• 此病毒主要挖门罗币和Handshake(hns),通过f2pool矿池进行挖矿。

技术分析

  • 大部分恶意模块均采用VMP保护(将保护后的代码放到虚拟机中运行),包括驱动对抗程序,为提高分析的成本,增加分析难度。而且恶意病毒的下载传播的服务器空间,均使用三方服务、网盘、图床,很难捕捉其真实地址。
  • 执行流程

1.1.jpg

  • 计划任务执行Powershell恶意脚本,中病毒计算机计划任务被添加自动运行恶意Powershell脚本
  • 连接远程服务器,下载恶意脚本并执行(加载恶意PE文件,挖矿)
  • 加载的恶意文件功能
    • 挖矿
    • 检测CPU信息
    • 驱动保护
    • 横向传播,漏洞利用
  • 自解压程序,白加黑手法利用迅雷模块(XLBugReport.exe)加载病毒恶意模块

    其他可被利用的白文件:WorkstationPro.exe 首先开机启动以后通过runonce启动项目启动程序system32.exe(ThunderService,带迅雷数字签名),该文件会去加载模块XLBugHandler.dll(应该是错误收集的一个功能模块,带迅雷数字签名),该模块加载以后捕获到程序异常然后生成dump文件,接着调用XLBugReport.exe准备上传生成的dump文件,因为程序没有检查XLBugReport.exe的有效性导致直接加载了伪装的XLBugReport.exe文件,从而导致用户电脑中毒。

  • 病毒自带模块加载dll中的导出函数,内存动态解密
  • 调用最终病毒解密代码进行挖矿

  • 释放驱动文件(命名随机 VMP壳)对抗杀软和ARK工具

    ARK工具:反内核工具,比如XueTr

  • HOOK内核回调,监控进程打开关闭

  • 横向传播,利用永恒之蓝漏洞进行攻击