[病毒挖矿]浅析某公司挖矿样本

0x00 来源

近日在实战渗透网站学习的时候发现某网站存在类似于挂马的恶意行为 用户在访问目标网页的任何页面后自动下载名为Photo.scr的一个文件 通过分析发现这是一个可执行程序!

网页:http://web.m-victory.com:81

[病毒挖矿]浅析某公司挖矿样本 第1张

访问任意一个页面都会下载次程序

[病毒挖矿]浅析某公司挖矿样本 第2张

程序后缀为.scr 屏幕保护程序

通过winhex发现目标存在DOs

[病毒挖矿]浅析某公司挖矿样本 第3张

0x01

PEID查壳

[病毒挖矿]浅析某公司挖矿样本 第4张

样本行为

写开机自启动

[病毒挖矿]浅析某公司挖矿样本 第5张

[病毒挖矿]浅析某公司挖矿样本 第6张

内存共享

[病毒挖矿]浅析某公司挖矿样本 第7张

检测用户是否存在admin权限

[病毒挖矿]浅析某公司挖矿样本 第8张

获取IE等信息(注册表啊,缓存啊一堆乱七八糟的东西)

[病毒挖矿]浅析某公司挖矿样本 第9张

[病毒挖矿]浅析某公司挖矿样本 第10张

字符串拼接后 SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\InternetSettings

[病毒挖矿]浅析某公司挖矿样本 第11张

[病毒挖矿]浅析某公司挖矿样本 第12张

[病毒挖矿]浅析某公司挖矿样本 第13张

[病毒挖矿]浅析某公司挖矿样本 第14张[病毒挖矿]浅析某公司挖矿样本 第15张[病毒挖矿]浅析某公司挖矿样本 第16张

[病毒挖矿]浅析某公司挖矿样本 第17张

[病毒挖矿]浅析某公司挖矿样本 第18张

[病毒挖矿]浅析某公司挖矿样本 第19张

文件写入

[病毒挖矿]浅析某公司挖矿样本 第20张

并写入数据

[病毒挖矿]浅析某公司挖矿样本 第21张

内容

[病毒挖矿]浅析某公司挖矿样本 第22张

[病毒挖矿]浅析某公司挖矿样本 第23张

[病毒挖矿]浅析某公司挖矿样本 第24张

然后通过DeleteFileA删除文件

 

在临时目录生成一个pools.txt的文件

[病毒挖矿]浅析某公司挖矿样本 第25张

[病毒挖矿]浅析某公司挖矿样本 第26张

打开线程

[病毒挖矿]浅析某公司挖矿样本 第27张

[病毒挖矿]浅析某公司挖矿样本 第28张

[病毒挖矿]浅析某公司挖矿样本 第29张

[病毒挖矿]浅析某公司挖矿样本 第30张

[病毒挖矿]浅析某公司挖矿样本 第31张

[病毒挖矿]浅析某公司挖矿样本 第32张

[病毒挖矿]浅析某公司挖矿样本 第33张

获取IE安全设置

[病毒挖矿]浅析某公司挖矿样本 第34张

[病毒挖矿]浅析某公司挖矿样本 第35张

向临时目录写一个文件

并执行挖矿

[病毒挖矿]浅析某公司挖矿样本 第36张

[病毒挖矿]浅析某公司挖矿样本 第37张

上面的html解密后(应该是这样,个人认为是挖矿的 其实我也没什么思路 猜的)

[病毒挖矿]浅析某公司挖矿样本 第38张

调用shellExecuteExW 执行挖矿命令 

[病毒挖矿]浅析某公司挖矿样本 第39张

[病毒挖矿]浅析某公司挖矿样本 第40张

[病毒挖矿]浅析某公司挖矿样本 第41张

stratum+tcp://mine.moneropool.com:3333

stratum+tcp://monero.crypto-pool.fr:3333

stratum+tcp://xmr.prohash.net:7777

stratum+tcp://pool.minexmr.com:5555

stratum+tcp://europe.cryptonight-hub.miningpoolhub.com:20596

stratum+tcp://europe.cryptonight-hub.miningpoolhub.com:20596

 stratum+tcp://mine.moneropool.com:3333

stratum+tcp://monero.crypto-pool.fr:3333

stratum+tcp://xmr.prohash.net:7777

stratum+tcp://pool.minexmr.com:5555

stratum+tcp://europe.cryptonight-hub.miningpoolhub.com:20596 

 

 

 

 

 

 

 

抓包发现访问的地址

[病毒挖矿]浅析某公司挖矿样本 第42张

0x02

NsCpuCNMiner32.exe分析

[病毒挖矿]浅析某公司挖矿样本 第43张

IDA代码没得看 脱壳吧 

[病毒挖矿]浅析某公司挖矿样本 第44张

脱完壳后 IDA字符串里面发现点东西 基本确定这个是干嘛的了

[病毒挖矿]浅析某公司挖矿样本 第45张

挖挖挖!!!!!!!

[病毒挖矿]浅析某公司挖矿样本 第46张

[病毒挖矿]浅析某公司挖矿样本 第47张

[病毒挖矿]浅析某公司挖矿样本 第48张

0x03 后记

流程图

[病毒挖矿]浅析某公司挖矿样本 第49张

域名:qptest.ru,profetest.ru,hrtests.ru,stafftest.ru,prtests.ru,testpsy.ru,jobtests.ru,pstests.ru

,iqtesti.ru

IP:太多了 好像有四五百个

矿池:stratum+tcp://mine.moneropool.com:3333

stratum+tcp://monero.crypto-pool.fr:3333

stratum+tcp://xmr.prohash.net:7777

stratum+tcp://pool.minexmr.com:5555

stratum+tcp://europe.cryptonight-hub.miningpoolhub.com:20596

stratum+tcp://europe.cryptonight-hub.miningpoolhub.com:20596

 stratum+tcp://mine.moneropool.com:3333

stratum+tcp://monero.crypto-pool.fr:3333

stratum+tcp://xmr.prohash.net:7777

stratum+tcp://pool.minexmr.com:5555

stratum+tcp://europe.cryptonight-hub.miningpoolhub.com:20596 

 

42n7TTpcpLe8yPPLxgh27xXSBWJnVu9bW8t7GuZXGWt74vryjew2D5EjSSvHBmxNhx8RezfYjv3J7W63bWS8fEgg6tct3yZ -p

 

溯源(在哪下载的样本):东莞钱锋特殊胶粘制品有限公司

法定代表人:余聪明

注册资本:1800 万港币

境外的公司 给力奥!

公司地址:东莞市寮步镇浮竹山村

公司官网(也就是获取样本的地方):http://web.m-victory.com:81