• 陈红太:中国快速发展的经验特征——四民主义 2018-05-02
  • 澳門舉辦研討會探討特色金融發展前景 2018-05-02
  • 中国启动铲除网上暴恐音专项行动 2018-05-01
  • 耳聽國歌,心係家國——訪香港前民政事務局局長何志平 2018-05-01
  • 洪银兴:推动新时代“四化”同步发展 2018-05-01
  • “憨书记”熊尚兵:为了穷乡亲,不当老板当“村官” 2018-05-01
  • 中国商用车博览会在重庆开幕 900余家企业参展 2018-04-30
  • 宣城一季度重点项目集中签约开工竣工投产仪式举行 2018-04-30
  • 互存金融受邀参加“金融未来”全球金融科技投资峰会 2018-04-30
  • 清华复旦共建中国特色社会主义新闻学教学研究基地 2018-04-29
  • 交警:年末“宿醉”频发 酒后切勿开车 2018-04-29
  • 苏州市十六届人大一次会议2017年1月中旬召开 2018-04-29
  • 屈原投河并非为“殉国”,而是殉自己的心志 2018-04-28
  • “比特幣病毒”再次出現,偽造微軟企業簽名挖礦轉移比特幣!

    今日幣價
    btc$9,178/ eth$740/Eos$17.7
    近年來,比特幣等數字貨幣的火爆導致了病毒黑客紛至沓來,他們利用各種方法來牟取利益,其中主要包括兩種,一種是利用勒索病毒直接向用戶勒索比特幣,另一種是利用挖礦病毒讓感染用戶挖掘比特幣,這兩種方法嚴重威脅所有網民上網安全。
    2017年5月,一款名為WannaCry的勒索病毒席卷全球,包括中國、美國、俄羅斯及歐洲在內的100多個國家;
    2017年6月,“Petya(彼佳)”新型勒索病毒再度肆虐全球,影響的國家有英國、烏克蘭、俄羅斯、印度、荷蘭、西班牙、丹麥等;
    2017年10月,新型勒索病毒BadRabbit又在東歐爆發,烏克蘭、俄羅斯等企業及基礎設施受災嚴重。
    勒索病毒變得越來越猖獗與復雜,各大勒索事件之所以選擇比特幣作為贖金,主要因為比特幣具有便捷性和隱匿性,大部分國家很難監管,這就會導致不法分子利用勒索病毒向用戶勒索比特幣進行交易,從而導致比特幣越來越熱,勒索病毒也越來越多。
    不法分子除了通過勒索軟件直接勒索比特幣外,還會通過挖礦病毒獲取比特幣。不法分子利用2017年新曝出的各種漏洞,如windows系統的MS17-010,Struts 2的S2-045、S2-046,weblogic的反序列化漏洞等,瘋狂在網絡上抓取各種肉雞。在以往這些肉雞都會被用來進行DDOS活動,但是在今年這些肉雞大部分都被用來挖礦。
    隨著參與者的增加,催生出一種使用瀏覽器挖礦的技術手段Coinhive,當有用戶訪問該網頁,挖礦程序就會在網民的電腦上工作,占用大量系統資源,導致CPU利用率突然提升,甚至高達100%。Coinhive這種技術的產生,受到不法分子的廣泛關注,各路攻擊者攻陷正常網站掛載JS腳本,替換廣告腳本,通過劫持流量和搭建釣魚網站等手段在用戶瀏覽器瘋狂的掘幣,嚴重威脅所有網民的上網安全。
    由于挖礦類木馬病毒并不會破壞用戶電腦中的資料、數據,因此,它并不會像勒索病毒一樣導致用戶重要數據丟失,出現資料無法找回的情況。挖礦類木馬病毒只會潛伏在用戶的電腦中,定時啟動挖礦程序進行計算,大量消耗用戶電腦資源,導致用戶電腦性能變低,運行速度變慢,使用壽命變短等。由于這種病毒的非破壞性和隱蔽性,即使用戶電腦中毒也不會像勒索病毒一樣即時感知到。

    近日,火絨實驗室截獲新型后門病毒。該病毒破壞性極強,入侵用戶電腦后會執行多種病毒模塊,以竊取用戶比特幣、門羅幣等主流虛擬貨幣的數據信息,同時利用用戶電腦瘋狂挖礦(生產"門羅幣"),并且還會通過遠程操控伺機對用戶進行勒索。
    另外,病毒團伙非常狡猾,不僅使用了隱蔽性很強的"無文件加載"技術,令普通用戶難以察覺,而且還偽造了亞馬遜、微軟以及火絨的數字簽名,成功躲過了國內絕大多數安全軟件的查殺。目前"火絨安全軟件"最新版可對該后門病毒進行攔截和查殺。
    關于火絨團隊:火絨是一個純粹、專注的終端安全技術公司(PC、手機等所有信息終端),堅持自主開發終端安全核心技術和產品。火絨以“讓所有人都可以安全、安靜、自由地使用智能終端設備”為企業使命,以“中國信息安全第一品牌”作為企業成長愿景。
    火絨查殺截圖

    下面是事件詳情
    火絨已截獲到病毒樣本,該病毒會通過訪問C&C服務器下載執行多種病毒模塊,病毒模塊功能包括:挖礦、勒索、信息竊取。該病毒運行之后首先會執行3個遠程腳本,分別下載勒索病毒,挖礦病毒,并且還可能會下載間諜病毒。勒索病毒會常駐后臺,等待勒索時機。挖礦病毒會首先由evil.js直接下載下來,然后偽裝成為explorer.exe加參數運行。ps5.sct實現核心功能,負責后續的主機信息收集,服務端指令的執行,從目前服務器返回的數據來看,只是用于挖礦命令的下發。
    病毒惡意行為流程圖,如下圖所示:
    該病毒執行后,會執行遠程惡意VBScript腳本和SCT腳本。

    下文針對病毒所下載執行的多個腳本文件進行詳細分析
    ps5.sct
    ps5.sct是一個混淆過的SCT腳本,作為payload,由regsvr32遠程執行,利用powershell結合dotnet的靜態方法來創建子線程執行shellcode,該shellcode會向ssl2.blockbitcoin.com請求數據,下載一個pe結構異常的惡意dll,該dll會從遠程服務器獲取命令然后執行,在火絨分析的時候,服務器派發命令是挖礦命令。
    解密后的ps5.sct相關代碼,如下圖所示:
    解密后的腳本代碼
    以上shellcode下載的惡意dll的Getcommand_and_run函數實現聯網獲取服務器指令。
    病毒代碼
    通過動態調試發現惡意dll偏移0x305252E處調用網絡操作相關API,連接網站ssl2.blockbitcoin.com。壓棧的內容,如下圖所示:
    病毒代碼reg99.sct:
    reg99.sct也是一個混淆過的SCT腳本,作為payload,由regsvr32遠程執行,會根據系統的架構決定執行var_func(32bit) 還是 va_func2(64bit),這兩個函數會釋放出不同版本的evil.js,從而下載對應的挖礦病毒,相關代碼邏輯,如下圖所示:
    解密后的腳本代碼
    挖礦病毒(文件名:explorer.exe,與資源管理器進程名一致)相關關鍵數據,如下圖所示:
    截至2018年5月8日,根據錢包地址查詢到結果,如下圖所示:
    錢包收益截圖
    通過行為分析可以看出:
    1.每5分鐘執行一次 reg9.sct 中的惡意代碼,用以保證挖礦行為正常運行。命令如下圖所示:
    2.利用wmi執行下載并運行挖礦病毒與勒索病毒。命令如下圖所示:
    sp.txt
    sp.txt是一個經過混淆的VBScript病毒腳本,腳本會下載執行勒索病毒(文件名:core.scr)。解密后的腳本代碼,如下圖所示:
    勒索病毒相關關鍵數據,如下圖所示:
    勒索病毒加密使用用RSA非對稱加密。公鑰數據,如下圖所示:
    嘗試終止如下exe程序,如下圖所示:
    該程序初始化了字符串表,保存了常見數據庫主程序名,通過循環調用結束進程函數,將這些程序進程結束,從而取消文件占用。
    加密如下文件后綴,如下圖所示:
    在火絨的測試過程中發現,由于遠程腳本會發生改變,還有可能下載該間諜病毒, 該病毒讓瀏覽器安裝adblockplus插件,通過向js文件寫入片段代碼,實現過濾用戶比特幣錢包信息,用于竊取用戶信息。
    間諜病毒(文件名:SVTHOST.EXE)相關關鍵數據,如下圖所示:
    經過火絨多次下載發現,該病毒功能總體不變,但是簽名信息等頻繁發生變化,可能是為了實現免殺,其證書簽名都是同屬于一家CA,簽名者通常被偽造成其他知名軟件廠商名字,如:微軟、亞馬遜、火絨。
    第一次下載得到的程序的簽名信息
    第二次下載得到的程序的簽名信息
    第三次下載得到的程序的簽名信息

    溯源分析
    火絨在病毒樣本資源的版本信息中發現,其語言版本是簡體中文,如下圖所示:
    病毒還在文件信息中將自己偽裝為"金山安裝工具",如下圖所示:
    文件屬性中的"文件說明"翻譯為:"金山安裝工具"
    從病毒遠程下載的某個樣本中,火絨發現偽造的數字簽名包含有中國廠商,如下圖所示:
    偽造的"火絨"簽名
    通過上述信息,火絨認為該病毒的編寫作者為中國人可能性較高
    此外,除了本文提到的病毒,火絨此前還發現過“TrickBot”、52pk.com病毒等可能對用戶銀行賬戶,比特幣賬戶信息進行竊取的病毒。
    如果近期瀏覽過危險、異常網站,可以通過"火絨安全軟件"對該后門病毒進行攔截和查,以防比特幣丟失。
    關注公號區塊鏈福利社,在后臺回復“區塊鏈”
    200份千元區塊鏈全套秘籍限量搶
    收藏
    收藏0
    支持
    支持1
    反對
    反對0
    關注公眾號:區塊鏈福利社(blockchainfls),免費獲取區塊鏈學習資料

    大神點評2

    跳轉到指定樓層
    沙發
    xia130588 2018-5-10 17:07:42 只看該作者
    想做基于以太坊智能合約ERC20代幣 寫白皮書做官網 交易所售賣的加我qq 1127226095
    空投?擼羊毛?領糖果?
    你是否有留意過?
    傳奇神話,幣圈從來不缺?
    ENU沒把握住那下一個呢?
    空投☞ candy365.io
    您需要登錄后才可以回帖 登錄 | 立即注冊

    本版積分規則