stormii

stormii
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
深入解析新型加密货币挖矿恶意软件ZombieBoy Hydralab2018-08-14共70141人围观区块链安全
延续了2018年加密货币挖矿恶意软件的趋势，我发现了另一种类似于5月初发现的“MassMine”的挖矿恶意软件。我把这个家族称为ZombieBoy，因为它使用了一个名为ZombieBoyTools的工具来释放第一个dll。

与MassMiner类似，ZombieBoy也是一种利用漏洞进行传播的挖矿蠕虫。但也有与MassMiner不同的地方，ZombieBoy使用WinEggDrop而不是MassScan来搜索新主机。ZombieBoy目前仍在不断更新，我几乎每天能获取到新的样本。

ZombieBoy的执行流程概述如下：

zombie_6_620_348.png

域
ZombieBoy使用了多个运行HFS （http文件服务器）的服务器来获取有效载荷（payload）。经我确认的URL有如下几个：

l ca[dot]posthash[dot]org:443/

l sm[dot]posthash[dot]org:443/

l sm[dot]hashnice[dot]org:443/

此外，它似乎在dns[dot]posthash[dot]org中也有一个C2服务器。

漏洞利用
ZombieBoy在执行期间利用了多个漏洞：

l CVE-2017-9073，Windows XP和Windows Server 2003上的RDP漏洞

l CVE-2017-0143，SMB漏洞

l CVE-2017-0146，SMB漏洞

安装
ZombieBoy首先使用EternalBlue/DoublePulsar漏洞来远程安装主dll。用于安装这两个漏洞的程序被称为ZombieBoyTools，似乎源自中国。它使用简体中文作为自己的语言，并且已经被用来部署了多个中国恶意软件家族（例如，IRONTIGER APT版本的Gh0stRAT）。

zombie_1_620_332.png

ZombieBoyTools的截图

在成功执行DoublePulsar漏洞利用后，它会加载并执行恶意软件的第一个dll。这个dll的执行会导致从ca[dot]posthash[dot]org:443下载一个名为123.exe的文件，并将其保存到“C:\%WindowsDirectory%\sys.exe”，然后执行它。

设置
123.exe在执行时会进行多项操作。首先，它会从文件分发服务器下载第一个模块。根据对123.exe的代码分析，它将此模块引用为“64.exe”，但将其作为“boy.exe”保存到受害者设备上。在保存模块之后，它会对其进行执行。64.exe似乎负责分发ZombieBoy以及包含在其中的XMRIG矿工。

除了从其服务器下载模块外，123.exe还会释放并执行另外两个模块。其中一个模块在代码中引用为“74.exe”。它在受害者设备上保存为“C:\Program Files(x86)\svchost.exe”，这似乎是古老的Gh0stRAT的一种形式。

另一个模块在代码中引用为“84.exe”。它在受害者设备上保存为“C:\Program Files(x86)\StormII\mssta.exe”，似乎是一个未知来源的RAT。

64.exe
64.exe是ZombieBoy下载的第一个模块。64.exe使用了一些非常强大的反分析技术。首先，整个可执行文件使用了打包器Themida进行加密，这使得逆向工程变得非常困难。此外，在ZombieBoy的当前版本中，它会检测虚拟机，并在检测到虚拟机之后不再运行。

64.exe会将70多个文件释放到C:\Windows\IIS中，这些文件由XMRIG矿工、漏洞利用程序以及被它命名为CPUInfo.exe的自身副本组成。

64.exe通过连接到ip[dot]3222[dot]net来获取受害者的ip。然后使用WinEggDrop，一个轻量级TCP扫描程序来扫描网络，以寻找打开了端口445的更多的目标。它还会使用上面获得的IP以及本地IP来传播到本地网络以及公共IP网络中。

64.exe会使用DoublePulsar漏洞来安装SMB后门以及RDP后门。

zombie_2_618_153.png

DoublePulsar截图

另外，64.exe会使用XMRIG来挖掘门罗币（XMR）。在关闭minexmr.com上的一个地址之前，ZombieBoy以大约43KH/s的速度挖矿。根据当前的门罗币价格，这允许攻击者能够每月获得略高于1000美元的收入。

我已找到了另一个新地址，然而，ZombieBoy已经不再使用minexmr.com进行挖矿。

已知的地址：

l 42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw

l 49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ

通过使用strace，我发现64.exe正在获取有关受害者的信息，例如枚举操作系统的体系结构。

74.exe
74.exe是第一个被123.exe释放的模块，也是整个恶意软件的第二个模块。74.exe的基本功能是负责下载、解密和执行一个名为NetSyst96.dll的Gh0stRat dll。另外，74.exe还解密了一系列要传递给Netsyst96.dll的参数。

参数中的arguments对象如下：

1. Dns.posthash.org

2. 127.0.0.1

3. 5742944442

4. YP_70608

5. ANqiki cmsuucs

6. Aamqcygqqeqkia

7. Fngzxzygdgkywoyvkxlpv ldv

8. %ProgramFiles%/

9. Svchost.exe

10. Add

11. Eeie saswuk wso

zombie_3_620_387.png

解密过程截图

一旦74.exe解密了参数，它就会检查NetSyst96.dll是否已下载并保存到了C:\Program Files\AppPatch\mysqld.dll。它通过调用CreateFileA并将CreationDisposition设置为Open_Existing来完成此操作。如果找不到mysqld.dll，74.exe将打开与ca[dot]posthash[dot]org:443/的连接，并下载NetSyst96.dll，将其保存为C:\ProgramFiles\AppPatch\mysqld.dll。

NetSyst96.dll有两个导出函数：DllFuUpgraddrs和DllFuUpgraddrs1。在将NetSyst96.dll保存为mysqld.dll后，74.exe会在NetSyst96.dll中找到DllFuUpgraddrs，在调用它之前。

NetSyst96.dll
NetSyst96.dll通常是被加密的，对解密后的文件的分析返回了一些有趣的字符串，可用于识别它。例如，“Game Over Good Luck By Wind”和“jingtisanmenxiachuanxiao.vbs”。

zombie_4_620_538.png

字符串截图展示了一些被释放的文件

NetSyst96.dll可以捕获用户的屏幕截图、录制音频，甚至可以编辑剪贴板。此外，对字符串的分析显示，它导入了键盘按键，这是键盘记录程序的典型特征。首先，Netsyst96.dll会获取环境字符串路径并使用它创建路径C:\Program files (x86)\svchost.exe。接下来，使用CreateToolhelp32Snapshot和NetSyst96.dll在运行的进程中搜索Rundll32.exe，以确定它是否是第一次运行dll。

对于第一次运行，NetSyst96.dll进行了几项操作来创建持久性：

l 将74.exe的副本保存为C:\ProgramFiles(x86)\svchost.exe。

l 使用System/CurrentControlSet/Services/ANqikicmsuucs将“ANqiki cmsuucs”注册为服务。

l 启动服务后，运行svchost.exe。

l 将MARKTIME添加到注册表项，添加上次启动的时间。

l 使用来自CreateToolhelp32Snapshot的快照来搜索正在运行的svchost.exe进程。

l 如果未找到，则会启动它并返回搜索svchost.exe。

l 如果找到一个，将维持svchost.exe的运行。

l 如果找到多个，会调用一个函数来创建一个vbs脚本，以删除额外的svchost.exe。

在连续运行时，NetSyst96.dll更关心的是连接到C2服务器：

1. 查找并验证“System/CurrentControlSet/Services/ANqiki cmsuucs”是否存在。

a) 如果不存在，它会创建一个这样的键值。

b) 如果存在，则会往下执行步骤2。

2. 创建名为“Eeie saswuk wso”的事件。

3. 枚举并更改输入桌面。

4. 将C2服务器IP传递给C2 URL（dns[dot]posthash[dot]org）。

5. 启动WSA（winsock 2.0）。

6. 连接到www[dot]ip123[dot]com[dot]cn并获取dns[dot]posthash[dot]org的ip。

a) 实际的IP可能会发生变化，但到目前为止仍是211.23.47[dot]186。

7. 重置事件。

8. 连接到C2服务器并等待命令。

虽然触发此函数的命令未知，但我确实发现了一个包含31个选项的switch-case，它似乎是NetSyst96.dll的命令选项。有关这个31个选项中部分选项的深入分析，请参阅附录。

84.exe
84.exe是由123.exe释放的第二个模块，也是整个恶意软件的第三个模块。与74.exe类似，它似乎是一个RAT。然而，这也是唯一的相似之处。与74.exe不同，84.exe不需要下载任何其他库，而是从其自己的内存中解密并执行Loader.dll。此外，84.exe会使用一个函数来解密Loader.dll，包括为每个需要解密的字符抛出异常。

其他运行信息：

· 将用户的环境字符串设置为C:\Program Files(x86)\StormII\。

此外，一旦调用了Loader.dll，84.exe就会通过一个名为“Update”的函数将一系列变量传递给Loader.dll。

变量：

1. ChDz0PYP8/oOBfMO0A/0B6Y=

2. 0

3. 6gkIBfkS+qY=

4. dazsks fsdgsdf

5. daac gssosjwayw

6. |_+f+

7. fc45f7f71b30bd66462135d34f3b6c66

8. EQr8/KY=

9. C:\Program Files(x86)\StormII

10. Mssta.exe

11. 0

12. Ccfcdaa

13. Various integers

在传递给Loader.dll的字符串中，有三个是加密的。解密后的字符串如下：

1. [ChDz0PYP8/oOBfMO0A/0B6Y=] =”dns[dot]posthash[dot]org”

2. [6gkIBfkS+qY=] =”Default”

3. [EQr8/KY=] = “mdzz”

Loader.dll
Loader.dll是一个具有一些有趣功能的RAT，例如搜索CPU写入速度的能力，以及搜索系统中的防病毒软件。

它由84.exe启动，Loader.dll执行的第一件事是从84.exe中的“Update”获取变量。此时，Loader.dll创建了几个重要的运行时对象（runtime object）：

l 名为Null的不可靠、无信号、自动重置事件，句柄：0×84。

l 用于执行操作DesktopInfo的函数的线程。

l 一个具有句柄0x8C和标记DF_ALLOWOTHERACCOUNTS的inputDesktop，它被设置为调用线程的Desktop。

然后，Loader.Dll会在SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf中搜索系统中的“dazsksfsdgsdf”，用于确定这是否是第一次运行恶意软件。

首次运行：

l Loader.dll会使用ImagePath = C:\Program Files(x86)\StormII\mssta.exe来创建服务DazsksFsdgsdf。

l Loader.dll会尝试运行新创建的服务。如果尝试成功，则继续主循环。如果不成功，则退出。

zombie_5_620_195.png

接下来，Loader.Dll将进行以下操作：

l 使用参数DazsksFsdgsdf启动services.exe服务。

l 继续第一次运行中提到的主循环。

在检查了循环序号之后，Loader.dll将进入程序的主循环。

主循环：

l 创建一个名为“ccfcdaa”的不可靠、自动重置、无信号的事件，句柄为0x8C。

l 解密ChDz0PYP8/oOBfMO0A/0B6Y=to ‘dns[dot]posthash[dot]org’。

l 启动WinSock对象。

l 使用句柄0×90创建名为null的不可继承、无信号、手动重置事件对象。

l 汇编 Get 请求：“Get/?ocid = iefvrt HTTP/1.1”。

l 连接到dns[dot]posthash[dot]org:5200。

l 使用GetVersionEx获取有关操作系统的信息。

l 加载ntdll.dll并调用RtlGetVersionNumbers。

l 将System\CurrentControlSet\Services\(null)保存到注册表。

l 获取套接字名称。

l 使用Hardware\Description\System\CentralProcessor\取CPU刷新速度

l 调用GetVersion以获取系统信息。

l 调用GlobalMemoryStatusEx以获取可用全局内存的状态。

l 使用GetDriveTypeA枚举从“A:/”开始的所有可用磁盘驱动器。

l 获取每个枚举驱动器上可用的总可用空间量。

l 初始化COM库。

l 使用marktime函数将当前时间追加到服务“dazsksfsdgsdf”。

l 获取在WOW64下运行的系统的系统信息。

l 使用大多数中文防病毒软件文件名和CreateToolHelp32Snapshot列表，创建正在运行的进程的快照，然后识别任何正在运行的防病毒程序。

l 解密EQr8/KY= to“mdzz”。

l 将上面获得的所有数据发送到在dns[dot]posthash[dot]org:5200中的C2服务器。

缓解措施
想要减轻ZombieBoy攻击所带来的影响的最佳方法是一如既往地避免被攻击，这就是为什么我建议你将系统更新到最新版本的原因。具体来说，MS17-010补丁将有助于阻断恶意软件的传播。

如果你被不幸被ZombieBoy感染了，那么你应该做的第一件事就是深呼吸几次。接下来，我建议使用你使用防病毒软件扫描你的系统。

在扫描完成之后，你应该找出并终止ZombieBoy当前正在运行的任何已知的进程，例如：

l 123.exe

l 64.exe

l 74.exe

l 84.exe

l CPUinfo.exe

l N.exe

l S.exe

l Svchost.exe （注意文件的位置。任何不来自C:\Windows\System32的Svchost.exe进程都应被终止）。

此外，删除以下注册表项：

l SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf

l SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc

同样的，删除所有被恶意软件释放的文件，例如：

l C:\%WindowsDirectory%\sys.exe

l C:\windows\%system%\boy.exe

l C:\windows\IIS\cpuinfo.exe

l 在IIS中释放的70多个文件

l C:\Program Files(x86)\svchost.exe

l C:\Program Files\AppPatch\mysqld.dll

l C:\Program Files(x86)\StormII\mssta.exe

l C:\Program Files(x86)\StormII\*

IOCs
样本 MD5 文件大小 IP IOC
ZombieBoy[主Dll] 842133ddc2d57fd0f78491b7ba39a34d 82.4kb – –
123.exe 7327ef046fe62a26e5571c36b5c2c417 782.3kb 下载自： ca.posthash[dot]org:443 C:\%WindowsDirectory%\sys.exe
[Injector123] 785a7f6e1cd40b50ad788e5d7d3c8465 437.9kb – –
64.exe 79c6ead6fa4f4addd7f2f019716dd6ca 6.4MB 挖矿服务器： Minexmr.com 下载自： ca.posthash[dot]org:443/ sm.posthash[dot]org:443/ C:\windows\%system%\boy.exe C:\windows\IIS\cpuinfo.exe 漏洞利用必要的文件和 WinEggDrop被释放到 C:\windows\IIS
74.exe 38d7d4f6a712bff4ab212848802f5f9c 9.7kb C2服务器： dns.posthash[dot]org:52009/ C:\Program Files(x86)\svchost.exe SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc
Netsyst96.dll 6de21f2fd11d68b305b5e10d97b3f27e 1.0MB 下载自： ca.posthash[dot]org:443/ C2服务器： Dns.posthash[dot]org:52009/ C:\Program Files\AppPatch\mysqld.dll,
84.exe 91ebe2de7fcb922c794a891ff8987124 334.7kb C2 服务器： dns.posthash[dot]org:5200/ C:\Program Files(x86)\StormII\mssta.exe SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf C:\Program Files(x86)\StormII\*
Loader.dll 9a46a3ae2c3762964c5cbb63b62d7dee 135.2kb C2服务器： dns.posthash[dot]org:5200/ SYSTEM/CurrentControlSet/Services/(null); 查询的文件： Hardware\Description\System\CentralProcessor\ ; SYSTEM/CurrentControlSet/Services/BITS;
*本文作者：Hydralab，转载请注明来自FreeBuf.COM

Hydralab
Hydralab
13 篇文章
等级： 4级
||
上一篇：看Hidden Bee如何利用新型漏洞进行传播下一篇：Last Winner的最后赢家：智能合约超大规模黑客攻击手法曝光
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Hydralab
Hydralab

这家伙太懒，还未填写个人描述！

13
文章数
1
评论数
最近文章
技术讨论 | 如何利用Microsoft Edge漏洞获取本地文件？
2018.09.06

DarkHydrus使用Phishery在中东地区窃取凭证
2018.09.02

利用Marap downloader收集系统信息，TA505要搞大事情？
2018.08.27

浏览更多
相关阅读
一款使用RTF文件作为传输向量的恶意软件分析BUF早餐铺 | 全球信息安全支出连年上涨；陕西西安破获一起网络黑客盗窃虚拟货币案；阿里AI鉴黄师上线精通NSA十八般兵器的NSAFtpMiner矿工来了，已有3万台电脑中招2015 Android 恶意软件威胁报告（上）：Android 勒索软件和 SMS 木马造成的威胁日益严峻MMD-0053-2016：ELF/STD IRC Bot恶意软件分析
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

stormii

文章评论