首页
社区
课程
招聘
[原创]“劲爆新闻、漂亮小姐姐”竟是远控木马?电脑因此沦为“老虎”矿工
发表于: 2019-12-5 14:22 3689

[原创]“劲爆新闻、漂亮小姐姐”竟是远控木马?电脑因此沦为“老虎”矿工

2019-12-5 14:22
3689

一、背景

腾讯安全御见威胁情报中心检测到通过社会工程骗术传播的 “老虎”挖矿木马(LaofuMiner)。攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等文件名,通过社交网络发送到目标电脑,受害者双击查看文件立刻被安装“大灰狼”远控木马。攻击者通过远控木马控制中毒电脑下载挖矿木马,中毒电脑随即沦为矿工,该木马已感染超过5000台电脑。

因其挖矿使用的自建矿池包含字符“laofubtc”,腾讯安全御见威胁情报中心将其命名为老虎挖矿木马(LaofuMiner),通过腾讯安图系统溯源,发现这个老虎挖矿木马同2018年其他安全厂商报告的灰熊挖矿木马(BearMiner)同属一个黑产团伙。

用于钓鱼攻击的部分文件名如下:



根据腾讯安全御见威胁情报中心的统计数据,老虎挖矿木马(LaofuMiner)已感染超过5000台电脑,影响最严重地区为北京、广东、上海、河南、山东等地。



“老虎”挖矿木马(LaofuMiner)的技术特点:

1.安装大灰狼远控木马后,接受C2服务器的指令,通过木马服务器下载挖矿木马;

2.挖矿木马文件属性伪装成音频设备公司“Waves Audio”;

3.挖矿木马首次执行后会用垃圾数据增肥到150MB,以此逃避杀毒软件检测;

4.矿机程序文件伪装成显卡制造商NVIDIA的驱动程序;

5.挖矿时,CPU占用高达97%,会影响系统性能;


二、详细分析

LaofuMiner传播流程如下:



使用机器人群发的钓鱼文件实际上是“大灰狼”远控木马,用户一点击运行就会被远程控制,木马运行后拷贝自身到目录C:\Program Files (x86)\Microsoft Hdejpp\Xtuzqan.exe下并安装为服务“Wszswc wyksdvuf”。



Xtuzqan.exe的外壳代码解密出具有远控核心功能的PE文件并加载到内存执行。



远控木马完全控制电脑后,连接到远程控制端,然后接受命令从HFS服务器下载挖矿木马母体http[:]//www.baihes.com:8282/cpa.exe或http[:]//www.baihes.com:8285/ws.exe到本地,下载的文件保存为C:\Program Files (x86)\Microsoft WavesSys\WavesSys.exe。

WavesSys.exe的图标和描述都伪装成音频设备公司“Waves Audio”软件的相关信息,并且在首次执行后修改自身文件写入大量垃圾数据,增大文件到近150M,以此来躲避杀毒软件检测。



WavesSys.exe安装为服务“Corporati Assemblies WavesSyse”,然后从服务器下载WavesSys.dll加载到内存执行。



最后WavesSys.exe释放矿机程序SvidaPaun.exe到C:\Program Files (x86)\Microsoft SvidaPaun\SvidaPaun.exe,并以参数” XO+sJ1p97mZtMz648YYXi/kDs3dOdu+ZOj81GkTZWbr/MNDDZsUEl0QQUbTKBlSpPANz9rxfGH5tVnPtGkQMal9pyfzQZyVfcQ==”启动。



SvidaPaun.exe伪装成英伟达公司显卡驱动程序(占用高CPU资源时,不容易被怀疑),使用矿池poole.laofubtc.com,登录名:CPU_V1 2.0(20191126)开始挖矿开始挖矿,挖矿通信流量如下:



挖矿时SvidaPaun.exe进程的CPU占用率达到了近97%,会造成系统严重卡顿无法正常运行。



通过腾讯安图高级威胁溯源系统查询IP 46.4.156.44,可以看到指向解析IP的域名包含友商在2018年发现的“灰熊”挖矿木马BearMiner的域名miner.gsbean.com。而“老虎”挖矿木马LaofuMiner的文件服务器baihes.com以及矿池域名pool.laofubtc.com也指向该IP,可以推测“灰熊”和“老虎”属于同一团伙, “老虎”替代“灰熊”挖矿木马呈现新的活跃趋势。



三、安全建议

1、 不要随意打开来历不明的文件,对于可疑文件先使用腾讯电脑管家/腾讯御点进行扫描。



2、建议打开资源管理器文件夹选项中的“查看已知文件的扩展名”,这样当你收到文件图标为Office、音乐、视频文件,文件的扩展名为“exe、com、pif、bat”时,可以立刻判断为危险文件。


3、对于已感染LaofuMiner的手动清理方案。

删除文件:

C:\Program Files (x86)\Microsoft WavesSys\WavesSys.exe

C:\Program Files (x86)\Microsoft WavesSys\WavesSys.dll

C:\Program Files (x86)\Microsoft SvidaPaun\SvidaPaun.exe

C:\Program Files (x86)\Microsoft Hdejpp\Xtuzqan.exe

删除服务:

”Corporati Assemblies WavesSyse“

“Wszswc wyksdvuf”

“Wsxxsw ndcbxauv”


4、 推荐企业用户部署腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯安全在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,腾讯御界可以检测挖矿程序外联等异常行为。



IOCs

C&C

116.206.92.179:9772

94.191.24.237:2020


IP

46.4.156.44

207.246.99.13

114.118.98.185

111.230.96.55

58.221.55.158


Domain

www.baihes.com

neibu.wkery.com

neibu.pkdnf.cn

miner.gsbean.com

mine.gsbean.com

poolb.laofubtc.com

poolc.laofubtc.com

poole.laofubtc.com

pool.laofubtc.com


Md5

abfa5626edbbe2063a72d6c8fbc9f5b1

11caff15bc726838e639f84e96276c6e

d23d560714aa6b579526aefdaea89ca0

21044f539b24f5a1d10e11c42b500189

207761fb4e33b2028265a4c8fbc9219a

dfae8fbea98e9ec2383a751beb1d7441


URL

http[:]//www.baihes.com:8282/cpa.exe

http[:]//www.baihes.com:8285/ws.exe

http[:]//neibu.wkery.com:8861/httppost.exe

http[:]//neibu.wkery.com:8861/httppost2.exe

http[:]//neibu.wkery.com:8861/httppost3.exe

http[:]//114.118.98.185:8080/netsyst96.dll

http[:]//207.246.99.13:8080/server.exe

http[:]//neibu.wkery.com:81/tu.php

http[:]//neibu.pkdnf.cn:81/cha.php

http[:]//neibu.pkdnf.cn:81/lao.php

http[:]//www.pkdnf.cn:8186/system.exe


矿池:

pool.laofubtc.com:5559


参考链接:

https://www.freebuf.com/articles/terminal/176936.html


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2019-12-5 14:30 被腾讯电脑管家编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 3
活跃值: (1056)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
挖矿又没事,只要不盗号,管他挖不挖矿。。。这种不属于木马。目前大量路由器都被抓鸡,形成僵尸网络,不要问我怎么知道,再见!
PC的5000台只是 毛毛雨。路由器才是 恐怖。
最后于 2019-12-5 16:36 被TX杀手编辑 ,原因:
2019-12-5 16:36
0
雪    币: 9626
活跃值: (1838)
能力值: ( LV5,RANK:73 )
在线值:
发帖
回帖
粉丝
3
TX杀手 挖矿又没事,只要不盗号,管他挖不挖矿。。。这种不属于木马。目前大量路由器都被抓鸡,形成僵尸网络,不要问我怎么知道,再见!PC的5000台只是 毛毛雨。路由器才是 恐怖。
如果您觉得挖矿没事的话,请问您可以在您的机器上运行挖矿程序为我挖矿吗?
2019-12-5 18:02
0
雪    币: 3
活跃值: (1056)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
Sprite雪碧 如果您觉得挖矿没事的话,请问您可以在您的机器上运行挖矿程序为我挖矿吗?
可以,随便挖。发挥电脑的价值,我很乐意。反正闲着也闲着。
2019-12-5 20:12
0
游客
登录 | 注册 方可回帖
返回
//