黑客利用病毒挖門羅幣 已獲利60餘萬

來自專欄火絨安全實驗室49 人贊了文章

一、 概述

近日，火絨安全團隊截獲一批蠕蟲病毒。這些病毒通過U盤、移動硬碟等移動介質及網路驅動器傳播，入侵電腦後，會遠程下載各類病毒模塊，以牟取利益。這些被下載的有盜號木馬、挖礦病毒等，並且已經獲得約645個門羅幣（合60餘萬人民幣）。這類新蠕蟲病毒還在不斷更新，未來可能發動更大規模的攻擊。

該病毒早在2014年就已出現，並在國內外不斷流竄，國外傳播量遠超於國內。據"火絨威脅情報系統"監測顯示，從2018年開始，該病毒在國內呈現出迅速爆發的威脅態勢，並且近期還在不斷傳播。

火絨工程師發現，該病毒通過可移動存儲設備(U盤、移動硬碟等)和網路驅動器等方式進行傳播。被該蠕蟲病毒感染後，病毒會將移動設備、網路驅動器內的原有文件隱藏起來，並創建了一個與磁碟名稱、圖標完全相同的快捷方式，誘導用戶點擊。用戶一旦點擊，病毒會立即運行。

病毒運行後，首先會通過C&C遠程伺服器返回的控制命令，將其感染的電腦進行分組，再針對性的獲取相應的病毒模塊，執行盜號、挖礦等破壞行為。

病毒作者十分謹慎，將蠕蟲病毒及其下載的全部病毒模塊，都使用了混淆器，很難被安全軟體查殺。同時，其下載的挖礦病毒只會在用戶電腦空閑時進行挖礦，並且佔用CPU資源很低，隱蔽性非常強。

不僅如此，該病毒還會刪除被感染設備或網路驅動器根目錄中的可疑文件，以保證只有自身會進入用戶電腦。由此可見，該病毒以長期佔據用戶電腦來牟利為目的，日後不排除會遠程派發其他惡性病毒（如勒索病毒）的可能。

"火絨安全軟體"無需升級即可攔截並查殺該病毒。

二、 樣本分析

近期，火絨截獲到一批蠕蟲病毒樣本，該病毒主要通過網路驅動器和可移動存儲設備進行傳播。該病毒在2014年前後首次出現，起初病毒在海外傳播量較大，在國內的感染量十分有限，在進入2018年之後國內感染量迅速上升，逐漸呈現出迅速爆發的威脅態勢。該病毒代碼執行後，會根據遠程C&C伺服器返回的控制命令執行指定惡意邏輯，甚至可以直接派發其他病毒代碼到本地計算機中進行執行。現階段，我們發現的被派發的病毒程序包括：挖礦病毒、盜號木馬等。病毒惡意代碼運行與傳播流程圖，如下圖所示：

病毒惡意代碼運行與傳播流程圖

該病毒所使用的C&C伺服器地址眾多，且至今仍然在隨著樣本不斷進行更新，我們僅以部分C&C伺服器地址為例。如下圖所示：

C&C伺服器地址

該病毒會將自身拷貝到可移動存儲設備和網路驅動器中，病毒程序及腳本分別名為DeviceConfigManager.exe和DeviceConfigManager.vbs。被該病毒感染後的目錄，如下圖所示：

被該病毒感染後的目錄（上為可移動存儲設備，下為網路驅動器）

火絨截獲的蠕蟲病毒樣本既其下載的其他病毒程序全部均使用了相同的混淆器，此處對其所使用的混淆器進行統一分析，下文中不再贅述。其所使用的混淆器會使用大量無意義字元串或數據調用不同的系統函數，使用此方法達到其混淆目的。混淆器相關代碼，如下圖所示：

混淆代碼

混淆器中使用了大量與上圖中類似的垃圾代碼，而用於還原載入原始PE鏡像數據的關鍵邏輯代碼也被穿插在這些垃圾代碼中。還原載入原始PE數據的相關代碼，如下圖所示：

還原載入原始PE鏡像數據的相關代碼

上述代碼運行完成後，會調用載入原始PE鏡像數據的相關的代碼邏輯。載入原始PE鏡像數據的代碼，首先會獲取LoadLibrary、GetProcAddress函數地址及當前進程模塊基址，之後藉此獲取其他關鍵函數地址。解密後的相關代碼，如下圖所示：

解密後的載入代碼

原始PE鏡像數據被使用LZO演算法（Lempel-Ziv-Oberhumer）進行壓縮，經過解壓，再對原始PE鏡像進行虛擬映射、修復導入表及重定位數據後，即會執行原始惡意代碼邏輯。相關代碼，如下圖所示：

調用解壓縮及虛擬映射相關代碼

蠕蟲病毒

該病毒整體邏輯分為兩個部分，分別為傳播和後門邏輯。該病毒的傳播只針對可移動存儲設備和網路驅動器，被感染後的可移動存儲設備或網路驅動器根目錄中會被釋放一組病毒文件，並通過誘導用戶點擊或利用系統自動播放功能進行啟動。蠕蟲病毒通過遍歷磁碟進行傳播的相關邏輯代碼，如下圖所示：

遍歷磁碟傳播

被釋放的病毒文件及文件描述，如下圖所示：

被釋放的病毒文件及文件描述

蠕蟲病毒會通過在病毒vbs腳本中隨機插入垃圾代碼方式對抗安全軟體查殺，被釋放的vbs腳本首先會關閉當前資源管理器窗口，之後打開磁碟根目錄下的"_"文件夾，最後執行病毒程序DeviceConfigManager.exe。釋放病毒vbs腳本相關邏輯，如下圖所示：

釋放病毒vbs腳本相關邏輯

除了釋放病毒文件外，病毒還會根據擴展名刪除磁碟根目錄中的可疑文件（刪除時會將自身釋放的病毒文件排除）。被刪除的文件後綴名，如下圖所示：

被刪除的文件後綴名

病毒在釋放文件的同時，還會將根目錄下的所有文件全部移動至病毒創建的"_"目錄中。除了病毒釋放的快捷方式外，其他病毒文件屬性均被設置為隱藏，在用戶打開被感染的磁碟後，只能看到與磁碟名稱、圖標完全相同的快捷方式，從而誘騙用戶點擊。快捷方式指向的文件為DeviceConfigManager.vbs，vbs腳本功能如前文所述。通過這些手段可以使病毒代碼執行的同時，儘可能不讓用戶有所察覺。

被釋放的病毒文件列表

蠕蟲病毒釋放的快捷方式，如下圖所示：

蠕蟲病毒釋放的快捷方式

該病毒的後門邏輯會通過與C&C伺服器進行IRC通訊的方式進行，惡意代碼會根據當前系統環境將當前受控終端加入到不同的分組中，再通過分組通訊對屬於不同分組的終端分別進行控制。病毒用來進行分組的信息包括：語言區域信息、當前系統平台版本為x86或x64、當前用戶許可權等。後門代碼中最主要的惡意功能為下載執行遠程惡意代碼，再藉助病毒創建的自啟動項，使該病毒可以常駐於用戶計算機，且可以向受控終端推送的任意惡意代碼進行執行。病毒首先會使用用戶的語言區域信息和隨機數生成用戶ID，之後向C&C伺服器發送NICK和USER通訊命令，隨機的用戶ID會被註冊為NICK通訊命令中的名字，該操作用於受控終端上線。相關代碼，如下圖所示：

受控終端上線相關代碼

通過上圖我們可以看到，病毒所使用的C&C伺服器列表中域名和IP地址眾多，其中很大一部分都為無效域名和地址，主要用於迷惑安全研究人員。在受控端上線後，就會從C&C伺服器獲取控制指令進行執行。病毒可以根據不同的系統環境將當前受控終端進行分組，分組依據包括：語言區域信息、當前用戶許可權、系統平台版本信息（x86/x64）。除此之外，病毒還可以利用控制命令通過訪問IP查詢網站（http://api.wipmania.com）嚴格限制下發惡意代碼的傳播範圍。主要控制命令及命令功能描述，如下圖所示：

主要控制命令及命令功能描述

主要後門控制相關代碼，如下圖所示：

後門控制代碼

病毒會將遠程請求到的惡意代碼釋放至%temp%目錄下進行執行，文件名隨機。相關代碼，如下圖所示：

下載執行遠程惡意代碼

挖礦病毒

病毒下發的惡意代碼眾多，我們此次僅以挖礦病毒為例。本次火絨截獲的挖礦病毒執行後，會在電腦運算資源閑置時挖取門羅幣，對於普通用戶來說其挖礦行為很難被察覺。 在本次火絨所截獲到的樣本中，我們發現，病毒下發的所有惡意代碼都使用了與蠕蟲病毒相同的混淆器。以混淆器還原載入原始PE數據代碼為例進行對比，如下圖所示：

混淆器代碼對比圖（左為被下發到終端的挖礦病毒、右為蠕蟲病毒）

挖礦病毒原始惡意代碼運行後，會將病毒自身複製到C:Users用戶名AppDataRoamingsvchostx64.exe位置，並創建計劃任務每分鐘執行一次。病毒會創建互斥量，通過檢測互斥量，可以保證系統中的病毒進程實例唯一。之後，病毒會使用挖礦參數啟動自身程序，再將挖礦程序（XMRig）PE鏡像數據注入到新啟動的進程中執行挖礦邏輯。在火絨行為沙盒中挖礦病毒行為，如下圖所示：

挖礦病毒行為

如上圖所示，挖礦參數中限制挖礦程序CPU佔用率為3%，並且會通過檢測系統閑置信息的方式不斷檢測CPU佔用率是否過高，如果過高則會重新啟動挖礦進程。通過遍歷進程檢測任務管理器進程（Taskmgr.exe）是否存在，如果存在則會停止挖礦，待任務管理進程退出後繼續執行挖礦邏輯。病毒通過上述方法提高了病毒自身的隱蔽性，保證病毒可以儘可能的長時間駐留於被感染的計算機中。相關代碼，如下圖所示：

挖礦邏輯控制代碼

雖然病毒嚴格控制了挖礦效率，但是由於該病毒感染量較大，總共挖取門羅幣約645個，以門羅幣當前價格計算，合人民幣60餘萬元。病毒使用的門羅幣錢包賬戶交易信息，如下圖所示：

病毒使用的門羅幣錢包賬戶交易信息

三、 附錄

文中涉及樣本SHA256：

推薦閱讀：