Sec Hotspot 首页  收藏本站  技术博客  RSS
统计信息
已收录文章数量:7429 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
“劲爆新闻、漂亮小姐姐”原是远控木马,小手一抖,电脑沦为“老虎...
本文来自公众号:腾讯御见威胁情报中心   2019.12.04 19:29:16


长按二维码关注

御见威胁情报中心

一、背景
腾讯安全御见威胁情报中心检测到通过社会工程骗术传播的“老虎”挖矿木马(LaofuMiner)。攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等文件名,通过社交网络发送到目标电脑,受害者双击查看文件立刻被安装“大灰狼”远控木马。攻击者通过远控木马控制中毒电脑下载挖矿木马,中毒电脑随即沦为矿工,该木马已感染近5000台电脑。

因其挖矿使用的自建矿池包含字符“laofubtc”,御见威胁情报中心将其命名为老虎挖矿木马(LaofuMiner),通过腾讯安图系统溯源,发现这个老虎挖矿木马同2018年其他安全厂商报告的灰熊挖矿木马(BearMiner)同属一个黑产团伙。

用于钓鱼攻击的部分文件名如下:


根据腾讯安全御见威胁情报中心的统计数据,老虎挖矿木马(LaofuMiner)已感染超过5000台电脑,影响最严重地区为北京、广东、上海、河南、山东等地。

1

“老虎”挖矿木马(LaofuMiner)的技术特点


1.安装大灰狼远控木马后,接受C2服务器的指令,通过木马服务器下载挖矿木马;

2.挖矿木马文件属性伪装成音频设备公司“Waves Audio”;

3.挖矿木马首次执行后会用垃圾数据增肥到150MB,以此逃避杀毒软件检测;

4.矿机程序文件伪装成显卡制造商NVIDIA的驱动程序;


5.挖矿时,CPU占用高达97%,会影响系统性能。


二、详细分析
LaofuMiner传播流程如下:


使用机器人群发的钓鱼文件实际上是“大灰狼”远控木马,用户一点击运行就会被远程控制,木马运行后拷贝自身到目录C:\Program Files (x86)\Microsoft Hdejpp\Xtuzqan.exe下并安装为服务“Wszswc wyksdvuf”。


Xtuzqan.exe的外壳代码解密出具有远控核心功能的PE文件并加载到内存执行。


远控木马完全控制电脑后,连接到远程控制端,然后接受命令从HFS服务器下载挖矿木马母体http[:]//www.baihes.com:8282/cpa.exe或http[:]//www.baihes.com:8285/ws.exe到本地,下载的文件保存为C:\Program Files (x86)\Microsoft WavesSys\WavesSys.exe。

WavesSys.exe的图标和描述都伪装成音频设备公司“Waves Audio”软件的相关信息,并且在首次执行后修改自身文件写入大量垃圾数据,增大文件到近150M,以此来躲避杀毒软件检测。


WavesSys.exe安装为服务“Corporati Assemblies WavesSyse”,然后从服务器下载WavesSys.dll加载到内存执行。


最后WavesSys.exe释放矿机程序SvidaPaun.exe到C:\Program Files (x86)\Microsoft SvidaPaun\SvidaPaun.exe,并以参数” XO+sJ1p97mZtMz648YYXi/kDs3dOdu+ZOj81GkTZWbr/MNDDZsUEl0QQUbTKBlSpPANz9rxfGH5tVnPtGkQMal9pyfzQZyVfcQ==”启动。

SvidaPaun.exe伪装成英伟达公司显卡驱动程序(占用高CPU资源时,不容易被怀疑),使用矿池poole.laofubtc.com,登录名:CPU_V1 2.0(20191126)开始挖矿开始挖矿,挖矿通信流量如下:


挖矿时SvidaPaun.exe进程的CPU占用率达到了近97%,会造成系统严重卡顿无法正常运行。


通过腾讯安图高级威胁溯源系统查询IP 46.4.156.44,可以看到指向解析IP的域名包含友商在2018年发现的“灰熊”挖矿木马BearMiner的域名miner.gsbean.com。而“老虎”挖矿木马LaofuMiner的文件服务器baihes.com以及矿池域名pool.laofubtc.com也指向该IP,可以推测“灰熊”和“老虎”属于同一团伙, “老虎”替代“灰熊”挖矿木马呈现新的活跃趋势。


三、安全建议
1、不要随意打开来历不明的文件,对于可疑文件先使用腾讯电脑管家或腾讯御点进行扫描。


2、建议打开资源管理器文件夹选项中的 “查看已知文件的扩展名” ,这样当你收到文件图标为Office、音乐、视频文件,文件的扩展名却是“exe、com、pif、bat”时,可以立刻判断为危险文件。

3、对于已感染LaofuMiner的手动清理方案。
删除文件:
C:\Program Files (x86)\Microsoft WavesSys\WavesSys.exe
C:\Program Files (x86)\Microsoft WavesSys\WavesSys.dll
C:\Program Files (x86)\Microsoft SvidaPaun\SvidaPaun.exe
C:\Program Files (x86)\Microsoft Hdejpp\Xtuzqan.exe


删除服务:

”Corporati Assemblies WavesSyse“
“Wszswc wyksdvuf”
“Wsxxsw ndcbxauv”

4、推荐企业用户部署腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯安全在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,腾讯御界可以检测远控木马、挖矿程序外联等异常行为。


IOCs @LaofuMiner
C&C
116.206.92.179:9772
94.191.24.237:2020

IP
46.4.156.44
207.246.99.13
114.118.98.185
111.230.96.55
58.221.55.158

Domain
www.baihes.com
neibu.wkery.com
neibu.pkdnf.cn
miner.gsbean.com
mine.gsbean.com
poolb.laofubtc.com
poolc.laofubtc.com
poole.laofubtc.com
pool.laofubtc.com

Md5
abfa5626edbbe2063a72d6c8fbc9f5b1
11caff15bc726838e639f84e96276c6e
d23d560714aa6b579526aefdaea89ca0
21044f539b24f5a1d10e11c42b500189
207761fb4e33b2028265a4c8fbc9219a
dfae8fbea98e9ec2383a751beb1d7441


URL

http[:]//www.baihes.com:8282/cpa.exe
http[:]//www.baihes.com:8285/ws.exe
http[:]//neibu.wkery.com:8861/httppost.exe
http[:]//neibu.wkery.com:8861/httppost2.exe
http[:]//neibu.wkery.com:8861/httppost3.exe
http[:]//114.118.98.185:8080/netsyst96.dll
http[:]//207.246.99.13:8080/server.exe
http[:]//neibu.wkery.com:81/tu.php
http[:]//neibu.pkdnf.cn:81/cha.php
http[:]//neibu.pkdnf.cn:81/lao.php
http[:]//www.pkdnf.cn:8186/system.exe

矿池:
pool.laofubtc.com:5559

参考链接:
https://www.freebuf.com/articles/terminal/176936.html


腾讯安全、腾讯云诚招队友