查看: 2236|回复: 1
收起左侧

[技术原创] “美人蝎”矿工通过DNS隧道技术逃避拦截,云控开挖4种矿

[复制链接]
腾讯电脑管家
发表于 2018-5-18 18:35:57 | 显示全部楼层 |阅读模式
0x1 概述
        挖矿木马潜伏越来越深,挖的币种也越来越多。近日,腾讯御见安全态势感知到一款挖矿木马,会挖取至少四种数字加密货币:BCX(比特无限),XMR(门罗币),BTV(比特票),SC(云储币)等,其中仅BCX(比特无限)就已经挖取近400万枚,累计获利50万人民币,目前该挖矿木马已累计感染超两万台机器:
0x2 详细分析
        挖矿木马被植入到普通软件中,感染木马后的文件会变大数倍,原因是木马文件都加了VMP或pecompact壳,木马总体执行流程:
木马启动后,第一件事是检查机器是否安装杀软及虚拟机,在这些机器上并不启动挖矿程序。
另外木马会避开机器名包含“chenhong-”和“KS-”的电脑,具体原因未知。
环境检测完毕后,木马会释放出原版文件,以保证用户下载文件后能正常使用。木马使用二级C2,首先通过DNS协议访问一级C2:jkldk.HONGXIUJB.CLUB,原理是通过nslookup实现
该地址是禁止ping功能的,只能通过DNS协议查询。DNS协议是建立在UDP协议之上,同时又是系统级协议,很少有杀软会侦测DNS数据是否异常,第一级C2服务器会回应一段text串
这段字符串就是加密后的第二级C2,包含了矿机loader程序下载url及文件位置
第二级C2的解密算法是用简单的异或0x10,解密后得到矿机loader的下载地址及文件位置标记。
该链接指向的是一张图片
但在jpg文件的后半部分是加密的loader程序,文件位置在DNS协议中text字段标注
loader被解压后得到完整PE,矿池及钱包信息被内置PE文件中
loader程序内置两个zlib1.dll及czb.exezlib1有两个功能,第一是负责解压矿机程序,第二是在矿机解压成功后会被czb的功能覆盖,木马根据配置信息下载第二张图片,同样解压缩后可以得到矿机,矿机所在目录\AppData\Local\Temp\,矿机常用名称conhostx.exetaskhostx.exe。Czb.exe也算是矿机的loader程序,负责替换zlib1的功能,用户开机启动,启动项名称Pugreport,启动项文件名zlib1.dll
启动项设置完毕后,启动矿机。
机器重启后,zlib1.dll被powershell加载,zlib1负责执行挖矿程序。
C2返回的URL信息可知该木马会挖取BCX(比特无限)、XMR(门罗币)、BTV(比特票)、SC(云储币)等至少四种数字加密货币。
BCX矿机基于go-miner开源挖矿程序修改BCX钱包:XTFTAHhXGxGxpbutxCKisiTkUb7Ss3G2f1收益370万枚,折合人民币47万元。
从支付记录看,该木马于2018年2月初上线,平均每天收益4万枚BCX
另外该木马也在2018年5月2日开通了新的BCX钱包:XT6dMfgSmGWUauPKcJivjn51QkM5P9myJH,目前收益7万枚
SC币钱包地址:4f0d6722ec925890e4e65c9ae9c19b3795c546e2fe2efacb85573a926cd15862fc92dc10d57b,目前收益10293枚,折合人民币1250元
BTV矿机基于minerd,钱包地址:13TyTscoY9fMRWLFayjx21xphqzRf459Nx,目前收益7.7枚,折合人民币70元。
XMR矿机基于xmrig 2.6.0开源矿机修改,门罗币钱包收益,折合人民币2.5万元。
0x3 溯源分析
        该木马被植入在普通软件中进行传播,已感染100多款软件,部分被感染的软件名列表:
这类软件大部分为注册机、破解工具、辅助程序,通过对此类软件进行跟踪,发现已有至少5家下载站在传播已感染的文件:
而这些软件的最后修改/更新时间都要早于挖矿木马钱包的启用时间,有些文件最早可追溯至2015年,而挖矿木马却是在2018年2月上线的,可见该团伙在软件中植入后门已经至少3年了,只是最近开始挖矿。
0x4 安全建议
        同时挖掘多种数字加密货币的木马并不常见,此次捕获的挖矿木马能同时挖四种币,更是要榨干用户的计算资源。针对日益猖獗的不法挖矿行为,腾讯电脑管家推出“反挖矿防护”功能,可对此类挖矿木马进行全面拦截。目前该防护功能已覆盖电脑管家全版本用户,为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行,确保用户电脑资源不被侵占,拥有轻快的上网体验。
0x5 IOCs
Urls:
hxxp://43.230.145.7/123[.]jpg
hxxp://43.230.145.7/66666[.]jpg
hxxp://43.230.145.7/999[.]jpg
hxxp://43.230.145.7/bcx[.]jpg
hxxp://43.230.145.7/btf[.]jpg
hxxp://43.230.145.7/xmr32[.]jpg
domain:
jkdlk.HONGXIUJB.CLUB
hao.oneoneone.online
MD5s:
edd16109e74c0c96d006ee76c9abcbd6
e12731e8d4ff75577055b79c8494196d
9839d385ab29a0bfee1ee6599fa8c8b1
b088e50e774872964462a75d855fe7c5


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wowocock
发表于 2018-5-18 19:08:10 | 显示全部楼层
等着看谁把挖矿功能最先移植到内核中。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:52 , Processed in 0.123021 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表