警惕利用AutoHotKey程式傳播的挖礦網路
這是360 A-Team的第17篇文章
宣告:本文由二進位制分析小組@360 A-Team原創,僅用於研究交流,不恰當使用會造成危害,嚴禁違法使用,否則後果自負。
0x00:概述
近日, 360 安全監測與響應中心接到某企業客戶反饋,某臺辦公機出現了卡頓的現象,同時在系統中發現了多個異常程序,經過溯源關聯分析,發現背後是一個近期開始活躍的傳播挖礦木馬以及竊密木馬的黑客團伙,該團伙收集大量破解軟體以及實用系統工具,之後捆綁病毒 loader ,並大量發帖宣傳,惡意程式獲得執行後,會下載並執行 xmrig 挖礦程式以及 AZORult 竊密木馬,不僅利用受害者主機資源挖礦牟利,同時還竊取使用者的比特幣錢包, paypal 賬號等資訊,值得注意的是,此次捕獲的惡意程式大量使用了 AutoHotKey 指令碼,大大降低了挖礦團伙的開發成本
0x01:感染過程分析
獲得客戶同意後, 360 安全監測與響應中心對被感染主機進行了遠端排查,與使用者交流後發現,該主機前一天剛剛重做系統,安裝了大量軟體,研究人員隨後對瀏覽器下載記錄進行檢查,發現該主機使用者安全意識較好,軟體均為官網下載安裝,在對所有軟體進行檢查,排除供應鏈汙染可能性後,下載歷史中一個小工具引起了研究人員的注意,但是該工具使用後已經被刪除
重新下載發現連結也已經失效,顯示檔案已過期,這更說明了檔案的可疑
後期結合威脅情報找到了攻擊者投放的其中一個惡意軟體,補齊了攻擊鏈條,並確定前文下載的工具就是病毒入口, 360 安全監測與響應中心分析了整個攻擊鏈條如下 :
0x02:樣本分析
我們將此次事件中主要檔案以列表形式整理如下,並逐一進行分析
| 檔案路徑 |
MD5 |
作用 |
| %TEMP%\25565740\ic-0.35a503e0884b.exe |
822b8c413bd5d1ceefae7c759721f44e |
釋放並執行 Blogger.exe |
| C:\ProgramData\Blogger\Blogger.exe |
75c8dfaf2ae56307755b04ef6af19390 |
下載並執行 1.exe 與 2.exe |
| C:\ProgramData\1.exe |
30e09c6b824fba46e0580254c0f233ae |
釋放並執行 xmrig 礦機 |
| C:\ProgramData\2.exe |
ccadc0d2a581bcab9954fe40e8cccdac |
釋放並執行 AZORult 竊密木馬 |
0x03:樣本分析 -- ic-0.35a503e0884b.exe
當用戶執行惡意工具時,會在 Temp 目錄下釋放 ic-0.35a503e0884b.exe ,經分析該檔案為 AutoHotKey 指令碼打包而成,在資源節可以提取明文指令碼,指令碼如下 :
可以看出主要功能為釋放並執行 C:\ProgramData\Blogger\Blogger.exe 並新增啟動項,經過對捕獲的其他樣本分析,所有染毒工具都會在 Temp 目錄下釋放名為 ic+ 隨機數的惡意程式
0x04:樣本分析 -- Blogger.exe
Blogger.exe 同樣為 AutoHotKey 指令碼打包而成,會聯網下載執行 1.exe 以及 2.exe ,並釋放執行一次 IPRAS.vbs ,之後刪除 IPRAS.vbs
IPRAS .vbs指令碼如下,經過我們對後期關聯到的樣本的分析,每個樣本IPRAS.vbs中連結都不同,但是都指向同一個IP 88.99.66.31,推測功能為統計每個惡意程式的感染情況
我們的監控系統也發現了下載伺服器 mcdir.ru 在 7 , 8 兩月都出現了訪問高峰
通過威脅情報關聯到的 myihor.ru 同樣出現了訪問高峰
0x05:樣本分析 -- 1.exe
1.exe 為自解壓壓縮包,解壓後執行 pmcyowrurg.vbs
解壓後文件如下 :
| 檔案路徑 |
MD5 |
作用 |
| C:\ProgramData\nwnmsxuc.exe |
a3af8f589a1d693fe9de72099aaee783 |
Winrar 程式,用於解壓縮 |
| C:\ProgramData\pmcyowrurg.vbs |
f32482acbe09b049ddafaf2ca49b7857 |
解壓 pmcyowrurg.rar |
| C:\ProgramData\pmcyowrurg.rar |
4927186d64e430efbb9efee5346f2b61 |
存放挖礦程式及相關啟動指令碼,配置檔案 |
pmcyowrurg.vbs 指令碼如下,主要功能為通過 nwnmsxuc.exe ( winrar.exe )使用密碼 jqktgaqlorpsqs 解壓 C:\ProgramData\pmcyowrurg.rar 到 "C:\ProgramData\kxjfamiehf\" ,之後執行 "C:\ProgramData\kxjfamiehf\eoptvbkvxvaz.vbs" ,最後清除部分檔案
pmcyowrurg.rar 解壓後 C:\ProgramData\kxjfamiehf\ 目錄下檔案如下 :
| 檔案路徑 |
MD5 |
作用 |
| eoptvbkvxvaz.vbs |
891b4eb66ca5a5b67f73f48673a3b349 |
新增計劃任務,定時呼叫 Checks.vbs 檢測分析工具 |
| Checks.vbs |
d6d772fe4c41d64f3c44b4eaa5ee4412 |
檢測分析工具 |
| zuvdorktks.vbs |
d7834d0a53d29f3e9e3a16a0a2f4c187 |
執行 atisqbbafi.vbs |
| atisqbbafi.vbs |
6967a1d8bdc7b0ed2815be91fdeb511c |
執行 jcoxznjlykp.exe |
| jcoxznjlykp.exe |
a276fe03db37d0bd17b4ac656be8f8df |
加殼的 Xmrig 挖礦程式 |
| config.json |
c9b152c1abb97d859258e659da9a6d69 |
挖礦程式配置檔案 |
| eoptvbkvxvaz.xml |
27fdaec737ea64ace5a857ca1ef871bf |
計劃任務配置檔案 |
eoptvbkvxvaz.vbs 指令碼如下,主要功能為複製 Checks.vbs 到 "C:\Users\Public\Libraries\" ,為 Checks.vbs 新增計劃任務,將 C:\ProgramData\kxjfamiehf\ 目錄設定為隱藏
Checks.vbs 指令碼如下,主要功能為通過兩層 vbs 執行 xmrig 挖礦程式,檢查系統程序中是否存在分析工具,如果存在則關閉挖礦程序
樣本檢測的分析工具如下表
| taskmgr.exe |
| ProcessHacker.exe |
| procexp64.exe |
| HWMonitor_x64.exe |
| HWMonitor.exe |
| SystemExplorer.exe |
| AnVir.exe |
| Speccy64.exe |
| HWMonitor_x32.exe |
| aida64.exe |
| HWiNFO64.EXE |
| HWiNFO32.EXE |
Checks.vbs 呼叫 zuvdorktks.vbs , zuvdorktks.vbs 呼叫 atisqbbafi.vbs , atisqbbafi.vbs 拉起挖礦程式
jcoxznjlykp.exe 為 MPRESS 殼的 64 位 PE 檔案,脫殼後分析為 VC 編寫,執行後會在記憶體中解密出 UPX 加殼的 xmrig 礦機,並呼叫 shellcode 在記憶體中解析並呼叫礦機程式, shellcode 為硬編碼在樣本中
值得注意的是,樣本將 shellcode 分割為 DWORD 儲存,呼叫之前再複製到緩衝區,起到了躲避靜態掃描的作用
0x06:樣本分析 – 2.exe
2.exe 為 32 位無殼 PE 檔案,使用與 1.exe 中礦機相同的載入方法,將 PE 檔案 dump 下分析為 AZORult 竊密木馬,可以竊取受害者瀏覽器密碼, paypal 賬號,比特幣錢包等敏感資訊,通過威脅情報關聯,找到了一個木馬打包的受害者資訊,內含大量敏感資訊
IOC/">IOC 資訊
礦池地址及 C&C
| IP/URL |
說明 |
| tiriff.info[:]8888 |
私有礦池地址 |
| izvekovasusanna.mcdir.ru |
1.exe,2.exe 下載地址 |
| 2no.co |
統計連結 |
| www.tinevenghansanddown.com |
AZORult 回連 C&C |
| myihor.ru |
威脅情報關聯到的 1.exe 下載域名 |
| radisol.org |
威脅情報關聯到的 1.exe 下載域名 |
| izvekovasu.tmp.fstest.ru |
威脅情報關聯到的 1.exe 下載域名 |
| worm.noiseoranges.fun |
染毒工具下載域名 |
| hall.attractionsecretary.club |
染毒工具下載域名 |
後給出感染情況統計伺服器 88.99.66.31 在 2018 年的歷史解析,
最可以據此排查
imap.yip.su
mcm.iplogger.com
www.iplogger.co
api.iplogger.com
02ip.ru
enterpriseenrollment.iplogger.ru
iplogger.org
ezstat.ru
office.iplogger.com
blog.iplogger.org
corp.ezstat.ru
cdn-www.ezstat.ru
pub-my.iplogger.com
css.iplogger.ru
www.iplogger.ru
message.ezstat.ru
cdn-www.ezstat.ru
iplogger.co
yip.su
www.iplis.ru
www.iplogger.ru
devqa.iplogger.org
imap.iplogger.com
mail.ezstat.ru
docs.ezstat.ru
static.31.66.99.88.clients.your-server.de
superadmin.maper.info
2no.co
sentry.ezstat.ru
pages.ezstat.ru
m.iplogger.com
de.ezstat.ru
dwww.iplogger.org
iplogger.info
iplogger.blog
plus.ezstat.ru
promod.iplogger.org
api.ezstat.ru
yip.su
onelogin.ezstat.ru
mobile.iplogger.com
support02.maper.info
media2.iplogger.org
qa.ezstat.ru
dashboard.ezstat.ru
prx.ezstat.ru
ipgraber.ru
login.ezstat.ru
wldcrdrcrd.ezstat.ru
dr.iplogger.ru
iplo.ru
support02.maper.info
games.ezstat.ru
partners.ezstat.ru
alfa.maper.info
bes.ezstat.ru
qa.ezstat.ru
yip.su
blog.iplogger.org
jenkins.ezstat.ru
pma.deorg.ru
ease.iplogger.org
ftp.iplogger.com
devtest.iplogger.ru
antispam.iplogger.com
ease.iplogger.com
www.iplogger.org
www.ezstat.ru
apac.ezstat.ru
iplogger.info
awmdm.ezstat.ru
plus.ezstat.ru
pages.ezstat.ru
games.ezstat.ru
cs.ezstat.ru
beta.iplogger.ru
prd.iplogger.ru
aws.ezstat.ru
prix.iplogger.org
live.ezstat.ru
www.02ip.ru
mobicontrol.iplogger.com
vpc.ezstat.ru
www.iplogger.info
en-gb.iplogger.com
maper.info
wdw.iplogger.org
webmail.iplogger.com
mobileiron.iplogger.com
soti.ezstat.ru
pro.iplogger.org
2no.co
mi1.ezstat.ru
common.ezstat.ru
touch.ezstat.ru
corp.ezstat.ru
jiangmen.iplogger.org
apac.ezstat.ru
ad.ezstat.ru
iplogger.ru
embed.iplogger.ru
ddd.iplogger.org
iplogger.ru
www-origin.ezstat.ru
aws.ezstat.ru
forum.iplogger.com
chefserver.iplogger.ru
mcm.iplogger.com
work.ezstat.ru
maper.info
www.wwqw.iplogger.org
www.iplogger.co
prod.ezstat.ru
www.2no.co
www.iplogger.com
www.ww.iplogger.org
data.ezstat.ru
sql.iplogger.ru
www.ezstat.ru
www.iplogger.com
ezstat.ru
sas.iplogger.ru
mail.ezstat.ru
docker.ezstat.ru
2.iplogger.org
deorg.ru
pip.iplogger.com
www.code.iplogger.org
www.yip.su
iplogger.org
02ip.ru
platform.ezstat.ru
docs.ezstat.ru
sdfsd.iplogger.com
smtp.iplogger.org
www.2no.co
wwqw.iplogger.org
cloud.ezstat.ru
ddd.iplogger.org
lbl.ezstat.ru
mon.ezstat.ru
ww2w.iplogger.org
www.iplogger.org
work.ezstat.ru
iplogger.com
mh.iplogger.org
iplogger.com
iplogger.com
soti.ezstat.ru
portal.ezstat.ru
zh-tw.maper.info
tracker.ezstat.ru
qwww.iplogger.org
sentry.iplogger.com
cdn-www.iplogger.ru
chat.iplogger.ru
sub.ezstat.ru
controlpanel.ezstat.ru
mail.iplogger.info
mail.iplogger.com
eventtracker.iplogger.ru
img1.iplogger.org
www.iplogger.org
airwatch.iplogger.ru
www.iplo.ru
mail.2no.co
tracker.ezstat.ru
iplogger.co
ww2.iplogger.org
sto.iplogger.ru
wiki.ezstat.ru
mobility.iplogger.org
static.ezstat.ru
mi1.ezstat.ru
iplogger.blog
www.maper.info
media2.ezstat.ru
mail.iplogger.org
api.iplogger.com
2no.co
quzhou.iplogger.ru
www.ww.iplogger.org
eis.ezstat.ru
iplis.ru
iplis.ru
smtp.iplogger.org
www.ipgraber.ru
s0.ezstat.ru
pop.ezstat.ru
svr1.imagespost.com
www.maper.info
dr.ezstat.ru
epay.iplogger.ru
live.ezstat.ru
chat.iplogger.ru
ease.iplogger.com
mam.ezstat.ru
mail.iplogger.org
www.blog.iplogger.org
watch.ezstat.ru
rtr.ezstat.ru
www.yip.su
de.ezstat.ru
ipgrabber.ru
svr1.imagespost.com
ipgrabber.ru
iplo.ru
iplogger.org
dashboard.ezstat.ru
sdds-gov-cn.iplogger.com