吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

领取今日签到奖励
查看: 12025|回复: 76

[PC样本分析] 伪造微软等企业签名 恶性病毒偷比特币+挖矿

  [复制链接]
发表于 2018-5-8 19:18
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
    一、 概述

    5月8日,火绒实验室截获新型后门病毒。该病毒破坏性极强,入侵用户电脑后会执行多种病毒模块,以窃取用户比特币、门罗币等主流虚拟货币的数据信息,同时利用用户电脑疯狂挖矿(生产“门罗币”),并且还会通过远程操控伺机对用户进行勒索。
    另外,病毒团伙非常狡猾,不仅使用了隐蔽性很强的“无文件加载”技术,令普通用户难以察觉,而且还伪造了亚马逊、微软以及火绒的数字签名,成功躲过了国内绝大多数安全软件的查杀。目前“火绒安全软件”最新版可对该后门病毒进行拦截和查杀。

   

    火绒查杀截图
    二、 详细分析

    近期,火绒截获到病毒样本,该病毒会通过访问C&C服务器下载执行多种病毒模块,病毒模块功能包括:挖矿、勒索、信息窃取。该病毒运行之后首先会执行3个远程脚本,分别下载勒索病毒,挖矿病毒,并且还可能会下载间谍病毒。勒索病毒会常驻后台,等待勒索时机。挖矿病毒会首先由evil.js直接下载下来,然后伪装成为explorer.exe加参数运行。ps5.sct实现核心功能,负责后续的主机信息收集,服务端指令的执行,从目前服务器返回的数据来看,只是用于挖矿命令的下发。
    病毒恶意行为流程图,如下图所示:

   

    病毒恶意行为流程图
    进程树粗略概览,如下图所示:

   

    进程树截图
    该病毒执行后,会执行远程恶意VBScript脚本和SCT脚本。相关代码,如下图所示:

   

    病毒代码
    该病毒执行远程脚本相关数据,如下图所示:

   

    相关数据
    被执行的远程脚本及其主要功能,如下图所示:

   

    脚本名称及其主要功能
    下文针对病毒所下载执行的多个脚本文件进行详细分析。

    ps5.sct:

    ps5.sct是一个混淆过的SCT脚本,作为payload,由regsvr32远程执行,利用powershell结合dotnet的静态方法来创建子线程执行shellcode,该shellcode会向ssl2.blockbitcoin.com请求数据,下载一个pe结构异常的恶意dll,该dll会从远程服务器获取命令然后执行,在我们分析的时候,服务器派发命令是挖矿命令。
    解密后的ps5.sct相关代码,如下图所示:

   

    解密后的脚本代码
以上shellcode下载的恶意dll的GetCommand_and_run函数实现联网获取服务器指令。相关代码逻辑,如下图所示:

   

    病毒代码
    通过动态调试发现恶意dll偏移0x305252E处调用网络操作相关API,连接网站ssl2.blockbitcoin.com。压栈的内容,如下图所示:

   

    动态调试截图
    向该网站请求数据,压栈的内容,如下图所示:

   

    动态调试截图
    通过InternetReadFile  API函数,从网站读取命令数据,如下图所示:

   

    病毒代码
    网站返回了命令数据,如下图所示:

   

动态调试获取网页返回数据
    调用sub_3063D37的函数,循环执行每条网站返回的命令数据,如下图所示:

   

    病毒代码

    reg99.sct:

    reg99.sct也是一个混淆过的SCT脚本,作为payload,由regsvr32远程执行,会根据系统的架构决定执行var_func(32bit) 还是 va_func2(64bit),这两个函数会释放出不同版本的evil.js,从而下载对应的挖矿病毒,相关代码逻辑,如下图所示:

   

    解密后的脚本代码
    挖矿病毒(文件名:explorer.exe,与资源管理器进程名一致)相关关键数据,如下图所示:

   

     相关数据

     

     相关数据

  截至2018年5月8日,根据钱包地址查询到结果,如下图所示:

   

    钱包收益截图
    并且通过行为分析可以看出:
    1. 每5分钟执行一次 reg9.sct 中的恶意代码,用以保证挖矿行为正常运行。命令如下图所示:

   

    恶意命令
    2. 利用wmi执行下载并运行挖矿病毒与勒索病毒。命令如下图所示:

   

    恶意命令

    sp.txt

    sp.txt是一个经过混淆的VBScript病毒脚本,脚本会下载执行勒索病毒(文件名:core.scr)。解密后的脚本代码,如下图所示:

   

    解密后的脚本代码
    勒索病毒相关关键数据,如下图所示:

   

    相关数据
    勒索病毒加密使用用RSA非对称加密。公钥数据,如下图所示:

   

    相关数据
    尝试终止如下exe程序,如下图所示:

   

    相关数据
    该程序初始化了字符串表,保存了常见数据库主程序名,通过循环调用结束进程函数,将这些程序进程结束,从而取消文件占用。相关逻辑如下图所示:

   

    初始化字符串列表

   

    进程结束逻辑
    加密如下文件后缀,如下图所示:

   

    相关数据

    其他:

    在我们的测试过程中发现,由于远程脚本会发生改变,还有可能下载该间谍病毒, 该病毒让浏览器安装adblockplus插件,通过向js文件写入片段代码,实现过滤用户比特币钱包信息,用于窃取用户信息。
    间谍病毒(文件名:SVTHOST.EXE)相关关键数据,如下图所示:

   

     相关数据

   

    相关数据

   

    相关数据

   

    相关数据
    经过我们多次下载发现,该病毒功能总体不变,但是签名信息等频繁发生变化,可能是为了实现免杀,其证书签名都是同属于一家CA,签名者通常被伪造成其他知名软件厂商名字,如:微软、亚马逊、火绒。如下图所示:

   

    第一次下载得到的程序的签名信息

   

    第二次下载得到的程序的签名信息

   

    第三次下载得到的程序的签名信息

    三、 溯源分析

    我们在病毒样本资源的版本信息中发现,其语言版本是简体中文,如下图所示:

   

   

   
资源信息
病毒还在文件信息中将自己伪装为“金山安装工具”,如下图所示:

   

文件属性中的“文件说明”翻译为:“金山安装工具”
从病毒远程下载的某个样本中,我们发现伪造的数字签名包含有中国厂商,如下图所示:

   

    伪造的“火绒”签名
    通过上述信息,我们不排除该病毒的编写作者为中国人的可能性。


    四、 附录


   
   

免费评分

参与人数 49吾爱币 +48 热心值 +45 收起 理由
chengan1998 + 1 用心讨论,共获提升!
Pru_0 + 1 + 1 用心讨论,共获提升!
f8561 + 1 我很赞同!
gqygd + 1 + 1 厉害,这世界真大,什么都有。
nwxbc6xzktg + 1 + 1 鼓励转贴优秀软件安全工具和文档!
5566guanglei + 1 + 1 鼓励转贴优秀软件安全工具和文档!
粉藍弟 + 1 + 1 我很赞同!
不懂看相 + 1 我很赞同!
Isaac__ + 1 + 1 我很赞同!
vince991 + 1 + 1 我很赞同!
Tomatoman + 1 + 1 用心讨论,共获提升!
Dormleader + 1 + 1 火绒反映真快。
aebecedefe + 1 + 1 用心讨论,共获提升!
刘保川 + 1 + 1 我很赞同!
静叶流云 + 1 + 1 谢谢@Thanks!
创世2 + 1 + 1 谢谢@Thanks!
bbn + 1 + 1 我很赞同!
FtsOZz + 1 + 1 热心回复!
heavy_fire + 1 + 1 谢谢@Thanks!
zx3224649 + 1 + 1 谢谢@Thanks!
度娘灬魂手 + 1 + 1 热心回复!
lqder + 1 + 1 鼓励转贴优秀软件安全工具和文档!
战歌酒吧 + 1 + 1 我很赞同!
夏雨微凉 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
nmnumoo1 + 1 + 1 用心讨论,共获提升!
niorker + 2 谢谢@Thanks!
thefatrat + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lzy学霸 + 1 + 1 用心讨论,共获提升!
cwhello + 1 + 1 很喜欢看这种,每天学习一点
我只是条咸鱼 + 1 + 1 用心讨论,共获提升!
forfor + 1 + 1 我很赞同!
laoxing + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
yjwgrwz + 1 + 1 我很赞同!
nshark + 1 + 1 鼓励转贴优秀软件安全工具和文档!
heroliujun + 1 + 1 谢谢@Thanks!
huangyiyi + 1 + 1 谢谢@Thanks!
速腾小子 + 1 + 1 我很赞同!
阿尔卡伊达 + 1 + 1 我很赞同!
斗罗 + 1 + 1 我很赞同!
夏之天狼星 + 1 + 1 我很赞同!
readme + 1 + 1 路过,顶你!
Sc118421 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
cbkin888 + 1 + 1 大佬惹不起惹不起
钟欣桐 + 1 我很赞同!
我是神金币 + 1 + 1 我很赞同!
蓝余 + 1 + 1 前排露脸
曾经狠年轻、 + 1 + 1 我很赞同!
cyouakari + 1 + 1 强!!!
麦米尔加弗德 + 1 + 1 强!

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

 楼主| 发表于 2018-5-10 16:48
夏雨微凉 发表于 2018-5-9 13:51
你好,能不能在火绒的全盘查杀中添加一个排除某些文件夹的选项,我用全盘查杀4个多小时了还没完,有些文件 ...

您好,这个要求可以通过自定义查杀进行设置,首先勾选“此电脑”后,再对想要排除的文件夹取消勾选即可完成。
 楼主| 发表于 2018-5-9 10:27
redyan9985 发表于 2018-5-8 19:49
公司服务器也中了挖矿,清理之后会不定时自动运行cmd下载远程文件,下载hips禁止了cmd,不知道怎么清理定时 ...

你好,如果方便的话,请加火绒安全工程师QQ1959360994,我们来帮你看一下
发表于 2018-5-8 19:27
发表于 2018-5-8 19:27
分析的非常详细 辛苦了 支持
发表于 2018-5-8 19:30
内部人员   !
发表于 2018-5-8 19:30
我觉得你是火绒派来的
发表于 2018-5-8 19:41
所以  这是个火绒的宣传贴么
发表于 2018-5-8 19:49
公司服务器也中了挖矿,清理之后会不定时自动运行cmd下载远程文件,下载hips禁止了cmd,不知道怎么清理定时运行,常规的自启已找过
发表于 2018-5-8 20:06
虽然看不懂 但赞一个
发表于 2018-5-8 20:19

虽然看不懂 但赞一个
发表于 2018-5-8 20:38
火绒牛逼!!!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-3-26 06:31

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表