警惕利用AutoHotKey程序传播的挖矿网络
声明:本文由二进制分析小组@360 A-Team原创,仅用于研究交流,不恰当使用会造成危害,严禁违法使用,否则后果自负。
0x00:概述
近日,360安全监测与响应中心接到某企业客户反馈,某台办公机出现了卡顿的现象,同时在系统中发现了多个异常进程,经过溯源关联分析,发现背后是一个近期开始活跃的传播挖矿木马以及窃密木马的黑客团伙,该团伙收集大量破解软件以及实用系统工具,之后捆绑病毒loader,并大量发帖宣传,恶意程序获得执行后,会下载并运行xmrig挖矿程序以及AZORult窃密木马,不仅利用受害者主机资源挖矿牟利,同时还窃取用户的比特币钱包,paypal账号等信息,值得注意的是,此次捕获的恶意程序大量使用了AutoHotKey脚本,大大降低了挖矿团伙的开发成本
0x01:感染过程分析
获得客户同意后,360安全监测与响应中心对被感染主机进行了远程排查,与使用者交流后发现,该主机前一天刚刚重做系统,安装了大量软件,研究人员随后对浏览器下载记录进行检查,发现该主机使用者安全意识较好,软件均为官网下载安装,在对所有软件进行检查,排除供应链污染可能性后,下载历史中一个小工具引起了研究人员的注意,但是该工具使用后已经被删除
重新下载发现链接也已经失效,显示文件已过期,这更说明了文件的可疑
后期结合威胁情报找到了攻击者投放的其中一个恶意软件,补齐了攻击链条,并确定前文下载的工具就是病毒入口,360安全监测与响应中心分析了整个攻击链条如下:
0x02:样本分析
我们将此次事件中主要文件以列表形式整理如下,并逐一进行分析
文件路径 | MD5 | 作用 |
%TEMP%\25565740\ic-0.35a503e0884b.exe | 822b8c413bd5d1ceefae7c759721f44e | 释放并执行Blogger.exe |
C:\ProgramData\Blogger\Blogger.exe | 75c8dfaf2ae56307755b04ef6af19390 | 下载并执行1.exe与2.exe |
C:\ProgramData\1.exe | 30e09c6b824fba46e0580254c0f233ae | 释放并执行xmrig矿机 |
C:\ProgramData\2.exe | ccadc0d2a581bcab9954fe40e8cccdac | 释放并执行AZORult窃密木马 |
0x03:样本分析-- ic-0.35a503e0884b.exe
当用户运行恶意工具时,会在Temp目录下释放ic-0.35a503e0884b.exe,经分析该文件为AutoHotKey脚本打包而成,在资源节可以提取明文脚本,脚本如下:
可以看出主要功能为释放并执行C:\ProgramData\Blogger\Blogger.exe并添加启动项,经过对捕获的其他样本分析,所有染毒工具都会在Temp目录下释放名为ic+随机数的恶意程序
0x04:样本分析-- Blogger.exe
Blogger.exe同样为AutoHotKey脚本打包而成,会联网下载运行1.exe以及2.exe,并释放执行一次IPRAS.vbs,之后删除IPRAS.vbs
IPRAS.vbs脚本如下,经过我们对后期关联到的样本的分析,每个样本IPRAS.vbs中链接都不同,但是都指向同一个IP 88.99.66.31,推测功能为统计每个恶意程序的感染情况
我们的监控系统也发现了下载服务器mcdir.ru在7,8两月都出现了访问高峰
通过威胁情报关联到的myihor.ru同样出现了访问高峰
0x05:样本分析 -- 1.exe
1.exe为自解压压缩包,解压后执行pmcyowrurg.vbs
解压后文件如下:
文件路径 | MD5 | 作用 |
C:\ProgramData\nwnmsxuc.exe | a3af8f589a1d693fe9de72099aaee783 | Winrar程序,用于解压缩 |
C:\ProgramData\pmcyowrurg.vbs | f32482acbe09b049ddafaf2ca49b7857 | 解压pmcyowrurg.rar |
C:\ProgramData\pmcyowrurg.rar | 4927186d64e430efbb9efee5346f2b61 | 存放挖矿程序及相关启动脚本,配置文件 |
pmcyowrurg.vbs脚本如下,主要功能为通过nwnmsxuc.exe(winrar.exe)使用密码jqktgaqlorpsqs解压C:\ProgramData\pmcyowrurg.rar到"C:\ProgramData\kxjfamiehf\",之后执行"C:\ProgramData\kxjfamiehf\eoptvbkvxvaz.vbs",最后清除部分文件
pmcyowrurg.rar解压后C:\ProgramData\kxjfamiehf\目录下文件如下:
文件路径 | MD5 | 作用 |
eoptvbkvxvaz.vbs | 891b4eb66ca5a5b67f73f48673a3b349 | 添加计划任务,定时调用Checks.vbs检测分析工具 |
Checks.vbs | d6d772fe4c41d64f3c44b4eaa5ee4412 | 检测分析工具 |
zuvdorktks.vbs | d7834d0a53d29f3e9e3a16a0a2f4c187 | 执行atisqbbafi.vbs |
atisqbbafi.vbs | 6967a1d8bdc7b0ed2815be91fdeb511c | 执行jcoxznjlykp.exe |
jcoxznjlykp.exe | a276fe03db37d0bd17b4ac656be8f8df | 加壳的Xmrig挖矿程序 |
config.json | c9b152c1abb97d859258e659da9a6d69 | 挖矿程序配置文件 |
eoptvbkvxvaz.xml | 27fdaec737ea64ace5a857ca1ef871bf | 计划任务配置文件 |
eoptvbkvxvaz.vbs脚本如下,主要功能为复制Checks.vbs到"C:\Users\Public\Libraries\",为Checks.vbs添加计划任务,将C:\ProgramData\kxjfamiehf\目录设置为隐藏
Checks.vbs脚本如下,主要功能为通过两层vbs运行xmrig挖矿程序,检查系统进程中是否存在分析工具,如果存在则关闭挖矿进程
样本检测的分析工具如下表
taskmgr.exe |
ProcessHacker.exe |
procexp64.exe |
HWMonitor_x64.exe |
HWMonitor.exe |
SystemExplorer.exe |
AnVir.exe |
Speccy64.exe |
HWMonitor_x32.exe |
aida64.exe |
HWiNFO64.EXE |
HWiNFO32.EXE |
Checks.vbs调用zuvdorktks.vbs,zuvdorktks.vbs调用atisqbbafi.vbs,atisqbbafi.vbs拉起挖矿程序
jcoxznjlykp.exe为MPRESS壳的64位PE文件,脱壳后分析为VC编写,运行后会在内存中解密出UPX加壳的xmrig矿机,并调用shellcode在内存中解析并调用矿机程序,shellcode为硬编码在样本中
值得注意的是,样本将shellcode分割为DWORD存储,调用之前再复制到缓冲区,起到了躲避静态扫描的作用
0x06:样本分析 – 2.exe
2.exe为32位无壳PE文件,使用与1.exe中矿机相同的加载方法,将PE文件dump下分析为AZORult窃密木马,可以窃取受害者浏览器密码,paypal账号,比特币钱包等敏感信息,通过威胁情报关联,找到了一个木马打包的受害者信息,内含大量敏感信息
IOC信息
矿池地址及C&C
IP/URL | 说明 |
tiriff.info[:]8888 | 私有矿池地址 |
izvekovasusanna.mcdir.ru | 1.exe,2.exe下载地址 |
2no.co | 统计链接 |
www.tinevenghansanddown.com | AZORult回连C&C |
myihor.ru | 威胁情报关联到的1.exe下载域名 |
radisol.org | 威胁情报关联到的1.exe下载域名 |
izvekovasu.tmp.fstest.ru | 威胁情报关联到的1.exe下载域名 |
worm.noiseoranges.fun | 染毒工具下载域名 |
hall.attractionsecretary.club | 染毒工具下载域名 |
后给出感染情况统计服务器88.99.66.31在2018年的历史解析,
最可以据此排查
imap.yip.su
mcm.iplogger.com
www.iplogger.co
api.iplogger.com
02ip.ru
enterpriseenrollment.iplogger.ru
iplogger.org
ezstat.ru
office.iplogger.com
blog.iplogger.org
corp.ezstat.ru
cdn-www.ezstat.ru
pub-my.iplogger.com
css.iplogger.ru
www.iplogger.ru
message.ezstat.ru
cdn-www.ezstat.ru
iplogger.co
yip.su
www.iplis.ru
www.iplogger.ru
devqa.iplogger.org
imap.iplogger.com
mail.ezstat.ru
docs.ezstat.ru
static.31.66.99.88.clients.your-server.de
superadmin.maper.info
2no.co
sentry.ezstat.ru
pages.ezstat.ru
m.iplogger.com
de.ezstat.ru
dwww.iplogger.org
iplogger.info
iplogger.blog
plus.ezstat.ru
promod.iplogger.org
api.ezstat.ru
yip.su
onelogin.ezstat.ru
mobile.iplogger.com
support02.maper.info
media2.iplogger.org
qa.ezstat.ru
dashboard.ezstat.ru
prx.ezstat.ru
ipgraber.ru
login.ezstat.ru
wldcrdrcrd.ezstat.ru
dr.iplogger.ru
iplo.ru
support02.maper.info
games.ezstat.ru
partners.ezstat.ru
alfa.maper.info
bes.ezstat.ru
qa.ezstat.ru
yip.su
blog.iplogger.org
jenkins.ezstat.ru
pma.deorg.ru
ease.iplogger.org
ftp.iplogger.com
devtest.iplogger.ru
antispam.iplogger.com
ease.iplogger.com
www.iplogger.org
www.ezstat.ru
apac.ezstat.ru
iplogger.info
awmdm.ezstat.ru
plus.ezstat.ru
pages.ezstat.ru
games.ezstat.ru
cs.ezstat.ru
beta.iplogger.ru
prd.iplogger.ru
aws.ezstat.ru
prix.iplogger.org
live.ezstat.ru
www.02ip.ru
mobicontrol.iplogger.com
vpc.ezstat.ru
www.iplogger.info
en-gb.iplogger.com
maper.info
wdw.iplogger.org
webmail.iplogger.com
mobileiron.iplogger.com
soti.ezstat.ru
pro.iplogger.org
2no.co
mi1.ezstat.ru
common.ezstat.ru
touch.ezstat.ru
corp.ezstat.ru
jiangmen.iplogger.org
apac.ezstat.ru
ad.ezstat.ru
iplogger.ru
embed.iplogger.ru
ddd.iplogger.org
iplogger.ru
www-origin.ezstat.ru
aws.ezstat.ru
forum.iplogger.com
chefserver.iplogger.ru
mcm.iplogger.com
work.ezstat.ru
maper.info
www.wwqw.iplogger.org
www.iplogger.co
prod.ezstat.ru
www.2no.co
www.iplogger.com
www.ww.iplogger.org
data.ezstat.ru
sql.iplogger.ru
www.ezstat.ru
www.iplogger.com
ezstat.ru
sas.iplogger.ru
mail.ezstat.ru
docker.ezstat.ru
2.iplogger.org
deorg.ru
pip.iplogger.com
www.code.iplogger.org
www.yip.su
iplogger.org
02ip.ru
platform.ezstat.ru
docs.ezstat.ru
sdfsd.iplogger.com
smtp.iplogger.org
www.2no.co
wwqw.iplogger.org
cloud.ezstat.ru
ddd.iplogger.org
lbl.ezstat.ru
mon.ezstat.ru
ww2w.iplogger.org
www.iplogger.org
work.ezstat.ru
iplogger.com
mh.iplogger.org
iplogger.com
iplogger.com
soti.ezstat.ru
portal.ezstat.ru
zh-tw.maper.info
tracker.ezstat.ru
qwww.iplogger.org
sentry.iplogger.com
cdn-www.iplogger.ru
chat.iplogger.ru
sub.ezstat.ru
controlpanel.ezstat.ru
mail.iplogger.info
mail.iplogger.com
eventtracker.iplogger.ru
img1.iplogger.org
www.iplogger.org
airwatch.iplogger.ru
www.iplo.ru
mail.2no.co
tracker.ezstat.ru
iplogger.co
ww2.iplogger.org
sto.iplogger.ru
wiki.ezstat.ru
mobility.iplogger.org
static.ezstat.ru
mi1.ezstat.ru
iplogger.blog
www.maper.info
media2.ezstat.ru
mail.iplogger.org
api.iplogger.com
2no.co
quzhou.iplogger.ru
www.ww.iplogger.org
eis.ezstat.ru
iplis.ru
iplis.ru
smtp.iplogger.org
www.ipgraber.ru
s0.ezstat.ru
pop.ezstat.ru
svr1.imagespost.com
www.maper.info
dr.ezstat.ru
epay.iplogger.ru
live.ezstat.ru
chat.iplogger.ru
ease.iplogger.com
mam.ezstat.ru
mail.iplogger.org
www.blog.iplogger.org
watch.ezstat.ru
rtr.ezstat.ru
www.yip.su
de.ezstat.ru
ipgrabber.ru
svr1.imagespost.com
ipgrabber.ru
iplo.ru
iplogger.org
dashboard.ezstat.ru
sdds-gov-cn.iplogger.com