首页
论坛
课程
招聘

汉化远控木马下发挖矿程序,利用肉鸡资源捞金

深信服千里目 2020-05-14 18:41

0x0 背景介绍

近日,深信服安全团队排查定位到一款伪装为Windows系统帮助文件的远控木马,攻击者通过远控木马下发挖矿程序到被害主机,占用主机资源进行挖矿。

0x1 威胁关联分析

通过威胁分析发现,该木马连接的域名 fuck88.f3322.net和r.nxxxn.ga是已经被开源威胁情报收录的两个恶意域名,同时用于Kryptik木马的控制端:


查询域名fuck88.f3322.net的whois信息,可以看到注册者使用名为“peng yong”,并且该注册者同时注册了多个具有欺骗性的动态域名:



通过深信服云脑查询恶意域名相关信息,在最近一个月内攻击次数均较为平稳:


服务DLL文件Remote.hlp是一个伪装成Windows帮助文件的后门程序,仅从字符串分析,就能够得到许多功能信息,而此次事件捕获的域名所关联的后门程序中,均存在一条“TheCodeMadeByZPCCZQ”标识字符串:


可以推断,这些后门程序均来源于同一款远控生成器,并且通过对后门dll的字符串分析,有很多中文描述的控制操作,可以确认是一款汉化的远控程序:


在此次捕获的安全事件中,除了持久化驻留的后门程序,在被害主机中存在通过后门投放的挖矿程序,伪装成银行图标,占用主机资源进行挖矿:



命令行中配置的的恶意域名为o.vollar.ga。

0x2 后门母体

1. 检查互斥体“XXNBbin1”,如不存在则创建该互斥体:


2. 验证路径“C:\ProgramData\Microsoft\Windows\GameExplorer”是否存在,如不存在则创建:


3. 创建注册表值,并设置如下键值:

hKey = HKEY_CURRENT_USER

Subkey = "Software\Microsoft\Windows\Windows Error Reporting"

ValueName = "DontshowUI"

Value = 0x01


hKey = HKEY_LOCAL_MACHINE

Subkey = "software\microsoft\remote\Desktop"

ValueName = ""

Value = "C:\Documents and Settings\Administrator\桌面\"

4. 释放用于注册后门服务的DLL文件,路径为"C:\ProgramData\Microsoft\Windows\GameExplorer\Remote.hlp",并设置文件属性为HIDDEN|SYSTEM:


5. 注册表里添加服务注册项,不同的母体注册的服务名称会有变化:


该样本中服务名称为".Net CLR",研究员排查过程中发现有过“Ias”、“FastUserSwitchingCompatibilty”,服务指向的DLL程序都是母体释放的Remote.hlp:


6. 创建服务并启动:


7. 释放"C:\Windows\System32\\Delete00.bat"文件,清除母体,然后退出母体进程:


0x3 服务DLL

1. 服务DLL文件通常是远程控制软件批量生产的的被控端,会释放在C:\ProgramData\Microsoft\Windows\GameExplorer\目录下并命名为Remote.hlp,伪装成Windows帮助文件:


2. 通过逆向分析可总结该远控木马所具有的功能如下:

获取主机信息进程获取/结束/暂停/恢复
鼠标锁定/解锁 文件传输
屏幕黑屏/解除黑屏 重启/关机/注销
隐藏桌面/解除隐藏 服务安装/启动/停止/删除
系统操作快捷键 网络管理/代理设置
Win7加速开启/关闭 软件管理
hosts文件修改 添加用户
远程shell 消息发送
文件压缩 添加QQ群

3. 同时,该远控木马会检测是否存在以下安全软件,尝试绕过,具体见下表:

Navapsvc.exeFilMsg.exe
spiderui.exeIparmor.exe
AVK.exeKSafeTray.exe
360sd.exe KvMonXP.exe
ashDisp.exe kxetray.exe
avcenter.exe mcupdui.exe
avguard.exe msseces.exe
AVK.exe Navapsvc.exe
360sd.exe 360netman.exe
ashDisp.exe ns.exe
avcenter.exe PFW.exe
avguard.exe QQPCTray.exe
360Tray.exe RavMon.exe
avp.exe secenter.exe
BaiduSdSvc.exe egui.exe
ccSvrHst.exe 360tray.exe

0x4 解决方案

深信服安全产品解决方案

1. 深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知、防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;

3. 深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;

4. 深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。


0x5 加固建议

1. 使用高强度的主机密码,并避免多台设备使用相同密码,不要对外网直接映射3389等端口,防止暴力破解;

2. 避免打开来历不明的邮件、链接和网址附件等,尽量不要在非官方渠道下载非正版的应用软件,发现文件类型与图标不相符时应先使用安全软件对文件进行查杀;

3. 定期使用安全软件进行全盘扫描和处置,定期检测系统漏洞并且及时进行补丁修复。


分享到:
最新评论 (0)
登录后即可评论