黑客利用病毒挖門羅幣已獲利60餘萬

時間 2019-12-04

原文原文鏈接

1、概述

近日，火絨安全團隊截獲一批蠕蟲病毒。這些病毒經過U盤、移動硬盤等移動介質及網絡驅動器傳播，入侵電腦後，會遠程下載各種病毒模塊，以牟取利益。這些被下載的有盜號木馬、挖礦病毒等，而且已經得到約645個門羅幣（合60餘萬人民幣）。這類新蠕蟲病毒還在不斷更新，將來可能發動更大規模的攻擊。該病毒早在2014年就已出現，並在國內外不斷流竄，國外傳播量遠超於國內。據"火絨威脅情報系統"監測顯示，從2018年開始，該病毒在國內呈現出迅速爆發的威脅態勢，而且近期還在不斷傳播。火絨工程師發現，該病毒經過可移動存儲設備(U盤、移動硬盤等)和網絡驅動器等方式進行傳播。被該蠕蟲病毒感染後，病毒會將移動設備、網絡驅動器內的原有文件隱藏起來，並建立了一個與磁盤名稱、圖標徹底相同的快捷方式，誘導用戶點擊。用戶一旦點擊，病毒會當即運行。病毒運行後，首先會經過C&C遠程服務器返回的控制命令，將其感染的電腦進行分組，再針對性的獲取相應的病毒模塊，執行盜號、挖礦等破壞行爲。病毒做者十分謹慎，將蠕蟲病毒及其下載的所有病毒模塊，都使用了混淆器，很難被安全軟件查殺。同時，其下載的挖礦病毒只會在用戶電腦空閒時進行挖礦，而且佔用CPU資源很低，隱蔽性很是強。不只如此，該病毒還會刪除被感染設備或網絡驅動器根目錄中的可疑文件，以保證只有自身會進入用戶電腦。因而可知，該病毒以長期佔據用戶電腦來牟利爲目的，往後不排除會遠程派發其餘惡性病毒（如勒索病毒）的可能。算法

"火絨安全軟件"無需升級便可攔截並查殺該病毒。

2、樣本分析api

近期，火絨截獲到一批蠕蟲病毒樣本，該病毒主要經過網絡驅動器和可移動存儲設備進行傳播。該病毒在2014年先後首次出現，起初病毒在海外傳播量較大，在國內的感染量十分有限，在進入2018年以後國內感染量迅速上升，逐漸呈現出迅速爆發的威脅態勢。該病毒代碼執行後，會根據遠程C&C服務器返回的控制命令執行指定惡意邏輯，甚至能夠直接派發其餘病毒代碼到本地計算機中進行執行。現階段，咱們發現的被派發的病毒程序包括：挖礦病毒、盜號木馬等。病毒惡意代碼運行與傳播流程圖，以下圖所示：安全

病毒惡意代碼運行與傳播流程圖該病毒所使用的C&C服務器地址衆多，且至今仍然在隨着樣本不斷進行更新，咱們僅以部分C&C服務器地址爲例。以下圖所示：

C&C服務器地址該病毒會將自身拷貝到可移動存儲設備和網絡驅動器中，病毒程序及腳本分別名爲DeviceConfigManager.exe和DeviceConfigManager.vbs。被該病毒感染後的目錄，以下圖所示：

被該病毒感染後的目錄（上爲可移動存儲設備，下爲網絡驅動器）火絨截獲的蠕蟲病毒樣本既其下載的其餘病毒程序所有均使用了相同的混淆器，此處對其所使用的混淆器進行統一分析，下文中再也不贅述。其所使用的混淆器會使用大量無心義字符串或數據調用不一樣的系統函數，使用此方法達到其混淆目的。混淆器相關代碼，以下圖所示：

混淆代碼混淆器中使用了大量與上圖中相似的垃圾代碼，而用於還原加載原始PE鏡像數據的關鍵邏輯代碼也被穿插在這些垃圾代碼中。還原加載原始PE數據的相關代碼，以下圖所示：

還原加載原始PE鏡像數據的相關代碼上述代碼運行完成後，會調用加載原始PE鏡像數據的相關的代碼邏輯。加載原始PE鏡像數據的代碼，首先會獲取LoadLibrary、GetProcAddress函數地址及當前進程模塊基址，以後藉此獲取其餘關鍵函數地址。解密後的相關代碼，以下圖所示：

解密後的加載代碼原始PE鏡像數據被使用LZO算法（Lempel-Ziv-Oberhumer）進行壓縮，通過解壓，再對原始PE鏡像進行虛擬映射、修復導入表及重定位數據後，即會執行原始惡意代碼邏輯。相關代碼，以下圖所示：

調用解壓縮及虛擬映射相關代碼蠕蟲病毒該病毒總體邏輯分爲兩個部分，分別爲傳播和後門邏輯。該病毒的傳播只針對可移動存儲設備和網絡驅動器，被感染後的可移動存儲設備或網絡驅動器根目錄中會被釋放一組病毒文件，並經過誘導用戶點擊或利用系統自動播放功能進行啓動。蠕蟲病毒經過遍歷磁盤進行傳播的相關邏輯代碼，以下圖所示：

遍歷磁盤傳播被釋放的病毒文件及文件描述，以下圖所示：

被釋放的病毒文件及文件描述蠕蟲病毒會經過在病毒vbs腳本中隨機插入垃圾代碼方式對抗安全軟件查殺，被釋放的vbs腳本首先會關閉當前資源管理器窗口，以後打開磁盤根目錄下的"_"文件夾，最後執行病毒程序DeviceConfigManager.exe。釋放病毒vbs腳本相關邏輯，以下圖所示：

釋放病毒vbs腳本相關邏輯除了釋放病毒文件外，病毒還會根據擴展名刪除磁盤根目錄中的可疑文件（刪除時會將自身釋放的病毒文件排除）。被刪除的文件後綴名，以下圖所示：

被刪除的文件後綴名病毒在釋放文件的同時，還會將根目錄下的全部文件所有移動至病毒建立的"_"目錄中。除了病毒釋放的快捷方式外，其餘病毒文件屬性均被設置爲隱藏，在用戶打開被感染的磁盤後，只能看到與磁盤名稱、圖標徹底相同的快捷方式，從而誘騙用戶點擊。快捷方式指向的文件爲DeviceConfigManager.vbs，vbs腳本功能如前文所述。經過這些手段可使病毒代碼執行的同時，儘量不讓用戶有所察覺。

被釋放的病毒文件列表蠕蟲病毒釋放的快捷方式，以下圖所示：

蠕蟲病毒釋放的快捷方式該病毒的後門邏輯會經過與C&C服務器進行IRC通信的方式進行，惡意代碼會根據當前系統環境將當前受控終端加入到不一樣的分組中，再經過分組通信對屬於不一樣分組的終端分別進行控制。病毒用來進行分組的信息包括：語言區域信息、當前系統平臺版本爲x86或x6四、當前用戶權限等。後門代碼中最主要的惡意功能爲下載執行遠程惡意代碼，再借助病毒建立的自啓動項，使該病毒能夠常駐於用戶計算機，且能夠向受控終端推送的任意惡意代碼進行執行。病毒首先會使用用戶的語言區域信息和隨機數生成用戶ID，以後向C&C服務器發送NICK和USER通信命令，隨機的用戶ID會被註冊爲NICK通信命令中的名字，該操做用於受控終端上線。相關代碼，以下圖所示：

受控終端上線相關代碼經過上圖咱們能夠看到，病毒所使用的C&C服務器列表中域名和IP地址衆多，其中很大一部分都爲無效域名和地址，主要用於迷惑安全研究人員。在受控端上線後，就會從C&C服務器獲取控制指令進行執行。病毒能夠根據不一樣的系統環境將當前受控終端進行分組，分組依據包括：語言區域信息、當前用戶權限、系統平臺版本信息（x86/x64）。除此以外，病毒還能夠利用控制命令經過訪問IP查詢網站（http://api.wipmania.com）嚴格限制下發惡意代碼的傳播範圍。主要控制命令及命令功能描述，以下圖所示：

主要控制命令及命令功能描述主要後門控制相關代碼，以下圖所示：

後門控制代碼病毒會將遠程請求到的惡意代碼釋放至%temp%目錄下進行執行，文件名隨機。相關代碼，以下圖所示：

下載執行遠程惡意代碼挖礦病毒病毒下發的惡意代碼衆多，咱們這次僅以挖礦病毒爲例。本次火絨截獲的挖礦病毒執行後，會在電腦運算資源閒置時挖取門羅幣，對於普通用戶來講其挖礦行爲很難被察覺。在本次火絨所截獲到的樣本中，咱們發現，病毒下發的全部惡意代碼都使用了與蠕蟲病毒相同的混淆器。以混淆器還原加載原始PE數據代碼爲例進行對比，以下圖所示：

混淆器代碼對比圖（左爲被下發到終端的挖礦病毒、右爲蠕蟲病毒）挖礦病毒原始惡意代碼運行後，會將病毒自身複製到C:\Users\用戶名\AppData\Roaming\svchostx64.exe位置，並建立計劃任務每分鐘執行一次。病毒會建立互斥量，經過檢測互斥量，能夠保證系統中的病毒進程實例惟一。以後，病毒會使用挖礦參數啓動自身程序，再將挖礦程序（XMRig）PE鏡像數據注入到新啓動的進程中執行挖礦邏輯。在火絨行爲沙盒中挖礦病毒行爲，以下圖所示：

挖礦病毒行爲如上圖所示，挖礦參數中限制挖礦程序CPU佔用率爲3%，而且會經過檢測系統閒置信息的方式不斷檢測CPU佔用率是否太高，若是太高則會從新啓動挖礦進程。經過遍歷進程檢測任務管理器進程（Taskmgr.exe）是否存在，若是存在則會中止挖礦，待任務管理進程退出後繼續執行挖礦邏輯。病毒經過上述方法提升了病毒自身的隱蔽性，保證病毒能夠儘量的長時間駐留於被感染的計算機中。相關代碼，以下圖所示：