贪狼Rootkit僵尸家族再度活跃:挖矿+DDOS+劫持+暗刷

正文

“贪狼”Rootkit病毒主要经由过程ghost系统等渠道感染用户谋略机,经由过程多种要领暗藏自身、抗衡杀软,同时模块浩繁,功能机动繁杂

概述

“Ghost”盗版系统和系统激活对象不停都是海内病毒传播的紧张渠道之一,尤其以Rootkit/Bootkit类型的执拗病毒居多,此类病毒安装普遍早于安然软件,大年夜多会经由过程内核层来暗藏保护自身模块,并凭借植入机会的先手上风和安然杀软进行深层抗衡

近期经由过程“捕风”要挟感知系统监控,我们发明“贪狼”Rootkit僵尸家族在近2个月开始再次生动,“贪狼”病毒不停都是盗版系统预装渠道中的生动家族,早期变种可以追溯到2015年,起先主要用于主页挟制和流量暗刷,从我们的监控记录看,“贪狼”基础上每年都邑有一次较大年夜的生动更新,在17年头?年月曾被安然友商命名为“狼人杀”并阐发曝光,短暂匿伏今后在17年9月份又呈现过小幅更新,今年6月份开始“贪狼”家族开始再度生动,除了Http(s)挟制模块赓续加强外,开始顺应黑产潮流加入“门罗币”挖矿功能模块,并且在6月4号开始经由过程更新渠道下发“Hydra”DDOS木马插件,“贪狼”僵尸收集的要挟度和进击性正在赓续加强不合模块分手实现浏览器挟制、ddos进击、加密泉币挖矿、刷量等功能根据检测到的感染量估算全国跨越50万机械遭到感染

模块名

主要功能

Platform.dll

功能模块更新、加载等

ConsoleApplication8.dll

门罗币挖矿

HydraClient.dll

DDOS进击

StevenRobot.dll

上报、下拉设置设置设备摆设摆设

mLoader.dll

插件加载器

UserFramework.dll

插件核心框架、

KernelManager.dll

插件治理

HSManager.dll

主页挟制

WebBrowser.dll

后台广告刷量

AppManage64.dll

浏览器挟制

SSLHijack1.0.6-win64.dll

HTTPS挟制

Hijack.dll

浏览器挟制

KernelHijack.sys

内核挟制模块

各模块经由过程联网下载到本地履行,被RC4或AES加密;且都有统一的导出名称BsProcessStartup、BsDllStartup、BsCleanup、BsEnvironment;

模块被注入到目标进程后直接调用BsProcessStartup或BsDllStartup;BsProcessStartup和BsDllStartup首先确定加载基址,并获取peb、teb相关信息初始化导出布局体BsEnvironment,然落后行重定位修复、导入表初始化、CRT初始化、添加非常处置惩罚表等前置事情,最落后入主功能函数

模块自加载,自初始化流程:

因为模块浩繁,下面简单阐发此中几个模块的主要行径

核心驱动模块

1、驱动加了VMP壳保护,加载后注册进程回调、映像回调、注册表回调、关机回调,并创建3个内核线程;

2、经由过程进程回调APC注入内置Platform.dll到lsass.exe,Platform.dll履行真正的病毒行径;

3、映像回调拦截浏览器进程的杀软模块加载;

4、注册表回调保护自身驱动办事变;

5、关机回调回写自身驱动文件和注册表办事变

R3层核心框架Platform.dll

该模块是驱动内置的模块,核心功能是加载挖矿模块和下载设置设置设备摆设摆设文件并更新其他模块

1、加载内置的ConsoleApplication8.dll(挖矿模块);

2、挂钩NtQuerySystemInformation(针对taskmgr.exe,进程名过滤);

3、挂钩LdrLoadDll(针对360se.exe、360chrome.exe),过滤杀软的浏览器保护模块

4、造访C&C办事器,内置多个备用办事器地址;上传机械信息并下载设置设置设备摆设摆设文件,

hxxps://client.115ww.com/api/_mv_bamboo.html?REV=0&RC=0&PID=3&CID=0&UID=0&VER=0&RM=&DMJ=0&DMN=0&DBL=0&UMJ=0&UMN=0&UBL=0&MID=&BW=64&NTMJ=6&NTMN=1&NTBL=7601&NTSPMJ=1&NTSPMN=0&NP=1&MM=2146951168&OSTC=1843198&SVSN=C6BDE606&SVFS=NTFS;

设置设置设备摆设摆设文件解密后如下:

5、根据设置设置设备摆设摆设文件进一步下载其他模块并加载履行

内嵌“门罗币”挖矿模块ConsoleApplication8.dll

pdb路径:

L:githubConsoleApplication8x64ReleaseConsoleApplication8.pdb

[1] [2]下一页

1、 ConsoleApplication8.dll内置一个zip文件,包孕config.json、start.cmd、xmrig.exe;

2、 查询注册表 [HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallKingsoftInternet Security]的值“UninstallString”,成功则直接返回,不进行挖矿;

3、 解压zip文件并加载挖矿模块进行挖矿;

4、 挖矿钱包和矿池地址如下:

浏览器挟制模块AppManage.dll

pdb路径:

E:CodeIvipmsourceAppMangerAppMangerx64ReleaseAppManage.pdb

经由过程APC要领被注入到进程,假如进程是360se.exe、360chrome.exe,则查找并删除文件sesafe.dll;

假如进程因此下杀软进程,则查找并删除文件QMProtect.dll、QMProtect64.dll、QMIESafeDll.dll、QMIESafeDll64.dll;假如进程名包孕qqpc则直接退出进程

假如进程是explorer.exe,则挂钩CreateProcessInternalW、RtlCreateProcessParameters、ZwCreateUserProcess、RtlCreateProcessParametersEx,对以下浏览器进程的敕令行参数进行挟制;

同时还会向系统添加根证书,用于https挟制:

DDOS进击插件HydraClient.dll

pdb路径:

C:UsersLonsourcereposDDosx64ReleaseHydraClient.pdb

该模块经由过程APC要领被注入到进程wuauclt.exe,是DDOS进击模块;CC地址为115.231.219.32;支持常见的DDOS进击要领

附录IOC:

MD5:

2ECEE431A394538DD8B451B147D684AD

IP:

115.231.219.32

URL:

hxxps://down.135h.com/save/chilli/DwYQ0YY0x6.jpg

hxxps://down.135h.com/save/chilli/CUYQ0YY0x6.jpg

hxxp://ix.135gg.com/api/_mcv_chillis.html

hxxp://client.135gg.com/api/_msv_software.html

hxxp://client.115ww.com/api/_mv_bamboo.html

hxxp://client.335dh.com/api/_mv_bamboo.html

hxxp://client.115ll.com/api/_mv_bamboo.html

DOMAIN:

ix2.135gg.com

ix.135gg.com

ixs.115rr.com

lps.115rr.com

ixs.135h.com

50star.com

tj.16610.com

pp.fatdit.com

www.faafox.com

ix.faafox.com

client.faafox.com

aoyouw.cftmon.com

osipad.fatdit.com

bs.xobvb.com

bs.unaout.com

gang[1|2|3|5|6].info

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包