<p id="p5rvh"></p>

      《魔域》私服暗藏遠控木馬和挖礦木馬

      2021.10.28 來源:安全豹作者:安全豹

      事件概述

      近期,金山毒霸捕風系統捕獲了一批網絡游戲《魔域》私服木馬,該木馬伴隨著游戲登錄器傳播,會釋放大灰狼遠控和門羅幣挖礦木馬執行。大灰狼遠控幾乎可以完全操控用戶系統,常被用來竊取用戶信息和遠程操控用戶電腦,如操作賬戶、注冊表、服務、進程、文件、攝像頭、音頻、監控桌面、監控鍵盤等。門羅幣挖礦木馬會將用戶電腦作為肉雞進行秘密挖礦,它不僅會大量侵占電腦資源,使電腦運行變得特別緩慢,還會損耗電腦硬件,縮短電腦使用壽命。

      追蹤發現,該木馬與其他安全廠商通報的BearMiner(灰熊礦業)、LaofuMiner("老虎”挖礦木馬)同屬一個家族。該家族以挖礦業為主,具有挖礦程序偽裝系統文件,關鍵數據總體打包加密傳遞,程序膨脹變大等特點。該家族的蹤跡可追蹤到2018年,早期使用偽裝欺騙方式傳播挖礦木馬,現階段通過私服游戲捆綁后門下發大灰狼遠控傳播挖礦木馬,一直保持活躍。

      1

      樣本執行流程圖

      捕獲的部分登錄器信息如下:

      2


      樣本分析

      本次捕獲的病毒源頭為《魔域》私服登陸器,該私服登錄器會在游戲目錄釋放后門文件tqlits.dat,tqlits.dat會在臨時目錄釋放木馬加載器net1024.exe,net1024.exe會下載啟動大灰狼遠控木馬。大灰狼遠控木馬主要包括遠程控制功能和下載木馬加載器xm.exe功能,xm.exe會下載門羅幣挖礦木馬秘密進行挖礦。為了規避安全監控和安全分析,程序相關的主要信息都采用整體打包加密傳遞,算法采用異或和RC4結合。

      net1024.exe的核心功能為下:

          1.解密配置數據,創建執行副本程序C:\ProgramFiles\Microsoft Obliqo\Dqaiqov.exe。
          2.將副本程序注冊為服務實現自啟動,服務名為T210729.Wsfnvtkiposqrp.Dqqyge。
          3.下載執行大灰狼遠控木馬,實現遠控控制和下載挖礦木馬執行。

      3

      捕獲的私服官網圖片


      大灰狼遠控木馬

      大灰狼遠控作為木馬界的主流遠控,由于其功能齊全,有相應源碼泄出,簡單修改就可投入使用的特點,一直以來頗受惡意作者的鐘愛。本樣本為修改版的大灰狼遠控,主要修改點是將服務器等主要配置信息整體打包加密,以參數的形式傳遞使用;增加了直接下載木馬加載器下載挖礦木馬執行功能。將主要配置數據進行整體打包加密傳遞,不僅可以隱藏數據,還可以更方便的更換配置數據,從而降低被安全軟件發現。

      下面就大灰狼遠控木馬做下簡單分析。

      為了規避安全監控,大灰狼遠控模塊以加密包的形式下發到本地,然后內存加載解密調用。涉及大灰狼遠控模塊的信息如下:

              加密的URL和密鑰: 4jNnIiz7AdVaqF0XDp1bKttqa9v4knGl6fn7RuC0hQ== ,Getong538。

              解密的URL:http://xk1.996is.com:66/kj.dll。

              保存路徑: C:\Program Files\AppPatch\kj.dll。

              解密kj.dll的信息:名稱為NetSyst96.dll,導出函數包括DllFuUpgStop和DllFuUpgradrs。

      該遠控會把遠控的服務器、保存的副本、創建的服務等配置信息以加密數據的形式進行傳遞使用:

      4

      解密后的配置主要為:

              遠控服務器:yy.996is.com:30010,

              文件副本信息:%ProgramFiles%\Microsoft Obliqo\.Dqaiqov.exe,

              服務信息:T210729.Wsfnvtkiposqrp.Dqqyge(服務名)  vjazdbmzspiqjxmwio.監測和監視新硬件設備并自動更新設備驅動(服務描述)。

      大灰狼遠控木馬通過創建服務去下載挖礦木馬和執行遠控功能,下圖為下載挖礦木馬執行。

      5

      大灰狼遠控木馬的遠控功能特別齊全,且分布詳細,接收不同指令,執行不同功能,下圖為首層指令分支:

      6

      下圖展示了最頂層的部分指令功能解析:7

      下面就部分功能做下簡單說明,設置系統成為可以多用戶使用的3389端口遠程桌面:

      8

      鎖磁盤:

      9

      操作iexplore.exe訪問網頁:

      10

      安全軟件檢測,涉及國內外主流安全軟件:

      11

      設置全局鍵盤鉤子,對鍵盤輸入進行監控:

      12


      門羅幣挖礦木馬

      近年,隨著虛擬貨幣的暴漲,挖礦市場也是異?;鸨?。一些礦主為了謀取更多利益,他們制造了一大批挖礦木馬,用此去感染用戶機器,將用戶電腦作為肉雞,秘密進行挖礦。此挖礦主程序由xm.exe下載解密而來,分析發現它是由xmrig的開源代碼修改而來的,主要是對命令行參數進行了加解密處理,用此來規避安全監控。

      xm.exe為一個木馬下載器,主要功能如下:

          1.解密配置數據,創建副本程序C:\Windows\SystemBols\AppVNice.exe執行。

          2.將副本程序注冊為服務實現自啟動,服務名為Norporati Windows AppVNice。

          3.利用副本程序下載釋放C:\Windows\SystemBols\AppVNice.dll,AppVNice.dll會針對不同系統釋放不同的挖礦程序,然后啟動挖礦程序,秘密進行挖礦。挖礦文件主要為Systen32.exe,Systen64.exe,WinRing0x64.sys,它們都以明文的形式保存在   解密的AppVNice.dll末尾。

      xm.exe為了規避殺軟檢測,它還對釋放的AppVNice.exe和Systen32.exe進行了代碼膨脹,在文件末尾添加大量無用字符串,釋放的文件信息如下所示:

      13

      為了規避安全軟件的檢測,xm.exe的關鍵信息都是以密文的形式進行傳遞的,主程序的關鍵配置加密信息如下:

      14

      解密的配置主要為:

              事件名稱:huixingwa100

              副本信息:%SystemRoot%\SystemBols\AppVNice.exe

              下載服務器信息:mine.gsbean.com:8585

              服務信息:Norporati Windows AppVNice(服務名)Norporati Assemblies Windows AppVNice:Norporati Windows AppVNice the net.msmq and msmq(服務描述)

      挖礦相關的關鍵配置信息加密如下:

      15

      解密的配置主要為:

              命令行參數:-o poole.laofubtc.com:5560 -u CPU_V15.1_x32(20211011) -p x -k        -o poole.laofubtc.com:5561 -u CPU_V15.1_x64(20211011) -p x -k

              挖礦主程序信息:%ProgramFiles%\Microsoft SystelApp\.Systen32.exe..Systen64.exe

      根據命令行參數知,礦池為 poole.laofubtc.com:5560 ,挖礦登錄名為  CPU_V15.1_x32(20211011)

      挖礦主程序命令行如下:

      C:\Program Files\Microsoft SystelApp\Systen32.exe    X+yvH0cmzkNtaCq+sIYbyv/vpmlkQgSlfWZ7UjjcTLK7MKqeG6n++1p4UcmYCVq/OgJs9rxhG2Z0Yza9UmwRKBh0oKjhdjg=

      挖礦主程序執行如下:

      16


      總結

      近年,隨著游戲市場的火爆,衍生了一大批附屬產品,例如:破解、外掛、私服等。他們圍繞著游戲也有著相當龐大的用戶和市場,出于暴利和制作門檻入門要求低,經常被不法份子利用,將這些工具與一些木馬捆綁在一起傳播,用于秘密竊取用戶信息等。為了我們的電腦和信息安全,建議安裝殺軟進行實時監控。

      下圖為金山毒霸查殺該病毒截圖:

      17



      IOC(部分)

      HASH:

      d43dc46caf067003d9a4ac0236548daf

      e31d29c651310255ca0a8f3bea2244a6

      985631f2f688ad8bbe4840a199f8c884

      d988a09423318ab1dadafff1b4f27f1e

      8c19d83ff359a1b77cb06939c2e5f0cb

      21d5fb15675170dcb3f7ecc7aab5fbde

      8df242fd64a9d1fd8d94990d37b1b7c0

      3aaa7a0e443543214a43ac158fbde56b

      bc7a8dc12a8243ca0e637218da1cd3b7

      4f1a6c5cde0796b2632063bd8839fd72

      C2:

      http://yy.996is.com:30010

      http://mine.gsbean.com:8585

      URL:

      http://www.baihes.com:8282/xm.exe

      http://www.baihes.com:8282/cpa.exe

      http://xk1.996is.com:66/kj.dll

      http://xx.690tx.com:81/100w.exe

      http://110.42.8.91:88

      https://www.898my.com/


      上一篇:

      ? 中国少妇嫖妓BBWBBW

          <p id="p5rvh"></p>