请选择 进入手机版 | 继续访问电脑版

“比特币病毒”再次出现,伪造微软企业签名挖矿转移比特币!

今日币价
btc$9,178/ eth$740/Eos$17.7
近年来,比特币等数字货币的火爆导致了病毒黑客纷至沓来,他们利用各种方法来牟取利益,其中主要包括两种,一种是利用勒索病毒直接向用户勒索比特币,另一种是利用挖矿病毒让感染用户挖掘比特币,这两种方法严重威胁所有网民上网安全。
1525843953929a092c9af33.jpg
2017年5月,一款名为WannaCry的勒索病毒席卷全球,包括中国、美国、俄罗斯及欧洲在内的100多个国家;
2017年6月,“Petya(彼佳)”新型勒索病毒再度肆虐全球,影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等;
2017年10月,新型勒索病毒BadRabbit又在东欧爆发,乌克兰、俄罗斯等企业及基础设施受灾严重。
勒索病毒变得越来越猖獗与复杂,各大勒索事件之所以选择比特币作为赎金,主要因为比特币具有便捷性和隐匿性,大部分国家很难监管,这就会导致不法分子利用勒索病毒向用户勒索比特币进行交易,从而导致比特币越来越热,勒索病毒也越来越多。
不法分子除了通过勒索软件直接勒索比特币外,还会通过挖矿病毒获取比特币。不法分子利用2017年新曝出的各种漏洞,如windows系统的MS17-010,Struts 2的S2-045、S2-046,weblogic的反序列化漏洞等,疯狂在网络上抓取各种肉鸡。在以往这些肉鸡都会被用来进行DDOS活动,但是在今年这些肉鸡大部分都被用来挖矿。
随着参与者的增加,催生出一种使用浏览器挖矿的技术手段Coinhive,当有用户访问该网页,挖矿程序就会在网民的电脑上工作,占用大量系统资源,导致CPU利用率突然提升,甚至高达100%。Coinhive这种技术的产生,受到不法分子的广泛关注,各路攻击者攻陷正常网站挂载JS脚本,替换广告脚本,通过劫持流量和搭建钓鱼网站等手段在用户浏览器疯狂的掘币,严重威胁所有网民的上网安全。
由于挖矿类木马病毒并不会破坏用户电脑中的资料、数据,因此,它并不会像勒索病毒一样导致用户重要数据丢失,出现资料无法找回的情况。挖矿类木马病毒只会潜伏在用户的电脑中,定时启动挖矿程序进行计算,大量消耗用户电脑资源,导致用户电脑性能变低,运行速度变慢,使用寿命变短等。由于这种病毒的非破坏性和隐蔽性,即使用户电脑中毒也不会像勒索病毒一样即时感知到。

近日,火绒实验室截获新型后门病毒。该病毒破坏性极强,入侵用户电脑后会执行多种病毒模块,以窃取用户比特币、门罗币等主流虚拟货币的数据信息,同时利用用户电脑疯狂挖矿(生产"门罗币"),并且还会通过远程操控伺机对用户进行勒索。
另外,病毒团伙非常狡猾,不仅使用了隐蔽性很强的"无文件加载"技术,令普通用户难以察觉,而且还伪造了亚马逊、微软以及火绒的数字签名,成功躲过了国内绝大多数安全软件的查杀。目前"火绒安全软件"最新版可对该后门病毒进行拦截和查杀。
关于火绒团队:火绒是一个纯粹、专注的终端安全技术公司(PC、手机等所有信息终端),坚持自主开发终端安全核心技术和产品。火绒以“让所有人都可以安全、安静、自由地使用智能终端设备”为企业使命,以“中国信息安全第一品牌”作为企业成长愿景。
火绒查杀截图

下面是事件详情
火绒已截获到病毒样本,该病毒会通过访问C&C服务器下载执行多种病毒模块,病毒模块功能包括:挖矿、勒索、信息窃取。该病毒运行之后首先会执行3个远程脚本,分别下载勒索病毒,挖矿病毒,并且还可能会下载间谍病毒。勒索病毒会常驻后台,等待勒索时机。挖矿病毒会首先由evil.js直接下载下来,然后伪装成为explorer.exe加参数运行。ps5.sct实现核心功能,负责后续的主机信息收集,服务端指令的执行,从目前服务器返回的数据来看,只是用于挖矿命令的下发。
病毒恶意行为流程图,如下图所示:
该病毒执行后,会执行远程恶意VBScript脚本和SCT脚本。

下文针对病毒所下载执行的多个脚本文件进行详细分析
ps5.sct
ps5.sct是一个混淆过的SCT脚本,作为payload,由regsvr32远程执行,利用powershell结合dotnet的静态方法来创建子线程执行shellcode,该shellcode会向ssl2.blockbitcoin.com请求数据,下载一个pe结构异常的恶意dll,该dll会从远程服务器获取命令然后执行,在火绒分析的时候,服务器派发命令是挖矿命令。
解密后的ps5.sct相关代码,如下图所示:
解密后的脚本代码
以上shellcode下载的恶意dll的Getcommand_and_run函数实现联网获取服务器指令。
病毒代码
通过动态调试发现恶意dll偏移0x305252E处调用网络操作相关API,连接网站ssl2.blockbitcoin.com。压栈的内容,如下图所示:
病毒代码reg99.sct:
reg99.sct也是一个混淆过的SCT脚本,作为payload,由regsvr32远程执行,会根据系统的架构决定执行var_func(32bit) 还是 va_func2(64bit),这两个函数会释放出不同版本的evil.js,从而下载对应的挖矿病毒,相关代码逻辑,如下图所示:
解密后的脚本代码
挖矿病毒(文件名:explorer.exe,与资源管理器进程名一致)相关关键数据,如下图所示:
截至2018年5月8日,根据钱包地址查询到结果,如下图所示:
钱包收益截图
通过行为分析可以看出:
1.每5分钟执行一次 reg9.sct 中的恶意代码,用以保证挖矿行为正常运行。命令如下图所示:
2.利用wmi执行下载并运行挖矿病毒与勒索病毒。命令如下图所示:
sp.txt
sp.txt是一个经过混淆的VBScript病毒脚本,脚本会下载执行勒索病毒(文件名:core.scr)。解密后的脚本代码,如下图所示:
勒索病毒相关关键数据,如下图所示:
勒索病毒加密使用用RSA非对称加密。公钥数据,如下图所示:
尝试终止如下exe程序,如下图所示:
该程序初始化了字符串表,保存了常见数据库主程序名,通过循环调用结束进程函数,将这些程序进程结束,从而取消文件占用。
加密如下文件后缀,如下图所示:
在火绒的测试过程中发现,由于远程脚本会发生改变,还有可能下载该间谍病毒, 该病毒让浏览器安装adblockplus插件,通过向js文件写入片段代码,实现过滤用户比特币钱包信息,用于窃取用户信息。
间谍病毒(文件名:SVTHOST.EXE)相关关键数据,如下图所示:
经过火绒多次下载发现,该病毒功能总体不变,但是签名信息等频繁发生变化,可能是为了实现免杀,其证书签名都是同属于一家CA,签名者通常被伪造成其他知名软件厂商名字,如:微软、亚马逊、火绒。
第一次下载得到的程序的签名信息
第二次下载得到的程序的签名信息
第三次下载得到的程序的签名信息

溯源分析
火绒在病毒样本资源的版本信息中发现,其语言版本是简体中文,如下图所示:
病毒还在文件信息中将自己伪装为"金山安装工具",如下图所示:
文件属性中的"文件说明"翻译为:"金山安装工具"
从病毒远程下载的某个样本中,火绒发现伪造的数字签名包含有中国厂商,如下图所示:
伪造的"火绒"签名
通过上述信息,火绒认为该病毒的编写作者为中国人可能性较高
此外,除了本文提到的病毒,火绒此前还发现过“TrickBot”、52pk.com病毒等可能对用户银行账户,比特币账户信息进行窃取的病毒。
如果近期浏览过危险、异常网站,可以通过"火绒安全软件"对该后门病毒进行拦截和查,以防比特币丢失。
关注公号区块链福利社,在后台回复“区块链”
200份千元区块链全套秘籍限量抢
关注公众号:区块链福利社(blockchainfls),免费获取区块链学习资料
回复

使用道具 举报

大神点评2

xia130588 2018-5-10 17:07:42 显示全部楼层
想做基于以太坊智能合约ERC20代币 写白皮书做官网 交易所售卖的加我qq 1127226095
回复 支持 反对

使用道具 举报

糖果小次郎 2018-5-12 16:57:58 显示全部楼层
空投?撸羊毛?领糖果?
你是否有留意过?
传奇神话,币圈从来不缺?
ENU没把握住那下一个呢?
空投☞ candy365.io
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则