欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

门罗币挖矿&远控木马样本分析

来源:本站整理 作者:佚名 时间:2019-04-19 TAG: 我要投稿

近日,威胁情报小组在对可疑下载类样本进行分析时,发现一起门罗币挖矿+木马的双功能样本。该样本回在执行挖矿的同时,通过C2配置文件,到指定站点下载具有远控功能的样本,获取受害主机信息,并进一步控制受害主机。
详细分析过程
样本主体
样本主体文件采用的是360杀软的图标,并且文件描述信息为 “360主动防御服务模块”,诱导用户点击执行。

主体在执行时会释放拷贝自身到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SQLAGENTSA.exe,并继续执行。

拷贝自身并继续执行
SQLAGENTSA.exe 会在本地释放并执行名称为“VBS.vbs”和“AutoRun.vbs”的两个vbs脚本,同时还会联网下载挖矿程序,并读取C2配置文件,下载木马文件继续执行。

VBS.vbs脚本内容
该脚本的目的就是为了确保进程“SQLAGENTSN.exe”会一直在运行。“AutoRun.vbs”脚本的内容和“VBS.vbs”脚本的内容很相似,目的也是为了确保进程“SQLAGENTSN.exe”会一直在运行。
挖矿行为
样本中存在如下硬编码文件路径:

 登录站点可以发现,该站点为一个HFS下载站点:

针对cpu32.exe的文件进行分析,发现该文件实际是利用了开源代码XMRig2.11版本的门罗币挖矿程序。

该文件在下载到本地之后,本重命名为sqlagentc.exe,存放于C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下,并被启动执行。
启动参数为:
--donate-level 1 --max-cpu-usage 75 -o x.huineng.co:80 -u x.0309C -p x -k

sqlagentc.exe启动参数
同时在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下也发现了程序运行日志:

挖矿日志
其中CPU_log.txt 即为挖矿日志。

由日志可以确认,矿池地址为 x.huineng.co:80  ip地址为 154.92.19.164。
木马行为
该样本主体除了载挖矿程序进行挖矿之外,还会直接读取http://a.owwwa.com/mm/SQL.txt文件的内容,从中获取木马文件地址,然后下载木马文件到本地继续执行。

样本中硬编码的配置文件路径

SQL.txt的内容
登录到站点上之后,发现该站点也是一个HFS下载站点,文件列表如下:

其中startas.bat脚本负责将SQLAGENTSON.exe创建为服务,并且以“System”账户运行。

sqlbrowsers.exe会首先检查当前进程是不是以管理员权限运行,如果不是的话就以管理员权限再次启动进程,否则就解密并加载内存PE。

判断是不是管理员权限运行

加载内存DLL
内存DLL有一个导出函数StartAsFrameProcess,该DLL的主要功能都集中在这个函数中。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载