《魔域》私服暗藏远控木马和挖矿木马

2021.10.28 来源:安全豹作者:安全豹

事件概述

近期,金山毒霸捕风系统捕获了一批网络游戏《魔域》私服木马,该木马伴随着游戏登录器传播,会释放大灰狼远控和门罗币挖矿木马执行。大灰狼远控几乎可以完全操控用户系统,常被用来窃取用户信息和远程操控用户电脑,如操作账户、注册表、服务、进程、文件、摄像头、音频、监控桌面、监控键盘等。门罗币挖矿木马会将用户电脑作为肉鸡进行秘密挖矿,它不仅会大量侵占电脑资源,使电脑运行变得特别缓慢,还会损耗电脑硬件,缩短电脑使用寿命。

追踪发现,该木马与其他安全厂商通报的BearMiner(灰熊矿业)、LaofuMiner("老虎”挖矿木马)同属一个家族。该家族以挖矿业为主,具有挖矿程序伪装系统文件,关键数据总体打包加密传递,程序膨胀变大等特点。该家族的踪迹可追踪到2018年,早期使用伪装欺骗方式传播挖矿木马,现阶段通过私服游戏捆绑后门下发大灰狼远控传播挖矿木马,一直保持活跃。

1

样本执行流程图

捕获的部分登录器信息如下:

2


样本分析

本次捕获的病毒源头为《魔域》私服登陆器,该私服登录器会在游戏目录释放后门文件tqlits.dat,tqlits.dat会在临时目录释放木马加载器net1024.exe,net1024.exe会下载启动大灰狼远控木马。大灰狼远控木马主要包括远程控制功能和下载木马加载器xm.exe功能,xm.exe会下载门罗币挖矿木马秘密进行挖矿。为了规避安全监控和安全分析,程序相关的主要信息都采用整体打包加密传递,算法采用异或和RC4结合。

net1024.exe的核心功能为下:

    1.解密配置数据,创建执行副本程序C:\ProgramFiles\Microsoft Obliqo\Dqaiqov.exe。
    2.将副本程序注册为服务实现自启动,服务名为T210729.Wsfnvtkiposqrp.Dqqyge。
    3.下载执行大灰狼远控木马,实现远控控制和下载挖矿木马执行。

3

捕获的私服官网图片


大灰狼远控木马

大灰狼远控作为木马界的主流远控,由于其功能齐全,有相应源码泄出,简单修改就可投入使用的特点,一直以来颇受恶意作者的钟爱。本样本为修改版的大灰狼远控,主要修改点是将服务器等主要配置信息整体打包加密,以参数的形式传递使用;增加了直接下载木马加载器下载挖矿木马执行功能。将主要配置数据进行整体打包加密传递,不仅可以隐藏数据,还可以更方便的更换配置数据,从而降低被安全软件发现。

下面就大灰狼远控木马做下简单分析。

为了规避安全监控,大灰狼远控模块以加密包的形式下发到本地,然后内存加载解密调用。涉及大灰狼远控模块的信息如下:

        加密的URL和密钥: 4jNnIiz7AdVaqF0XDp1bKttqa9v4knGl6fn7RuC0hQ== ,Getong538。

        解密的URL:http://xk1.996is.com:66/kj.dll。

        保存路径: C:\Program Files\AppPatch\kj.dll。

        解密kj.dll的信息:名称为NetSyst96.dll,导出函数包括DllFuUpgStop和DllFuUpgradrs。

该远控会把远控的服务器、保存的副本、创建的服务等配置信息以加密数据的形式进行传递使用:

4

解密后的配置主要为:

        远控服务器:yy.996is.com:30010,

        文件副本信息:%ProgramFiles%\Microsoft Obliqo\.Dqaiqov.exe,

        服务信息:T210729.Wsfnvtkiposqrp.Dqqyge(服务名)  vjazdbmzspiqjxmwio.监测和监视新硬件设备并自动更新设备驱动(服务描述)。

大灰狼远控木马通过创建服务去下载挖矿木马和执行远控功能,下图为下载挖矿木马执行。

5

大灰狼远控木马的远控功能特别齐全,且分布详细,接收不同指令,执行不同功能,下图为首层指令分支:

6

下图展示了最顶层的部分指令功能解析:7

下面就部分功能做下简单说明,设置系统成为可以多用户使用的3389端口远程桌面:

8

锁磁盘:

9

操作iexplore.exe访问网页:

10

安全软件检测,涉及国内外主流安全软件:

11

设置全局键盘钩子,对键盘输入进行监控:

12


门罗币挖矿木马

近年,随着虚拟货币的暴涨,挖矿市场也是异常火爆。一些矿主为了谋取更多利益,他们制造了一大批挖矿木马,用此去感染用户机器,将用户电脑作为肉鸡,秘密进行挖矿。此挖矿主程序由xm.exe下载解密而来,分析发现它是由xmrig的开源代码修改而来的,主要是对命令行参数进行了加解密处理,用此来规避安全监控。

xm.exe为一个木马下载器,主要功能如下:

    1.解密配置数据,创建副本程序C:\Windows\SystemBols\AppVNice.exe执行。

    2.将副本程序注册为服务实现自启动,服务名为Norporati Windows AppVNice。

    3.利用副本程序下载释放C:\Windows\SystemBols\AppVNice.dll,AppVNice.dll会针对不同系统释放不同的挖矿程序,然后启动挖矿程序,秘密进行挖矿。挖矿文件主要为Systen32.exe,Systen64.exe,WinRing0x64.sys,它们都以明文的形式保存在   解密的AppVNice.dll末尾。

xm.exe为了规避杀软检测,它还对释放的AppVNice.exe和Systen32.exe进行了代码膨胀,在文件末尾添加大量无用字符串,释放的文件信息如下所示:

13

为了规避安全软件的检测,xm.exe的关键信息都是以密文的形式进行传递的,主程序的关键配置加密信息如下:

14

解密的配置主要为:

        事件名称:huixingwa100

        副本信息:%SystemRoot%\SystemBols\AppVNice.exe

        下载服务器信息:mine.gsbean.com:8585

        服务信息:Norporati Windows AppVNice(服务名)Norporati Assemblies Windows AppVNice:Norporati Windows AppVNice the net.msmq and msmq(服务描述)

挖矿相关的关键配置信息加密如下:

15

解密的配置主要为:

        命令行参数:-o poole.laofubtc.com:5560 -u CPU_V15.1_x32(20211011) -p x -k        -o poole.laofubtc.com:5561 -u CPU_V15.1_x64(20211011) -p x -k

        挖矿主程序信息:%ProgramFiles%\Microsoft SystelApp\.Systen32.exe..Systen64.exe

根据命令行参数知,矿池为 poole.laofubtc.com:5560 ,挖矿登录名为  CPU_V15.1_x32(20211011)

挖矿主程序命令行如下:

C:\Program Files\Microsoft SystelApp\Systen32.exe    X+yvH0cmzkNtaCq+sIYbyv/vpmlkQgSlfWZ7UjjcTLK7MKqeG6n++1p4UcmYCVq/OgJs9rxhG2Z0Yza9UmwRKBh0oKjhdjg=

挖矿主程序执行如下:

16


总结

近年,随着游戏市场的火爆,衍生了一大批附属产品,例如:破解、外挂、私服等。他们围绕着游戏也有着相当庞大的用户和市场,出于暴利和制作门槛入门要求低,经常被不法份子利用,将这些工具与一些木马捆绑在一起传播,用于秘密窃取用户信息等。为了我们的电脑和信息安全,建议安装杀软进行实时监控。

下图为金山毒霸查杀该病毒截图:

17



IOC(部分)

HASH:

d43dc46caf067003d9a4ac0236548daf

e31d29c651310255ca0a8f3bea2244a6

985631f2f688ad8bbe4840a199f8c884

d988a09423318ab1dadafff1b4f27f1e

8c19d83ff359a1b77cb06939c2e5f0cb

21d5fb15675170dcb3f7ecc7aab5fbde

8df242fd64a9d1fd8d94990d37b1b7c0

3aaa7a0e443543214a43ac158fbde56b

bc7a8dc12a8243ca0e637218da1cd3b7

4f1a6c5cde0796b2632063bd8839fd72

C2:

http://yy.996is.com:30010

http://mine.gsbean.com:8585

URL:

http://www.baihes.com:8282/xm.exe

http://www.baihes.com:8282/cpa.exe

http://xk1.996is.com:66/kj.dll

http://xx.690tx.com:81/100w.exe

http://110.42.8.91:88

https://www.898my.com/


上一篇: