<code id="oaoes"></code>
  • <code id="oaoes"><label id="oaoes"></label></code>
  • <input id="oaoes"></input>
  • <label id="oaoes"><strong id="oaoes"></strong></label>
  • 添加微信
    立即線上溝通

    客服微信

    客服微信

    ×

    詳情請咨詢客服

    客服熱線

    186-8811-5347、186-7086-0265

    官方郵箱

    contactus@mingting.cn

    我知道了

    《魔域》私服暗藏遠控木馬和挖礦木馬

    2021.10.28 來源:安全豹作者:安全豹

    事件概述

    近期,金山毒霸捕風系統捕獲了一批網絡游戲《魔域》私服木馬,該木馬伴隨著游戲登錄器傳播,會釋放大灰狼遠控和門羅幣挖礦木馬執行。大灰狼遠控幾乎可以完全操控用戶系統,常被用來竊取用戶信息和遠程操控用戶電腦,如操作賬戶、注冊表、服務、進程、文件、攝像頭、音頻、監控桌面、監控鍵盤等。門羅幣挖礦木馬會將用戶電腦作為肉雞進行秘密挖礦,它不僅會大量侵占電腦資源,使電腦運行變得特別緩慢,還會損耗電腦硬件,縮短電腦使用壽命。

    追蹤發現,該木馬與其他安全廠商通報的BearMiner(灰熊礦業)、LaofuMiner("老虎”挖礦木馬)同屬一個家族。該家族以挖礦業為主,具有挖礦程序偽裝系統文件,關鍵數據總體打包加密傳遞,程序膨脹變大等特點。該家族的蹤跡可追蹤到2018年,早期使用偽裝欺騙方式傳播挖礦木馬,現階段通過私服游戲捆綁后門下發大灰狼遠控傳播挖礦木馬,一直保持活躍。

    1

    樣本執行流程圖

    捕獲的部分登錄器信息如下:

    2


    樣本分析

    本次捕獲的病毒源頭為《魔域》私服登陸器,該私服登錄器會在游戲目錄釋放后門文件tqlits.dat,tqlits.dat會在臨時目錄釋放木馬加載器net1024.exe,net1024.exe會下載啟動大灰狼遠控木馬。大灰狼遠控木馬主要包括遠程控制功能和下載木馬加載器xm.exe功能,xm.exe會下載門羅幣挖礦木馬秘密進行挖礦。為了規避安全監控和安全分析,程序相關的主要信息都采用整體打包加密傳遞,算法采用異或和RC4結合。

    net1024.exe的核心功能為下:

        1.解密配置數據,創建執行副本程序C:\ProgramFiles\Microsoft Obliqo\Dqaiqov.exe。
        2.將副本程序注冊為服務實現自啟動,服務名為T210729.Wsfnvtkiposqrp.Dqqyge。
        3.下載執行大灰狼遠控木馬,實現遠控控制和下載挖礦木馬執行。

    3

    捕獲的私服官網圖片


    大灰狼遠控木馬

    大灰狼遠控作為木馬界的主流遠控,由于其功能齊全,有相應源碼泄出,簡單修改就可投入使用的特點,一直以來頗受惡意作者的鐘愛。本樣本為修改版的大灰狼遠控,主要修改點是將服務器等主要配置信息整體打包加密,以參數的形式傳遞使用;增加了直接下載木馬加載器下載挖礦木馬執行功能。將主要配置數據進行整體打包加密傳遞,不僅可以隱藏數據,還可以更方便的更換配置數據,從而降低被安全軟件發現。

    下面就大灰狼遠控木馬做下簡單分析。

    為了規避安全監控,大灰狼遠控模塊以加密包的形式下發到本地,然后內存加載解密調用。涉及大灰狼遠控模塊的信息如下:

            加密的URL和密鑰: 4jNnIiz7AdVaqF0XDp1bKttqa9v4knGl6fn7RuC0hQ== ,Getong538。

            解密的URL:http://xk1.996is.com:66/kj.dll。

            保存路徑: C:\Program Files\AppPatch\kj.dll。

            解密kj.dll的信息:名稱為NetSyst96.dll,導出函數包括DllFuUpgStop和DllFuUpgradrs。

    該遠控會把遠控的服務器、保存的副本、創建的服務等配置信息以加密數據的形式進行傳遞使用:

    4

    解密后的配置主要為:

            遠控服務器:yy.996is.com:30010,

            文件副本信息:%ProgramFiles%\Microsoft Obliqo\.Dqaiqov.exe,

            服務信息:T210729.Wsfnvtkiposqrp.Dqqyge(服務名)  vjazdbmzspiqjxmwio.監測和監視新硬件設備并自動更新設備驅動(服務描述)。

    大灰狼遠控木馬通過創建服務去下載挖礦木馬和執行遠控功能,下圖為下載挖礦木馬執行。

    5

    大灰狼遠控木馬的遠控功能特別齊全,且分布詳細,接收不同指令,執行不同功能,下圖為首層指令分支:

    6

    下圖展示了最頂層的部分指令功能解析:7

    下面就部分功能做下簡單說明,設置系統成為可以多用戶使用的3389端口遠程桌面:

    8

    鎖磁盤:

    9

    操作iexplore.exe訪問網頁:

    10

    安全軟件檢測,涉及國內外主流安全軟件:

    11

    設置全局鍵盤鉤子,對鍵盤輸入進行監控:

    12


    門羅幣挖礦木馬

    近年,隨著虛擬貨幣的暴漲,挖礦市場也是異?;鸨?。一些礦主為了謀取更多利益,他們制造了一大批挖礦木馬,用此去感染用戶機器,將用戶電腦作為肉雞,秘密進行挖礦。此挖礦主程序由xm.exe下載解密而來,分析發現它是由xmrig的開源代碼修改而來的,主要是對命令行參數進行了加解密處理,用此來規避安全監控。

    xm.exe為一個木馬下載器,主要功能如下:

        1.解密配置數據,創建副本程序C:\Windows\SystemBols\AppVNice.exe執行。

        2.將副本程序注冊為服務實現自啟動,服務名為Norporati Windows AppVNice。

        3.利用副本程序下載釋放C:\Windows\SystemBols\AppVNice.dll,AppVNice.dll會針對不同系統釋放不同的挖礦程序,然后啟動挖礦程序,秘密進行挖礦。挖礦文件主要為Systen32.exe,Systen64.exe,WinRing0x64.sys,它們都以明文的形式保存在   解密的AppVNice.dll末尾。

    xm.exe為了規避殺軟檢測,它還對釋放的AppVNice.exe和Systen32.exe進行了代碼膨脹,在文件末尾添加大量無用字符串,釋放的文件信息如下所示:

    13

    為了規避安全軟件的檢測,xm.exe的關鍵信息都是以密文的形式進行傳遞的,主程序的關鍵配置加密信息如下:

    14

    解密的配置主要為:

            事件名稱:huixingwa100

            副本信息:%SystemRoot%\SystemBols\AppVNice.exe

            下載服務器信息:mine.gsbean.com:8585

            服務信息:Norporati Windows AppVNice(服務名)Norporati Assemblies Windows AppVNice:Norporati Windows AppVNice the net.msmq and msmq(服務描述)

    挖礦相關的關鍵配置信息加密如下:

    15

    解密的配置主要為:

            命令行參數:-o poole.laofubtc.com:5560 -u CPU_V15.1_x32(20211011) -p x -k        -o poole.laofubtc.com:5561 -u CPU_V15.1_x64(20211011) -p x -k

            挖礦主程序信息:%ProgramFiles%\Microsoft SystelApp\.Systen32.exe..Systen64.exe

    根據命令行參數知,礦池為 poole.laofubtc.com:5560 ,挖礦登錄名為  CPU_V15.1_x32(20211011)

    挖礦主程序命令行如下:

    C:\Program Files\Microsoft SystelApp\Systen32.exe    X+yvH0cmzkNtaCq+sIYbyv/vpmlkQgSlfWZ7UjjcTLK7MKqeG6n++1p4UcmYCVq/OgJs9rxhG2Z0Yza9UmwRKBh0oKjhdjg=

    挖礦主程序執行如下:

    16


    總結

    近年,隨著游戲市場的火爆,衍生了一大批附屬產品,例如:破解、外掛、私服等。他們圍繞著游戲也有著相當龐大的用戶和市場,出于暴利和制作門檻入門要求低,經常被不法份子利用,將這些工具與一些木馬捆綁在一起傳播,用于秘密竊取用戶信息等。為了我們的電腦和信息安全,建議安裝殺軟進行實時監控。

    下圖為金山毒霸查殺該病毒截圖:

    17



    IOC(部分)

    HASH:

    d43dc46caf067003d9a4ac0236548daf

    e31d29c651310255ca0a8f3bea2244a6

    985631f2f688ad8bbe4840a199f8c884

    d988a09423318ab1dadafff1b4f27f1e

    8c19d83ff359a1b77cb06939c2e5f0cb

    21d5fb15675170dcb3f7ecc7aab5fbde

    8df242fd64a9d1fd8d94990d37b1b7c0

    3aaa7a0e443543214a43ac158fbde56b

    bc7a8dc12a8243ca0e637218da1cd3b7

    4f1a6c5cde0796b2632063bd8839fd72

    C2:

    http://yy.996is.com:30010

    http://mine.gsbean.com:8585

    URL:

    http://www.baihes.com:8282/xm.exe

    http://www.baihes.com:8282/cpa.exe

    http://xk1.996is.com:66/kj.dll

    http://xx.690tx.com:81/100w.exe

    http://110.42.8.91:88

    https://www.898my.com/


    上一篇:

    ? 你下面好湿夹得我好爽动态图_人妻中字视频中文乱码_秋霞无码久久久精品交换_女人流白水免费视频播放
    <code id="oaoes"></code>
  • <code id="oaoes"><label id="oaoes"></label></code>
  • <input id="oaoes"></input>
  • <label id="oaoes"><strong id="oaoes"></strong></label>