门罗币挖矿软件 门罗挖矿木马的分析与溯源

0x00 序言

5 月底，大约是下个月，ms17-010 被滥用最多的时候，我在公司内部抓到了一个采矿样本。

以后，我会经常忙于做其他事情。大约上个月，八月底，我想我应该上去分析这个样本。我在下班后抽出时间分析和追踪了这个挖矿病毒，并在博客上介绍了分析。的过程。

0x01 样品介绍样品名称MD5

.exe

.exe

.exe

.exe

故意程序的主体是前四个程序，其他临时文件如tmp、dat就不一一列举了。

0x02.exe样本分析

此程序为蓄意程序门罗币挖矿软件，从地址：280下载恶意程序，修改防火墙设置，更改访问权限策略，然后执行恶意文件。

详细分析

首先杀死你自己的进程，确保它不会重复，所以关闭防火墙。

通过从地址：280下载程序.exe.exe.exe，将ip地址硬编码到源代码中，真是一个大心脏。

所以努力服务

这个程序会读取 wmic 并执行一堆命令，这些命令在找到进程后会被删除。这种进程似乎是故意伪装成近似系统文件名的硬件。此方法用于防止与当前程序发生冲突。或者可能会击败竞争对手或其他东西。

添加防火墙规则门罗币挖矿软件，包括打开3389、web服务端口、关闭445端口、你来后关闭其他人

截至9.12日，已下载超过10000次

0x03.exe样本分析

本程序是上一个程序.exe启动的服务程序，逐步以服务方式启动挖矿主程序.exe和.exe。

启动 .exe 和 .exe

0x04.exe样本分析

本程序为门罗币挖矿主程序，签名信息为B.V，挖矿地址为：8050:443

：443等门罗币挖矿软件，通过与域名的数据交互实现门罗币挖矿。

域相关信息

Whois 相关信息：

2017-05-09注册的域名，程序编译时间为2017年5月25日

由于隐私相关信息隐匿，无法看到真实注册人

挖矿服务器的域名和ip相关信息，ip近期多次更改，抓样时针对的ip地址为47.94. 136.87，现在9.17对齐的ip地址是98.126.8.106

详细分析

总体步骤是：

1.收集机器信息并初始化配置

2.创建句柄并提交json格式的信息

3.争取一个句柄，用它与矿池通信，切换相关挖矿机制等

4.争取一个定时器句柄，根据条件确定链接等

5.争取一个矿工手柄，进行挖矿工作

程序运行截图

初始化程序还需要变量等信息

手柄

通过合约，向门罗地址发起请求：8050,:443

发送登录信息

“登录”：“”“通过”：“x”

通过终端分配的任务ID，提交挖矿

挖矿大师手柄，开始挖矿

0x05.exe样本分析

本程序为木马主入口主程序，由Free Kill编译。该程序是在 2015 年 5 月早些时候编译的。

好久没碰这些坚固的贝壳了，也没有胆量自动拖动它们。让我们根据行为简要分析它们。

力求服务门罗币挖矿软件门罗币挖矿软件，经典遥控器

样本连接到以下地址

http://down.51-cs.cn/protect.dll
http://user.qzone.qq.com/12345678
http://qzone.qq.com/?s_url=http://user.qzone.qq.com/12345678  

dns恳求

down.51-cs.cn  162.159.211.78
dos.51-cs.cn   121.41.102.66
user.qzone.qq.com 2.21.243.64
qzone.qq.com  2.21.243.59

猜想用QQ空间作为C&C服务器，这个QQ空间的地址早就难访问了。仅作为 C&C 服务器。

whois 信息

全名黄xx门罗币挖矿软件，注册邮箱是

QQ号信息

黄xx从2015年开始一直使用这个域名作为C&C服务器，并且不断更换对应的ip。最近一次更新是2017-09-17，他的QQ个人描述也像一个C&C服务器命令。

通过在他的QQ空间中找到他的相机号码

支付宝账户只注册了这个邮箱

0x06 总结

挖矿木马很可能是通过MS17-010传播的，所以下载了木马和挖矿程序。

还好没有像smb一样在外网传播门罗币挖矿软件，不然后果会有点严重。

至于黄xx先生，黑的先把屁股擦干净，不然小心警察大哥请你喝茶。