九游会J9老哥俱乐部

  • <tr id='rjv1r'><strong id='wm80l'></strong> <small id='2nwb'></small><button id='6rqn1n'></button><li id='szabm'> <noscript id='xobg0'><big id='1we68n'></big><dt id='orlasz'></dt></noscript></li></tr> <ol id='1q191n'><option id='c0mbgn'><table id='hgtvu'><blockquote id='917g0x'> <tbody id='99j7'></tbody></blockquote></table></option></ol><u id='51bn3'></u><kbd id='wbk5'> <kbd id='fa4ls'></kbd></kbd>

    <code id='x25j'><strong id='c0qiz'></strong></code>

    <fieldset id='8m3ewn'></fieldset>
          <span id='2rz32o'></span>

              <ins id='edhnm'></ins>
              <acronym id='m720s5'><em id='4zv0j6'></em><td id='n42u3'><div id='yc4wb'></div></td></acronym><address id='my0o7'><big id='ggpk'><big id='gzbo04'></big><legend id='wq0ho'></legend></big></address>

              <i id='lv2m'><div id='8xvw'><ins id='jrcak'></ins></div></i>
              <i id='e0pav'></i>
            1. <dl id='0uod8'></dl>
              1. <blockquote id='owgucp'><q id='zpegm'><noscript id='ik1o'></noscript><dt id='jegl13'></dt></q></blockquote><noframes id='wymmlf'><i id='qtoya'></i>

                《魔域》私服暗藏远控木马和挖矿木马

                2021.10.28 来源:安全豹作者:安全豹

                事件概述

                近期,九游会J9老哥俱乐部捕风系统捕获了一批网络游戏《魔域》私服木马,该木马伴随着游戏登录器传播,会释放大灰狼远控和门罗币挖矿木马执行。大灰狼远控几乎可以完全操控用户系统,常被用来窃取用户信息和远程操控用户电脑,如操作账户、注册表、服务、进程、文件、摄像头、音频、监控桌面、监控键盘等。门罗币挖矿木马会将用户电脑作为肉鸡进行秘密挖矿,它不仅会大量侵占电脑资源,使电脑运行变得特别缓慢,还会损耗电脑硬件,缩短电脑使用寿命。

                追踪发现,该木马与其他安全厂商通报的BearMiner(灰熊矿业)、LaofuMiner("老虎”挖矿木马)同属一个家族。该家族以挖矿业为主,具有挖矿程序伪装系统文件,关键数据总体打包加密传递,程序膨胀变大等特点。该家族的踪迹可追踪到2018年,早期使用伪装欺骗方式传播挖矿木马,现阶段通过私服游戏捆绑后门下发大灰狼远控传播挖矿木马,一直保持活跃。

                1

                样本执行流程图

                捕获的部分登录器信息如下:

                2


                样本分析

                本次捕获的病毒源头为《魔域》私服登陆器,该私服登录器会在游戏目录释放后门文件tqlits.dat,tqlits.dat会在临时目录释放木马加载器net1024.exe,net1024.exe会下载启动大灰狼远控木马。大灰狼远控木马主要包括远程控制功能和下载木马加载器xm.exe功能,xm.exe会下载门罗币挖矿木马秘密进行挖矿。为了规避安全监控和安全分析,程序相关的主要信息都采用整体打包加密传递,算法采用异或和RC4结合。

                net1024.exe的核心功能为下:

                    1.解密配置数据,创建执行副本程序C:\ProgramFiles\Microsoft Obliqo\Dqaiqov.exe。
                    2.将副本程序注册为服务实现自启动,服务名为T210729.Wsfnvtkiposqrp.Dqqyge。
                    3.下载执行大灰狼远控木马,实现远控控制和下载挖矿木马执行。

                3

                捕获的私服官网图片


                大灰狼远控木马

                大灰狼远控作为木马界的主流远控,由于其功能齐全,有相应源码泄出,简单修改就可投入使用的特点,一直以来颇受恶意作者的钟爱。本样本为修改版的大灰狼远控,主要修改点是将服务器等主要配置信息整体打包加密,以参数的形式传递使用;增加了直接下载木马加载器下载挖矿木马执行功能。将主要配置数据进行整体打包加密传递,不仅可以隐藏数据,还可以更方便的更换配置数据,从而降低被安全软件发现。

                下面就大灰狼远控木马做下简单分析。

                为了规避安全监控,大灰狼远控模块以加密包的形式下发到本地,然后内存加载解密调用。涉及大灰狼远控模块的信息如下:

                        加密的URL和密钥: 4jNnIiz7AdVaqF0XDp1bKttqa9v4knGl6fn7RuC0hQ== ,Getong538。

                        解密的URL:http://xk1.996is.com:66/kj.dll。

                        保存路径: C:\Program Files\AppPatch\kj.dll。

                        解密kj.dll的信息:名称为NetSyst96.dll,导出函数包括DllFuUpgStop和DllFuUpgradrs。

                该远控会把远控的服务器、保存的副本、创建的服务等配置信息以加密数据的形式进行传递使用:

                4

                解密后的配置主要为:

                        远控服务器:yy.996is.com:30010,

                        文件副本信息:%ProgramFiles%\Microsoft Obliqo\.Dqaiqov.exe,

                        服务信息:T210729.Wsfnvtkiposqrp.Dqqyge(服务名)  vjazdbmzspiqjxmwio.监测和监视新硬件设备并自动更新设备驱动(服务描述)。

                大灰狼远控木马通过创建服务去下载挖矿木马和执行远控功能,下图为下载挖矿木马执行。

                5

                大灰狼远控木马的远控功能特别齐全,且分布详细,接收不同指令,执行不同功能,下图为首层指令分支:

                6

                下图展示了最顶层的部分指令功能解析:7

                下面就部分功能做下简单说明,设置系统成为可以多用户使用的3389端口远程桌面:

                8

                锁磁盘:

                9

                操作iexplore.exe访问网页:

                10

                安全软件检测,涉及国内外主流安全软件:

                11

                设置全局键盘钩子,对键盘输入进行监控:

                12


                门罗币挖矿木马

                近年,随着虚拟货币的暴涨,挖矿市场也是异常火爆。一些矿主为了谋取更多利益,他们制造了一大批挖矿木马,用此去感染用户机器,将用户电脑作为肉鸡,秘密进行挖矿。此挖矿主程序由xm.exe下载解密而来,分析发现它是由xmrig的开源代码修改而来的,主要是对命令行参数进行了加解密处理,用此来规避安全监控。

                xm.exe为一个木马下载器,主要功能如下:

                    1.解密配置数据,创建副本程序C:\Windows\SystemBols\AppVNice.exe执行。

                    2.将副本程序注册为服务实现自启动,服务名为Norporati Windows AppVNice。

                    3.利用副本程序下载释放C:\Windows\SystemBols\AppVNice.dll,AppVNice.dll会针对不同系统释放不同的挖矿程序,然后启动挖矿程序,秘密进行挖矿。挖矿文件主要为Systen32.exe,Systen64.exe,WinRing0x64.sys,它们都以明文的形式保存在   解密的AppVNice.dll末尾。

                xm.exe为了规避杀软检测,它还对释放的AppVNice.exe和Systen32.exe进行了代码膨胀,在文件末尾添加大量无用字符串,释放的文件信息如下所示:

                13

                为了规避安全软件的检测,xm.exe的关键信息都是以密文的形式进行传递的,主程序的关键配置加密信息如下:

                14

                解密的配置主要为:

                        事件名称:huixingwa100

                        副本信息:%SystemRoot%\SystemBols\AppVNice.exe

                        下载服务器信息:mine.gsbean.com:8585

                        服务信息:Norporati Windows AppVNice(服务名)Norporati Assemblies Windows AppVNice:Norporati Windows AppVNice the net.msmq and msmq(服务描述)

                挖矿相关的关键配置信息加密如下:

                15

                解密的配置主要为:

                        命令行参数:-o poole.laofubtc.com:5560 -u CPU_V15.1_x32(20211011) -p x -k        -o poole.laofubtc.com:5561 -u CPU_V15.1_x64(20211011) -p x -k

                        挖矿主程序信息:%ProgramFiles%\Microsoft SystelApp\.Systen32.exe..Systen64.exe

                根据命令行参数知,矿池为 poole.laofubtc.com:5560 ,挖矿登录名为  CPU_V15.1_x32(20211011)

                挖矿主程序命令行如下:

                C:\Program Files\Microsoft SystelApp\Systen32.exe    X+yvH0cmzkNtaCq+sIYbyv/vpmlkQgSlfWZ7UjjcTLK7MKqeG6n++1p4UcmYCVq/OgJs9rxhG2Z0Yza9UmwRKBh0oKjhdjg=

                挖矿主程序执行如下:

                16


                总结

                近年,随着游戏市场的火爆,衍生了一大批附属产品,例如:破解、外挂、私服等。他们围绕着游戏也有着相当庞大的用户和市场,出于暴利和制作门槛入门要求低,经常被不法份子利用,将这些工具与一些木马捆绑在一起传播,用于秘密窃取用户信息等。为了我们的电脑和信息安全,建议安装杀软进行实时监控。

                下图为九游会J9老哥俱乐部查杀该病毒截图:

                17



                IOC(部分)

                HASH:

                d43dc46caf067003d9a4ac0236548daf

                e31d29c651310255ca0a8f3bea2244a6

                985631f2f688ad8bbe4840a199f8c884

                d988a09423318ab1dadafff1b4f27f1e

                8c19d83ff359a1b77cb06939c2e5f0cb

                21d5fb15675170dcb3f7ecc7aab5fbde

                8df242fd64a9d1fd8d94990d37b1b7c0

                3aaa7a0e443543214a43ac158fbde56b

                bc7a8dc12a8243ca0e637218da1cd3b7

                4f1a6c5cde0796b2632063bd8839fd72

                C2:

                http://yy.996is.com:30010

                http://mine.gsbean.com:8585

                URL:

                http://www.baihes.com:8282/xm.exe

                http://www.baihes.com:8282/cpa.exe

                http://xk1.996is.com:66/kj.dll

                http://xx.690tx.com:81/100w.exe

                http://110.42.8.91:88

                https://www.898my.com/


                上一篇: