首页
社区
课程
招聘
[原创]贪吃蛇挖矿木马团伙分析报告
发表于: 2019-5-10 12:59 9234

[原创]贪吃蛇挖矿木马团伙分析报告

2019-5-10 12:59
9234

         不喜欢写那么多密密麻麻的字,直接贴图。

         腾讯御见威胁情报中心监测到“贪吃蛇”挖矿木马团伙针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权工具进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术,可绕过大部分软件防火墙,多次利用大厂商白文件进行攻击。【转】

5)执行挖矿操作

图片描述

2) 判断是否是管理员用户,如果是管理员用户会执行如3-11的操作
图片描述

3)创建一个名为clr_optimization的服务,映像路径如下:%windowsdir%\ Framework\mscorsvws.exe
图片描述

4)判断是否存在C:\WINDOWS\Microsoft.NET\Framework\mscorsvws.exe,如果存在,则执行,否则创建文件mscorsvws.exe,并这是只读,隐藏,系统属性
图片描述

5) 创建C:\WINDOWS\Microsoft.NET\Framework\aspnet_wp.exe,并设置只读,系统,隐藏属性,并执行。此样本是一个白加黑的样本。
图片描述

6) 创建C:\WINDOWS\Microsoft.NET\Framework\ETComm.dll,这是aspnet_wp.exe的必备组件
图片描述

7)创建C:\WINDOWS\MpMgSvc.dll文件
图片描述

8)给如下进程进行提权,主要提升如下权限:SeRestorePrivilege,SeBackupPrivilege,SeSecurityPrivilege,SeTakeOwnershipPrivilege,其中需要提权的进程主要有"

9)利用calc工具拒绝system对C:\Windows\Fonts*.exe进行访问
图片描述
图片描述

12)判断程序是在32位系统中还是64位系统,由此解密不同的恶意文件
图片描述

13) 在当前目录下创建TrustedInsteller.exe,TrustedInsteller.exe是一个挖矿程序,然后执行挖矿:
矿池为pool.usa-138.com:80,
钱包地址为4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S。
图片描述

14)通过dump侵入svchost.exe执行傀儡进程操作的文件。首先程序会Kill rundll32.exe这个进程,这步的目的是后续的样本会使用rundll32.exe加载dll文件
图片描述

1)创建文件C:\WINDOWS\Help\Helpsvc.exe.创建名为WinHelpSvcs的服务,二进制文件为Helpsvc.exe,实现永久化
图片描述

2)将HelpSvc.exe设置系统隐藏属性
图片描述

  • aaaa.usa-138.com
  • http://sql.4i7i.com/32.exe
  • http://4i7i.com/11.exe
  • o.ry52cc.cn,aaaa.usa-138.com
  • o.ry52cc.cn
  • vtqq.f3322.net
  • www.memejerry.top
  • syw520.3322.org
  • http://sql.4i7i.com/64.exe
  • 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf
  • 86c2b941b1f9ad3b461ca4902f7920b68180bc0f8cf9e7ed53e34a8971e3f95a
  • bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22
  • 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624
  • abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1
  • 7538b643ed550032aad2c11e650c51d7c261cf8c714c34bd636164a7518184c0
  • 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624
  • e8c726d1301ac3cdbf2532f5d54e93fc7620cab76381b35ac5f6c5990b19efa1
  • d56fc3208cace3c87a7ce2b3520519ee8003c4324bb8da6aaf3c8c629a5eef6d
  • abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1
  • 6e81d7c71b3e8d731e11ad75d3dac02a4210c9f90fac618af5c00cbce3718658
  • 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf
  • 1)下载多个恶意文件或者白加黑文件,如mscorsvws.exe,aspnet_wp.exe等
  • 2)链接aaaa.usa-138.com,与C2进行交互
  • 3)链接http://sql.4i7i.com/和http://4i7i.com/释放后门程序和挖矿程序
  • 4)创建服务用于常驻
  • 5)执行挖矿操作

    图片描述

  • 1) 得到的原始样本SHA值为bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22,加了UPX的壳,脱去外壳得到样本
  • 2) 判断是否是管理员用户,如果是管理员用户会执行如3-11的操作
    图片描述

  • 3)创建一个名为clr_optimization的服务,映像路径如下:%windowsdir%\ Framework\mscorsvws.exe
    图片描述

  • 4)判断是否存在C:\WINDOWS\Microsoft.NET\Framework\mscorsvws.exe,如果存在,则执行,否则创建文件mscorsvws.exe,并这是只读,隐藏,系统属性
    图片描述

  • 5) 创建C:\WINDOWS\Microsoft.NET\Framework\aspnet_wp.exe,并设置只读,系统,隐藏属性,并执行。此样本是一个白加黑的样本。
    图片描述

  • 6) 创建C:\WINDOWS\Microsoft.NET\Framework\ETComm.dll,这是aspnet_wp.exe的必备组件
    图片描述

  • 7)创建C:\WINDOWS\MpMgSvc.dll文件
    图片描述

  • 8)给如下进程进行提权,主要提升如下权限:SeRestorePrivilege,SeBackupPrivilege,SeSecurityPrivilege,SeTakeOwnershipPrivilege,其中需要提权的进程主要有"

    • C:\Windows\system32\sethc.exe,
    • C:\Windows\system32\osk.exe
    • C:\Windows\system32\Magnify.exe,
    • C:\Windows\system32\Narrator.exe
    • C:\Windows\system32\Utilman.exe
      图片描述
  • 9)利用calc工具拒绝system对C:\Windows\Fonts*.exe进行访问
    图片描述
    图片描述

  • 10)创建从http://4i7i.com/11.exe处,创建11.exe,并执行11.exe
  • 11)如果不是管理员用户,则使用傀儡进程技术
    图片描述
  • 12)判断程序是在32位系统中还是64位系统,由此解密不同的恶意文件
    图片描述

  • 13) 在当前目录下创建TrustedInsteller.exe,TrustedInsteller.exe是一个挖矿程序,然后执行挖矿:
    矿池为pool.usa-138.com:80,
    钱包地址为4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S。
    图片描述

  • 14)通过dump侵入svchost.exe执行傀儡进程操作的文件。首先程序会Kill rundll32.exe这个进程,这步的目的是后续的样本会使用rundll32.exe加载dll文件
    图片描述

  • 15)检测路径是否处于%windows%下,接着设置服务函数ServiceProc分析服务函数,我们知道其执行了一下三个重要操作。1.提升进程权限,创建伪句柄,2.并且与CC服务器交互3.获取设备相关信息(主要包括处理器信息,系统物理和虚拟内存使用情况,设备驱动器信息和驱动程序信息)
    图片描述
    图片描述
    图片描述
  • 16)开始服务aspnet_staters
    图片描述
  • 17)并设置程序自启动
    图片描述
  • 18)设置注册表数据,主要是设置aspnet_staters服务的相关信息,以便其他样本读取,并判断是否被感染
    图片描述
  • 19)检索大多数 图片描述国内安全厂商进程
    图片描述

    0x4.2 11.exe分析

  • 1)创建文件C:\WINDOWS\Help\Helpsvc.exe.创建名为WinHelpSvcs的服务,二进制文件为Helpsvc.exe,实现永久化
    图片描述

  • 2)将HelpSvc.exe设置系统隐藏属性
    图片描述

  • 3)创建C:\WINDOWS\Help\Winlogon.exe同样设置隐藏系统属性,并执行。
    图片描述
  • 4)创建C:\WINDOWS\Help\active_desktop_render.dll文件
    图片描述
  • 5)删除服务
    图片描述
  • 6)配置IPSEC安全策略(DNS桥隧通信)
    图片描述
  • 7)利用cacls禁止system用户对如下文件访问
    • C:\ProgramData\Storm\update\%YOUSHIZHUAY%*.cc3
    • C:\ProgramData\DRM\%SESSIONNAME%*.cc3
    • C:\ProgramData\Storm\update\%SESSIONNAME%*.cc3
  • 8)关闭LanmanServer和Schedule服务
    图片描述
  • 9)自删除
    图片描述
  • C:\Windows\system32\sethc.exe,
  • C:\Windows\system32\osk.exe
  • C:\Windows\system32\Magnify.exe,
  • C:\Windows\system32\Narrator.exe
  • C:\Windows\system32\Utilman.exe
    图片描述
  • C:\ProgramData\Storm\update\%YOUSHIZHUAY%*.cc3
  • C:\ProgramData\DRM\%SESSIONNAME%*.cc3
  • C:\ProgramData\Storm\update\%SESSIONNAME%*.cc3
  • 1)首先这是一个白加黑的样本,利用kugou需要加载active_desktop_render.dll调用SetDesktopMonitorHook的原理,改写active_desktop_render.dll文件,实现白加黑的技术。主要分析在于对active_desktop_render_new.dll的分析
  • 2)HOOK svchost进程,为了是为了调用TrustedInstaller.exe_进行挖矿。
    图片描述
  • 3)这三个删除创建操作是为了恢复原来存在的active_desktop_render.dll文件
    图片描述
  • 4) 检索HelpSvc.exe,并终止进程
    图片描述
  • 5)键盘记录
    图片描述
  • 6)传输音频数据
    图片描述
  • 7)截屏
    图片描述
  • 1) 首先这是利用白加黑实现的一次攻击,通过酷狗音乐调用SetDesktopMonitorHook进行团伙的黑操作。
    图片描述
  • 2) 样本会侵入svchost这一个系统关键宿主进程,这样为了迷惑用户,以至于难以察觉。从编码方式上来看,是同一个作案团伙,同样使用jmp-API,或者jmp-Fun这类操作,没有直接调用函数或者API,有效阻碍分析人员分析。
    图片描述
    图片描述
  • 3) 由于样本是白加黑,为了避免由于黑文件存在影响正常的功能,所以样本会释放以前正常的dll文件,并替换。
    图片描述
  • 4) 最后程序会终止HelpSvc.exe进程
    图片描述

    0x4.5 MpMgSvc.dll分析

  • 1)从样本维度看,这是一个dll文件,暂时没有找到调用他的PE文件,所以一下只能从功能上分析。由此可知,这是一个连接C2,并根据不同的指令执行对应的操作,包括检索服务信息,设置服务,获取会话,用户信息,关闭指定进程,断开注销会话等操作。
    图片描述
  • 2)创建服务和设置服务的启动状态,借此实现常驻内存。
    图片描述
  • 3)获取用户信息,检索会话信息,根据不同指令,执行不同操作
    图片描述
    图片描述
    图片描述
  • 4)通过管道通信,传输用户信息
    图片描述
    图片描述
  • 5)判断进程列表中是否存在指定的进程
    图片描述
  • 6)检索windows窗口信息
    图片描述
  • 7) 获取机器相关信息
    图片描述
    图片描述

    0x4.6:aspnet_wp.exe

  • 1) 盛大的白加黑文件,黑文件是ETComm.dll,其中ETComm.dll。而且运行之后会跑非,怀疑存在反调试,OD设置中断在系统断点,加载后,中断。然后Alt+E,找到ETComm.dll脱壳。最好不要使用直接对dll脱壳,这样修复有点问题。
  • 2)创建clr_optimization_v3.0.50727_32服务
    图片描述
  • 3)入侵svchost.exe进程
    图片描述
  • 2) 释放隐藏文件ETCom m.dll到当前目录,这其实是正常的ETComm.dll,当操作执行完毕后,删除黑文件ETComm.dll
    图片描述
  • 3) 终止mscprsvws.exe,爆破sql
    图片描述
  • 4)通过dump入侵svchost.exe的PE,主要功能是启动aspnet_wp.exe对应的服务。并设置自启动
    图片描述
  • 5)在特定情况下也会解析如下域名
    • o.ry52cc.cn
    • aaaa.usa-138.com
    • o.ry52cc.cn
    • vtqq.f3322.net
    • syw520.3322.org
    • www.memejerry.top
      mark

      0x5 最后

  • o.ry52cc.cn
  • aaaa.usa-138.com
  • o.ry52cc.cn
  • vtqq.f3322.net
  • syw520.3322.org
  • www.memejerry.top
    mark

    0x5 最后

  • aaaa.usa-138.com
  • http://sql.4i7i.com/32.exe
  • http://4i7i.com/11.exe
  • o.ry52cc.cn,aaaa.usa-138.com
  • o.ry52cc.cn
  • vtqq.f3322.net
  • www.memejerry.top
  • syw520.3322.org
  • http://sql.4i7i.com/64.exe
  • 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf
  • 86c2b941b1f9ad3b461ca4902f7920b68180bc0f8cf9e7ed53e34a8971e3f95a
  • bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22
  • 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624
  • abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1
  • 7538b643ed550032aad2c11e650c51d7c261cf8c714c34bd636164a7518184c0
  • 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624
  • e8c726d1301ac3cdbf2532f5d54e93fc7620cab76381b35ac5f6c5990b19efa1
  • d56fc3208cace3c87a7ce2b3520519ee8003c4324bb8da6aaf3c8c629a5eef6d
  • abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1
  • 6e81d7c71b3e8d731e11ad75d3dac02a4210c9f90fac618af5c00cbce3718658
  • 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf
  • 1)下载多个恶意文件或者白加黑文件,如mscorsvws.exe,aspnet_wp.exe等
  • 2)链接aaaa.usa-138.com,与C2进行交互
  • 3)链接http://sql.4i7i.com/和http://4i7i.com/释放后门程序和挖矿程序
  • 4)创建服务用于常驻
  • 5)执行挖矿操作

    图片描述

  • 1) 得到的原始样本SHA值为bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22,加了UPX的壳,脱去外壳得到样本
  • 2) 判断是否是管理员用户,如果是管理员用户会执行如3-11的操作
    图片描述

  • 3)创建一个名为clr_optimization的服务,映像路径如下:%windowsdir%\ Framework\mscorsvws.exe
    图片描述

  • 4)判断是否存在C:\WINDOWS\Microsoft.NET\Framework\mscorsvws.exe,如果存在,则执行,否则创建文件mscorsvws.exe,并这是只读,隐藏,系统属性
    图片描述

  • 5) 创建C:\WINDOWS\Microsoft.NET\Framework\aspnet_wp.exe,并设置只读,系统,隐藏属性,并执行。此样本是一个白加黑的样本。
    图片描述

  • 6) 创建C:\WINDOWS\Microsoft.NET\Framework\ETComm.dll,这是aspnet_wp.exe的必备组件
    图片描述

  • 7)创建C:\WINDOWS\MpMgSvc.dll文件
    图片描述

  • 8)给如下进程进行提权,主要提升如下权限:SeRestorePrivilege,SeBackupPrivilege,SeSecurityPrivilege,SeTakeOwnershipPrivilege,其中需要提权的进程主要有"

    • C:\Windows\system32\sethc.exe,
    • C:\Windows\system32\osk.exe
    • C:\Windows\system32\Magnify.exe,
    • C:\Windows\system32\Narrator.exe
    • C:\Windows\system32\Utilman.exe
      图片描述

  • [注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

    最后于 2020-1-28 22:11 被kanxue编辑 ,原因:
    收藏
    免费 3
    支持
    分享
    最新回复 (11)
    雪    币: 2375
    活跃值: (433)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    2
    为什么叫大灰狼呢
    2019-5-10 13:49
    0
    雪    币: 1578
    活跃值: (1291)
    能力值: ( LV3,RANK:20 )
    在线值:
    发帖
    回帖
    粉丝
    3
    服务器 会装这些  360 瑞星 金山啥的?
    2019-5-10 15:49
    0
    雪    币: 498
    活跃值: (2324)
    能力值: ( LV12,RANK:356 )
    在线值:
    发帖
    回帖
    粉丝
    4
    petersonhz 为什么叫大灰狼呢[em_27]
    大佬们随便取的
    2019-5-10 18:10
    0
    雪    币: 498
    活跃值: (2324)
    能力值: ( LV12,RANK:356 )
    在线值:
    发帖
    回帖
    粉丝
    5
    网络枭红 服务器 会装这些 360 瑞星 金山啥的?
    一般不会
    2019-5-10 18:11
    0
    雪    币: 2375
    活跃值: (433)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    6
    findreamwang 大佬们随便取的
    你说的大灰狼是gh 0st么?还是别的?
    2019-5-10 18:52
    0
    雪    币: 3997
    活跃值: (382)
    能力值: ( LV7,RANK:110 )
    在线值:
    发帖
    回帖
    粉丝
    7
    我猜这是精华
    2019-5-11 22:34
    0
    雪    币: 26205
    活跃值: (63302)
    能力值: (RANK:135 )
    在线值:
    发帖
    回帖
    粉丝
    8
    您好啊,0x5最后是没内容嘛?
    2019-5-20 17:40
    0
    雪    币: 498
    活跃值: (2324)
    能力值: ( LV12,RANK:356 )
    在线值:
    发帖
    回帖
    粉丝
    9
    Editor 您好啊,0x5最后是没内容嘛?
    其实没有,还又懒得删
    2019-5-20 18:16
    0
    雪    币: 1408
    活跃值: (68)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    10
    楼主 在贴中提到的样本 和腾讯分析的https://mp.weixin.qq.com/s/pqVYmpIqxEhVBdG_1V3ZPA以及https://www.freebuf.com/column/199784.html 是否是一个样本 还是一个从vt中获取的固定sha256的样本 在腾讯出品的报告中出现的tls检测 和整个的运行思路与贴中的脑图流程差别很大啊
    2019-5-22 17:09
    0
    雪    币: 498
    活跃值: (2324)
    能力值: ( LV12,RANK:356 )
    在线值:
    发帖
    回帖
    粉丝
    11
    新user 楼主 在贴中提到的样本 和腾讯分析的https://mp.weixin.qq.com/s/pqVYmpIqxEhVBdG_1V3ZPA以及https://www.freebuf.com/column/ ...
    没参考任何文章,样本来源源于微步,第二,关于你说的差别很大,我不是很明白这个大是体现在哪里?除了提权工具没有分析外,请问我那个样本没有分析?第三:微信那篇文章提到的样本并非此处的大灰狼。
    2019-5-22 19:20
    0
    雪    币: 22
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    12
    感谢分享哦~
    2019-10-21 20:06
    0
    游客
    登录 | 注册 方可回帖
    返回
    //