歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

門羅幣挖礦&遠控木馬樣本分析

來源:本站整理 作者:佚名 時間:2019-04-19 TAG: 我要投稿

近日,威脅情報小組在對可疑下載類樣本進行分析時,發現一起門羅幣挖礦+木馬的雙功能樣本。該樣本回在執行挖礦的同時,通過C2配置文件,到指定站點下載具有遠控功能的樣本,獲取受害主機信息,并進一步控制受害主機。
詳細分析過程
樣本主體
樣本主體文件采用的是360殺軟的圖標,并且文件描述信息為 “360主動防御服務模塊”,誘導用戶點擊執行。

主體在執行時會釋放拷貝自身到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SQLAGENTSA.exe,并繼續執行。

拷貝自身并繼續執行
SQLAGENTSA.exe 會在本地釋放并執行名稱為“VBS.vbs”和“AutoRun.vbs”的兩個vbs腳本,同時還會聯網下載挖礦程序,并讀取C2配置文件,下載木馬文件繼續執行。

VBS.vbs腳本內容
該腳本的目的就是為了確保進程“SQLAGENTSN.exe”會一直在運行。“AutoRun.vbs”腳本的內容和“VBS.vbs”腳本的內容很相似,目的也是為了確保進程“SQLAGENTSN.exe”會一直在運行。
挖礦行為
樣本中存在如下硬編碼文件路徑:

 登錄站點可以發現,該站點為一個HFS下載站點:

針對cpu32.exe的文件進行分析,發現該文件實際是利用了開源代碼XMRig2.11版本的門羅幣挖礦程序。

該文件在下載到本地之后,本重命名為sqlagentc.exe,存放于C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目錄下,并被啟動執行。
啟動參數為:
--donate-level 1 --max-cpu-usage 75 -o x.huineng.co:80 -u x.0309C -p x -k

sqlagentc.exe啟動參數
同時在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目錄下也發現了程序運行日志:

挖礦日志
其中CPU_log.txt 即為挖礦日志。

由日志可以確認,礦池地址為 x.huineng.co:80  ip地址為 154.92.19.164。
木馬行為
該樣本主體除了載挖礦程序進行挖礦之外,還會直接讀取http://a.owwwa.com/mm/SQL.txt文件的內容,從中獲取木馬文件地址,然后下載木馬文件到本地繼續執行。

樣本中硬編碼的配置文件路徑

SQL.txt的內容
登錄到站點上之后,發現該站點也是一個HFS下載站點,文件列表如下:

其中startas.bat腳本負責將SQLAGENTSON.exe創建為服務,并且以“System”賬戶運行。

sqlbrowsers.exe會首先檢查當前進程是不是以管理員權限運行,如果不是的話就以管理員權限再次啟動進程,否則就解密并加載內存PE。

判斷是不是管理員權限運行

加載內存DLL
內存DLL有一個導出函數StartAsFrameProcess,該DLL的主要功能都集中在這個函數中。

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视