当前位置:主页 > 资料 >

贪狼Rootkit僵尸家族再度活跃:挖矿+DDOS+劫持+暗刷
栏目分类:资料   发布日期:2018-08-03   浏览次数:

导读:本文为去找网小编(www.7zhao.net)为您推荐的贪狼Rootkit僵尸家族再度活跃:挖矿+DDOS+劫持+暗刷,希望对您有所帮助,谢谢! 概述 “Ghost”盗版系统和系统激活工具一直都是国内病毒传播的

本文为去找网小编(www.7zhao.net)为您推荐的贪狼Rootkit僵尸家族再度活跃:挖矿+DDOS+劫持+暗刷,希望对您有所帮助,谢谢! 欢迎访问www.7zhao.net



概述

“Ghost”盗版系统和系统激活工具一直都是国内病毒传播的重要渠道之一,尤其以Rootkit/Bootkit类型的顽固病毒居多,此类病毒安装普遍早于安全软件,大多会通过内核层来隐藏保护自身模块,并凭借植入时机的先手优势和安全杀软进行深层对抗。

www.7zhao.net

近期通过“捕风”威胁感知系统监控,我们发现“贪狼”Rootkit僵尸家族在近2个月开始再次活跃,“贪狼”病毒一直都是盗版系统预装渠道中的活跃家族,早期变种可以追溯到2015年,起初主要用于主页劫持和流量暗刷,从我们的监控记录看,“贪狼”基本上每年都会有一次较大的活跃更新,在17年初曾被安全友商命名为“狼人杀”并分析曝光,短暂潜伏以后在17年9月份又出现过小幅更新,今年6月份开始“贪狼”家族开始再度活跃,除了Http(s)劫持模块不断加强外,开始顺应黑产潮流加入“门罗币”挖矿功能模块,并且在6月4号开始通过更新渠道下发“Hydra”DDOS木马插件,“贪狼”僵尸网络的威胁度和攻击性正在不断加强。 copyright www.7zhao.net

正文

“贪狼”Rootkit病毒主要通过ghost系统等渠道感染用户计算机,通过多种方式隐藏自身、对抗杀软,同时模块众多,功能灵活复杂。不同模块分别实现浏览器劫持、ddos攻击、加密货币挖矿、刷量等功能。根据检测到的感染量估算全国超过50万机器遭到感染。 www.7zhao.net

模块名 主要功能
Platform.dll 功能模块更新、加载等
ConsoleApplication8.dll 门罗币挖矿
HydraClient.dll DDOS攻击
StevenRobot.dll 上报、下拉配置
mLoader.dll 插件加载器
UserFramework.dll 插件核心框架、
KernelManager.dll 插件管理
HSManager.dll 主页劫持
WebBrowser.dll 后台广告刷量
AppManage64.dll 浏览器劫持
SSLHijack1.0.6-win64.dll HTTPS劫持
Hijack.dll 浏览器劫持
KernelHijack.sys 内核劫持模块

各模块通过联网下载到本地执行,被RC4或AES加密;且都有统一的导出名称BsProcessStartup、BsDllStartup、BsCleanup、BsEnvironment; 去找(www.7zhao.net欢迎您

本文来自去找www.7zhao.net

模块被注入到目标进程后直接调用BsProcessStartup或BsDllStartup;BsProcessStartup和BsDllStartup首先确定加载基址,并获取peb、teb相关信息初始化导出结构体BsEnvironment,然后进行重定位修复、导入表初始化、CRT初始化、添加异常处理表等前置工作,最后进入主功能函数。

copyright www.7zhao.net

模块自加载,自初始化流程: 去找(www.7zhao.net欢迎您

本文来自去找www.7zhao.net

由于模块众多,下面简单分析其中几个模块的主要行为。

copyright www.7zhao.net

核心驱动模块

1、驱动加了VMP壳保护,加载后注册进程回调、映像回调、注册表回调、关机回调,并创建3个内核线程;
2、通过进程回调APC注入内置Platform.dll到lsass.exe,Platform.dll执行真正的病毒行为;
3、映像回调拦截浏览器进程的杀软模块加载;
4、注册表回调保护自身驱动服务项;
5、关机回调回写自身驱动文件和注册表服务项
 内容来自www.7zhao.net 

copyright www.7zhao.net

R3层核心框架Platform.dll

该模块是驱动内置的模块,核心功能是加载挖矿模块和下载配置文件并更新其他模块。 www.7zhao.net

1、加载内置的ConsoleApplication8.dll(挖矿模块);

copyright www.7zhao.net

2、挂钩NtQuerySystemInformation(针对taskmgr.exe,进程名过滤);

内容来自www.7zhao.net

3、挂钩LdrLoadDll(针对360se.exe、360chrome.exe),过滤杀软的浏览器保护模块 去找(www.7zhao.net欢迎您

欢迎访问www.7zhao.net

4、访问C&C服务器,内置多个备用服务器地址;上传机器信息并下载配置文件, copyright www.7zhao.net

hxxps://client.115ww.com/api/_mv_bamboo.html?REV=0&RC=0&PID=3&CID=0&UID=0&VER=0&RM=&DMJ=0&DMN=0&DBL=0&UMJ=0&UMN=0&UBL=0&MID=&BW=64&NTMJ=6&NTMN=1&NTBL=7601&NTSPMJ=1&NTSPMN=0&NP=1&MM=2146951168&OSTC=1843198&SVSN=C6BDE606&SVFS=NTFS; 

本文来自去找www.7zhao.net

本文来自去找www.7zhao.net

配置文件解密后如下:

内容来自www.7zhao.net

欢迎访问www.7zhao.net

5、根据配置文件进一步下载其他模块并加载执行。 去找(www.7zhao.net欢迎您

内嵌“门罗币”挖矿模块ConsoleApplication8.dll

pdb路径:

本文来自去找www.7zhao.net

L:\github\ConsoleApplication8\x64\Release\ConsoleApplication8.pdb 
本文来自去找www.7zhao.net

1、 ConsoleApplication8.dll内置一个zip文件,包含config.json、start.cmd、xmrig.exe;

本文来自去找www.7zhao.net

2、 查询注册表 [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\KingsoftInternet Security]的值“UninstallString”,成功则直接返回,不进行挖矿; copyright www.7zhao.net

www.7zhao.net

3、 解压zip文件并加载挖矿模块进行挖矿;

copyright www.7zhao.net

4、 挖矿钱包和矿池地址如下:

本文来自去找www.7zhao.net

去找(www.7zhao.net欢迎您

浏览器劫持模块AppManage.dll

pdb路径:

www.7zhao.net

E:\Code\Ivipm\source\AppManger\AppManger\x64\Release\AppManage.pdb 
内容来自www.7zhao.net

通过APC方式被注入到进程,如果进程是360se.exe、360chrome.exe,则查找并删除文件sesafe.dll;

www.7zhao.net

去找(www.7zhao.net欢迎您

如果进程是以下杀软进程,则查找并删除文件QMProtect.dll、QMProtect64.dll、QMIESafeDll.dll、QMIESafeDll64.dll;如果进程名包含qqpc则直接退出进程。

copyright www.7zhao.net

欢迎访问www.7zhao.net

去找(www.7zhao.net欢迎您

如果进程是explorer.exe,则挂钩CreateProcessInternalW、RtlCreateProcessParameters、ZwCreateUserProcess、RtlCreateProcessParametersEx,对以下浏览器进程的命令行参数进行劫持;

copyright www.7zhao.net

去找(www.7zhao.net欢迎您

欢迎访问www.7zhao.net

同时还会向系统添加根证书,用于https劫持:

copyright www.7zhao.net

本文来自去找www.7zhao.net

DDOS攻击插件HydraClient.dll

pdb路径: 内容来自www.7zhao.net

C:\Users\Lon\source\repos\DDos\x64\Release\HydraClient.pdb 

欢迎访问www.7zhao.net

该模块通过APC方式被注入到进程wuauclt.exe,是DDOS攻击模块;CC地址为115.231.219.32;支持常见的DDOS攻击方式。 内容来自www.7zhao.net

内容来自www.7zhao.net

copyright www.7zhao.net

www.7zhao.net

附录IOC:

MD5

2ECEE431A394538DD8B451B147D684AD
 
www.7zhao.net

IP

115.231.219.32
 
去找(www.7zhao.net欢迎您

URL

hxxps://down.135h.com/save/chilli/DwYQ0YY0x6.jpg
hxxps://down.135h.com/save/chilli/CUYQ0YY0x6.jpg
hxxp://ix.135gg.com/api/_mcv_chillis.html
hxxp://client.135gg.com/api/_msv_software.html
hxxp://client.115ww.com/api/_mv_bamboo.html
hxxp://client.335dh.com/api/_mv_bamboo.html
hxxp://client.115ll.com/api/_mv_bamboo.html
 www.7zhao.net 

DOMAIN

ix2.135gg.com 欢迎访问www.7zhao.net

ix.135gg.com

copyright www.7zhao.net

ixs.115rr.com www.7zhao.net

lps.115rr.com www.7zhao.net

ixs.135h.com

欢迎访问www.7zhao.net

50star.com

copyright www.7zhao.net

tj.16610.com

本文来自去找www.7zhao.net

pp.fatdit.com www.7zhao.net

www.7zhao.net

ix.faafox.com 本文来自去找www.7zhao.net

client.faafox.com

copyright www.7zhao.net

aoyouw.cftmon.com 本文来自去找www.7zhao.net

osipad.fatdit.com 内容来自www.7zhao.net

bs.xobvb.com 去找(www.7zhao.net欢迎您

bs.unaout.com 内容来自www.7zhao.net

gang[1|2|3|5|6].info

欢迎访问www.7zhao.net

*本文作者:渔村安全,转载请注明来自 FreeBuf.COM

内容来自www.7zhao.net

copyright www.7zhao.net


本文原文地址:http://www.freebuf.com/articles/paper/178927.html

以上为贪狼Rootkit僵尸家族再度活跃:挖矿+DDOS+劫持+暗刷文章的全部内容,若您也有好的文章,欢迎与我们分享! 欢迎访问www.7zhao.net

Copyright ©2008-2017去找网版权所有   皖ICP备12002049号-2 皖公网安备 34088102000435号   关于我们|联系我们| 免责声明|友情链接|网站地图|手机版