礦木馬執行。大灰狼遠控幾乎可以完全操控用戶系統,常被用來竊取用戶信息和遠程操控用戶電腦,如操作賬戶、注冊表、服務、進程、文件、攝像頭、音頻、監控桌面、監控鍵盤等。門羅幣挖礦木馬會將用戶電腦作為肉雞進行秘密挖礦,它不僅會大量侵占電腦資源,使電腦運行變得特別緩慢,還會損耗電腦硬件,縮短電腦使用壽命。

          追蹤發現,該木馬與其他安全廠商通報的BearMiner(灰熊礦業)、LaofuMiner("老虎”挖礦木馬)同屬一個家族。該家族以挖礦業為主,具有挖礦程序偽裝系統文件,關鍵數據總體打包加密傳遞,程序膨脹變大等特點。該家族的蹤跡可追蹤到2018年,早期使用偽裝欺騙方式傳播挖礦木馬,現階段通過私服游戲捆綁后門下發大灰狼遠控傳播挖礦木馬,一直保持活躍。

          1

          樣本執行流程圖

          捕獲的部分登錄器信息如下:

          2


          樣本分析

          本次捕獲的病毒源頭為《魔域》私服登陸器,該私服登錄器會在游戲目錄釋放后門文件tqlits.dat,tqlits.dat會在臨時目錄釋放木馬加載器net1024.exe,net1024.exe會下載啟動大灰狼遠控木馬。大灰狼遠控木馬主要包括遠程控制功能和下載木馬加載器xm.exe功能,xm.exe會下載門羅幣挖礦木馬秘密進行挖礦。為了規避安全監控和安全分析,程序相關的主要信息都采用整體打包加密傳遞,算法采用異或和RC4結合。

          net1024.exe的核心功能為下:

              1.解密配置數據,創建執行副本程序C:\ProgramFiles\Microsoft Obliqo\Dqaiqov.exe。
              2.將副本程序注冊為服務實現自啟動,服務名為T210729.Wsfnvtkiposqrp.Dqqyge。
              3.下載執行大灰狼遠控木馬,實現遠控控制和下載挖礦木馬執行。

          3

          捕獲的私服官網圖片


          大灰狼遠控木馬

          大灰狼遠控作為木馬界的主流遠控,由于其功能齊全,有相應源碼泄出,簡單修改就可投入使用的特點,一直以來頗受惡意作者的鐘愛。本樣本為修改版的大灰狼遠控,主要修改點是將服務器等主要配置信息整體打包加密,以參數的形式傳遞使用;增加了直接下載木馬加載器下載挖礦木馬執行功能。將主要配置數據進行整體打包加密傳遞,不僅可以隱藏數據,還可以更方便的更換配置數據,從而降低被安全軟件發現。

          下面就大灰狼遠控木馬做下簡單分析。

          為了規避安全監控,大灰狼遠控模塊以加密包的形式下發到本地,然后內存加載解密調用。涉及大灰狼遠控模塊的信息如下:

                  加密的URL和密鑰: 4jNnIiz7AdVaqF0XDp1bKttqa9v4knGl6fn7RuC0hQ== ,Getong538。

                  解密的URL:http://xk1.996is.com:66/kj.dll。

                  保存路徑: C:\Program Files\AppPatch\kj.dll。

                  解密kj.dll的信息:名稱為NetSyst96.dll,導出函數包括DllFuUpgStop和DllFuUpgradrs。

          該遠控會把遠控的服務器、保存的副本、創建的服務等配置信息以加密數據的形式進行傳遞使用:

          4

          解密后的配置主要為:

                  遠控服務器:yy.996is.com:30010,

                  文件副本信息:%ProgramFiles%\Microsoft Obliqo\.Dqaiqov.exe,

                  服務信息:T210729.Wsfnvtkiposqrp.Dqqyge(服務名)  vjazdbmzspiqjxmwio.監測和監視新硬件設備并自動更新設備驅動(服務描述)。

          大灰狼遠控木馬通過創建服務去下載挖礦木馬和執行遠控功能,下圖為下載挖礦木馬執行。

          5

          大灰狼遠控木馬的遠控功能特別齊全,且分布詳細,接收不同指令,執行不同功能,下圖為首層指令分支:

          6

          下圖展示了最頂層的部分指令功能解析:7

          下面就部分功能做下簡單說明,設置系統成為可以多用戶使用的3389端口遠程桌面:

          8

          鎖磁盤:

          9

          操作iexplore.exe訪問網頁:

          10

          安全軟件檢測,涉及國內外主流安全軟件:

          11

          設置全局鍵盤鉤子,對鍵盤輸入進行監控:

          12


          門羅幣挖礦木馬

          近年,隨著虛擬貨幣的暴漲,挖礦市場也是異?;鸨?。一些礦主為了謀取更多利益,他們制造了一大批挖礦木馬,用此去感染用戶機器,將用戶電腦作為肉雞,秘密進行挖礦。此挖礦主程序由xm.exe下載解密而來,分析發現它是由xmrig的開源代碼修改而來的,主要是對命令行參數進行了加解密處理,用此來規避安全監控。

          xm.exe為一個木馬下載器,主要功能如下:

              1.解密配置數據,創建副本程序C:\Windows\SystemBols\AppVNice.exe執行。

              2.將副本程序注冊為服務實現自啟動,服務名為Norporati Windows AppVNice。

              3.利用副本程序下載釋放C:\Windows\SystemBols\AppVNice.dll,AppVNice.dll會針對不同系統釋放不同的挖礦程序,然后啟動挖礦程序,秘密進行挖礦。挖礦文件主要為Systen32.exe,Systen64.exe,WinRing0x64.sys,它們都以明文的形式保存在   解密的AppVNice.dll末尾。

          xm.exe為了規避殺軟檢測,它還對釋放的AppVNice.exe和Systen32.exe進行了代碼膨脹,在文件末尾添加大量無用字符串,釋放的文件信息如下所示:

          13

          為了規避安全軟件的檢測,xm.exe的關鍵信息都是以密文的形式進行傳遞的,主程序的關鍵配置加密信息如下:

          14

          解密的配置主要為:

                  事件名稱:huixingwa100

                  副本信息:%SystemRoot%\SystemBols\AppVNice.exe

                  下載服務器信息:mine.gsbean.com:8585

                  服務信息:Norporati Windows AppVNice(服務名)Norporati Assemblies Windows AppVNice:Norporati Windows AppVNice the net.msmq and msmq(服務描述)

          挖礦相關的關鍵配置信息加密如下:

          15

          解密的配置主要為:

                  命令行參數:-o poole.laofubtc.com:5560 -u CPU_V15.1_x32(20211011) -p x -k        -o poole.laofubtc.com:5561 -u CPU_V15.1_x64(20211011) -p x -k

                  挖礦主程序信息:%ProgramFiles%\Microsoft SystelApp\.Systen32.exe..Systen64.exe

          根據命令行參數知,礦池為 poole.laofubtc.com:5560 ,挖礦登錄名為  CPU_V15.1_x32(20211011)

          挖礦主程序命令行如下:

          C:\Program Files\Microsoft SystelApp\Systen32.exe    X+yvH0cmzkNtaCq+sIYbyv/vpmlkQgSlfWZ7UjjcTLK7MKqeG6n++1p4UcmYCVq/OgJs9rxhG2Z0Yza9UmwRKBh0oKjhdjg=

          挖礦主程序執行如下:

          16


          總結

          近年,隨著游戲市場的火爆,衍生了一大批附屬產品,例如:破解、外掛、私服等。他們圍繞著游戲也有著相當龐大的用戶和市場,出于暴利和制作門檻入門要求低,經常被不法份子利用,將這些工具與一些木馬捆綁在一起傳播,用于秘密竊取用戶信息等。為了我們的電腦和信息安全,建議安裝殺軟進行實時監控。

          下圖為金山毒霸查殺該病毒截圖:

          17



          IOC(部分)

          HASH:

          d43dc46caf067003d9a4ac0236548daf

          e31d29c651310255ca0a8f3bea2244a6

          985631f2f688ad8bbe4840a199f8c884

          d988a09423318ab1dadafff1b4f27f1e

          8c19d83ff359a1b77cb06939c2e5f0cb

          21d5fb15675170dcb3f7ecc7aab5fbde

          8df242fd64a9d1fd8d94990d37b1b7c0

          3aaa7a0e443543214a43ac158fbde56b

          bc7a8dc12a8243ca0e637218da1cd3b7

          4f1a6c5cde0796b2632063bd8839fd72

          C2:

          http://yy.996is.com:30010

          http://mine.gsbean.com:8585

          URL:

          http://www.baihes.com:8282/xm.exe

          http://www.baihes.com:8282/cpa.exe

          http://xk1.996is.com:66/kj.dll

          http://xx.690tx.com:81/100w.exe

          http://110.42.8.91:88

          https://www.898my.com/


          上一篇:

          ? 十八禁欧美在线观看网站_十八禁啪啦免费福利网站_十八禁网站免费