腾讯御见威胁情报中心监测到“贪吃蛇”挖矿木马团伙针对MS SQL服务器进行暴破攻击，攻击成功后利用多个提权工具进行提权，随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术，可绕过大部分软件防火墙，多次利用大厂商白文件进行攻击。【转】

0x2.1 C2

• aaaa.usa-138.com

• http://sql.4i7i.com/32.exe

• http://4i7i.com/11.exe

• o.ry52cc.cn,aaaa.usa-138.com

• o.ry52cc.cn

• vtqq.f3322.net

• www.memejerry.top

• syw520.3322.org

• http://sql.4i7i.com/64.exe

0x2.2 SHA256

• 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf

• 86c2b941b1f9ad3b461ca4902f7920b68180bc0f8cf9e7ed53e34a8971e3f95a

• bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22

• 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624

• abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1

• 7538b643ed550032aad2c11e650c51d7c261cf8c714c34bd636164a7518184c0

• 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624

• e8c726d1301ac3cdbf2532f5d54e93fc7620cab76381b35ac5f6c5990b19efa1

• d56fc3208cace3c87a7ce2b3520519ee8003c4324bb8da6aaf3c8c629a5eef6d

• abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1

• 6e81d7c71b3e8d731e11ad75d3dac02a4210c9f90fac618af5c00cbce3718658

• 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf

1）下载多个恶意文件或者白加黑文件，如mscorsvws.exe，aspnet_wp.exe等

2）链接aaaa.usa-138.com，与C2进行交互

3）链接http://sql.4i7i.com/和http://4i7i.com/释放后门程序和挖矿程序

4）创建服务用于常驻

5）执行挖矿操作

0x4.1：主体样本

1）得到的原始样本SHA值为bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22，加了UPX的壳，脱去外壳得到样本。

2）判断是否是管理员用户，如果是管理员用户会执行如3-11的操作。

3）创建一个名为clr_optimization的服务，映像路径如下：%windowsdir%\ Framework\mscorsvws.exe。

4）判断是否存在C:\WINDOWS\Microsoft.NET\Framework\mscorsvws.exe，如果存在，则执行，否则创建文件mscorsvws.exe，并这是只读，隐藏，系统属性。

5）创建C:\WINDOWS\Microsoft.NET\Framework\aspnet_wp.exe，并设置只读，系统，隐藏属性，并执行。此样本是一个白加黑的样本。
 

6）创建C:\WINDOWS\Microsoft.NET\Framework\ETComm.dll，这是aspnet_wp.exe的必备组件。

7）创建C:\WINDOWS\MpMgSvc.dll文件。
 

8）给如下进程进行提权，主要提升如下权限：SeRestorePrivilege，SeBackupPrivilege，SeSecurityPrivilege，SeTakeOwnershipPrivilege，其中需要提权的进程主要有：

C:\Windows\system32\sethc.exe，

C:\Windows\system32\osk.exe

C:\Windows\system32\Magnify.exe,

C:\Windows\system32\Narrator.exe

C:\Windows\system32\Utilman.exe

9）利用calc工具拒绝system对C:\Windows\Fonts*.exe进行访问。

10）创建从http://4i7i.com/11.exe处，创建11.exe，并执行11.exe。

11）如果不是管理员用户，则使用傀儡进程技术。
 

12）判断程序是在32位系统中还是64位系统，由此解密不同的恶意文件。
 
 

13）在当前目录下创建TrustedInsteller.exe，TrustedInsteller.exe是一个挖矿程序，然后执行挖矿。

矿池为：pool.usa-138.com:80；

钱包地址为：4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S。

14）通过dump侵入svchost.exe执行傀儡进程操作的文件。首先程序会Kill rundll32.exe这个进程，这步的目的是后续的样本会使用rundll32.exe加载dll文件。

15）检测路径是否处于%windows%下，接着设置服务函数ServiceProc分析服务函数，我们知道其执行了以下2个重要操作。

1. 提升进程权限，创建伪句柄。

2. 并且与CC服务器交互3.获取设备相关信息(主要包括处理器信息，系统物理和虚拟内存使用情况，设备驱动器信息和驱动程序信息)

16）开始服务aspnet_staters。
 

17）并设置程序自启动。
 

18）设置注册表数据，主要是设置aspnet_staters服务的相关信息，以便其他样本读取，并判断是否被感染。

19）检索大多数国内安全厂商进程。

0x4.2 11.exe分析

‍1）创建文件C:\WINDOWS\Help\Helpsvc.exe.创建名为WinHelpSvcs的服务，二进制文件为Helpsvc.exe，实现永久化
 
 

2）将HelpSvc.exe设置系统隐藏属性。
 

3）创建C:\WINDOWS\Help\Winlogon.exe同样设置隐藏系统属性，并执行。
 
 

4）创建C:\WINDOWS\Help\active_desktop_render.dll文件。
 

5）删除服务。
 

6）配置IPSEC安全策略(DNS桥隧通信)。
 

7）利用cacls禁止system用户对如下文件访问

• C:\ProgramData\Storm\update\%YOUSHIZHUAY%*.cc3

• C:\ProgramData\DRM\%SESSIONNAME%*.cc3

• C:\ProgramData\Storm\update\%SESSIONNAME%*.cc3

8）关闭LanmanServer和Schedule服务。

9）自删除。

0x4.3：Winlogon.exe分析

1）首先这是一个白加黑的样本，利用kugou需要加载active_desktop_render.dll调用SetDesktopMonitorHook的原理，改写active_desktop_render.dll文件，实现白加黑的技术。主要分析在于对active_desktop_render_new.dll的分析。

2）HOOK svchost进程，为了是为了调用TrustedInstaller.exe_进行挖矿。
 

3）这三个删除创建操作是为了恢复原来存在的active_desktop_render.dll文件。
 

4）检索HelpSvc.exe，并终止进程。
 

5）键盘记录。

6）传输音频数据。
 

7）截屏。
 

0x4.4：active_desktop_render_new.dll分析

1) 首先这是利用白加黑实现的一次攻击，通过酷狗音乐调用SetDesktopMonitorHook进行团伙的黑操作。
 

2）样本会侵入svchost这一个系统关键宿主进程，这样为了迷惑用户，以至于难以察觉。从编码方式上来看，是同一个作案团伙，同样使用jmp-API,或者jmp-Fun这类操作，没有直接调用函数或者API，有效阻碍分析人员分析。
 
 
 
 

3）由于样本是白加黑，为了避免由于黑文件存在影响正常的功能，所以样本会释放以前正常的dll文件，并替换。

4）最后程序会终止HelpSvc.exe进程。
 

0x4.5 MpMgSvc.dll分析

1）从样本维度看，这是一个dll文件，暂时没有找到调用他的PE文件，所以一下只能从功能上分析。由此可知，这是一个连接C2,并根据不同的指令执行对应的操作，包括检索服务信息，设置服务，获取会话，用户信息，关闭指定进程，断开注销会话等操作。
 

2）创建服务和设置服务的启动状态，借此实现常驻内存。
 
 

3）获取用户信息，检索会话信息，根据不同指令，执行不同操作。
 
 
 
 

4）通过管道通信，传输用户信息。
 
 
 
 

5）判断进程列表中是否存在指定的进程。
 

6）检索windows窗口信息。
 

7) 获取机器相关信息。
 
 
 
 

0x4.6：aspnet_wp.exe

1) 盛大的白加黑文件，黑文件是ETComm.dll，其中ETComm.dll。而且运行之后会跑非，怀疑存在反调试，OD设置中断在系统断点，加载后，中断。然后Alt+E，找到ETComm.dll脱壳。最好不要使用直接对dll脱壳，这样修复有点问题。

2）创建clr_optimization_v3.0.50727_32服务。
 

3）入侵svchost.exe进程。
 
 

4）释放隐藏文件ETComm.dll到当前目录，这其实是正常的ETComm.dll，当操作执行完毕后，删除黑文件ETComm.dll。
 

5）终止mscprsvws.exe，爆破sql。
 

6）通过dump入侵svchost.exe的PE，主要功能是启动aspnet_wp.exe对应的服务。并设置自启动。

7）在特定情况下也会解析如下域名

o.ry52cc.cn

aaaa.usa-138.com

o.ry52cc.cn

vtqq.f3322.net

syw520.3322.org

www.memejerry.top

本文由看雪论坛 hackerbirder  原创

转载请注明来自看雪社区

戳 立即购买！

2019 看雪安全开发者峰会门票正在热售中！

长按识别下方二维码，即可享受 2.5折 优惠！

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com