披着羊皮的狼:双平台挖矿木马MServicesX分析

2018-11-07 来源:原创 作者:腾讯电脑管家
【文章摘要】这是一个双平台挖矿木马,该木马具有Windows和安卓双平台版本,在中毒电脑和手机上运行门罗币挖矿程序。其Windows版本MServicesX_FULL.exe使用有合法数字签名的文件借助游戏下载站传播,木马的安卓版本则伪装成Youtube视频播放器……

背景

御见威胁情报中心发现一个双平台挖矿木马,该木马具有Windows和安卓双平台版本,在中毒电脑和手机上运行门罗币挖矿程序。其Windows版本MServicesX_FULL.exe使用有合法数字签名的文件借助游戏下载站传播,木马的安卓版本则伪装成Youtube视频播放器,当中毒用户在手机上看Youtube视频时,病毒会在后台运行门罗币挖矿程序,从而令手机发热增加,续航缩短。


挖矿木马的Windows版本运行后释放bat脚本,将bat脚本安装为启动项,然后下载执行Powershell代码。Powershell代码的功能包括:下载执行CPU以及GPU挖矿木马挖门罗币、检查特定目录下的木马文件是否存在、不存在则重新下载木马进行安装。


通过扩散分析还发现了一批具有不同数字签名的同类样本(部分签名已被颁发机构吊销),病毒溯源分析发现,该挖矿木马主要通过游戏软件传播,为使游戏玩家中招,病毒传播者还会建议玩家关闭杀毒软件。


该挖矿木马具有以下特点:

  • 木马样本使用了多个合法数字签名(签名包括“Spinex Solutions Ltd”、“extrebal limited”、“kupui ltd”等),部分签名已被颁发者吊销;l  病毒自升级模块Update64.exe配置为计划任务,每3小时运行一次下载更新;
  • 通过添加启动项下载PowerShell脚本,由PowerShell脚本下载矿机进行挖矿;
  • 感染安卓系统的矿机伪装成youtube视频播放器传播,当中毒用户在手机端运行病毒APP看视频时,手机会在后台挖矿;
  • 病毒溯源发现,该病毒家族主要通过某游戏下载站xxxxxxxgames.com的游戏安装包传播。

从腾讯御见威胁情报中心监测数据看,挖矿木马近期表现活跃,该木马在世界各地均有分布,在我国广东、江苏、香港位居前三,该病毒近期的感染量波动亦较大。

                              

详细分析

木马文件MServicesX_FULL.exe具有合法的数字签名“16qp limited”,导致部分杀毒软件无法及时查杀。


MServicesX_FULL.exe运行后释放文件到Roaming,其中包括一个MSI安装文件和升级程序update64.exe。

MServices X –pro injct.msi是Windows Installer安装程序。

Windows Installer技术由客户端安装程序服务(Msiexec.exe) 和Microsoft软件安装(MSI)软件包文件组成。Msiexec.exe 程序是 Windows Installer 的一个组件。当双击MSI文件的时候,Msiexec.exe 被安装程序调用时,它将用 Msi.dll 读取软件包文件 (.msi)、应用转换文件 (.mst) 并合并由安装程序提供的命令行选项。 Windows Installer 执行所有与安装有关的任务:包括将文件复制到硬盘、修改注册表、创建桌面快捷方式、必要时显示提示对话框以便用户输入安装首选项。


安装包运行后释放文件到C:\Program Files\Systema Natives\MServices X 目录,将update64.exe安装为计划任务,每三个小时运行一次,从其配置文件update64.ini中记录木马更新文件的下载URL,保持木马更新为最新版本。




MSI安装包运行时还会生成AppLoaderHelpers.xml并在其中设置计划任务,在计划任务中指定执行以下程序:

C:\Users\garry vm\Downloads\xmrig-2.4.3-msvc-win64\ProcessInjector\0.0.1\InjectProc.exe

而根据其路径中包含的“xmrig”来看,准备执行的是门罗币挖矿程序,Author中包含的“garryvm-PC”疑似与作者相关。


将该计划任务文件的路径特征“garry vm”在御见威胁情报中心查询,发现了大量具有类似PDB信息的木马,类型包括特洛伊木马,挖矿木马等,且木马存在被颁发者直接吊销的签名。


签名被吊销



Common Files目录中释放了文件restore.bat并添加到启动项


通过restore.bat执行Powershell脚本hxxps://77.mycfg.site/files/restore_org_inj.ps1


Powershell脚本中执行完成以下功能:

1、 下载矿机程序032f.exeTemp目录并启动挖矿进程;

2、 下载矿机程序cuda9-270b.exeTemp目录并启动挖矿进程;

3、 检测指定目录下文件是否存在,不存在则下载安装包进行安装。


032f.exe是基于OpenCL的挖矿程序,挖矿参数:

--auto,--no-cpu,--any,--forever,--variation,11,-o,pool.masari.hashvault.pro:80,-u,5hw694rarFjGB5BGKF3T1LgD7Mpp2rmTnRiuMr5AajwabZLQS4nGR65UKXrGn38CBNepWpS1NVM212vxFmxEKNEy2S56QXA,-p,j32fGPU:x@x.com


cuda9-270b.exe是基于NVIDIA CUDA运算框架的挖矿程序,挖矿参数:

-B,--no-color,-r,50,-o,pool.masari.hashvault.pro:80,-u,5hw694rarFjGB5BGKF3T1LgD7Mpp2rmTnRiuMr5AajwabZLQS4nGR65UKXrGn38CBNepWpS1NVM212vxFmxEKNEy2S56QXA,-p,CUDA9:x@x.com,--variant,1,-k


矿池:

pool.masari.hashvault.pro:80

钱包:

5hw694rarFjGB5BGKF3T1LgD7Mpp2rmTnRiuMr5AajwabZLQS4nGR65UKXrGn38CBNepWpS1NVM212vxFmxEKNEy2S56QXA

钱包状态:

扩散分析

数字签名

通过腾讯御见威胁情报中心进行同类样本扩散分析,发现了多个拥有合法签名的同类样本,样本的签名包括有“Spinex Solutions Ltd”、“extrebal limited”“kupui ltd”等。

 



有意思的是,公司的注册地都显示为英国,且签名信息中的邮件多采用“公司董事名@公司网站名.co.uk”的形式,但是公司的具体业务不明,公司“官网”也都无法访问,有可能是木马作者注册皮包公司并申请签名,也有可能是正规公司的签名被盗用。

Android矿机

在木马C2地址还发现了Android程序的安装包youtubeplayerx2.apk。通过文件名可以看出,该安卓病毒会假冒youtube播放器传播。

安卓矿机运行界面(不能访问外网的手机,无法正常播放Youtube视频)



分析youtubeplayerx2.apk文件,发现Lib目录下包含共享库文件libnative-lib.solibuv.so,分为ARM版(arm64-v8a,armebi-v7a)和x86x86,x86_64)版,支持ARM架构以及X86架构设备。


分析libnative-lib.so代码发现该文件实际为开源门罗币挖矿程序XMRig的android编译版。


libnative-lib.so导出函数)


(挖矿参数选项)


(编译信息)


溯源

分析发现木马主要通过游戏安装包进行传播,游戏下载网站xxxxxxxgames.com提供各类游戏的下载安装,部分用于安装游戏的程序在运行过程中释放木马文件。


游戏安装说明还会提示关闭杀毒软件。

安全建议

1、通过正规的渠道下载软件和游戏程序,电脑端使用腾讯电脑管家加以拦截;


2、关注电脑显卡GPU异常占用情况,如果发现资源占用异常,可使用安全软件做进一步检测;


3、不要在Android手机上运行来历不明程序,建议安卓智能手机用户使用腾讯手机管家防御可能的病毒攻击。

IOCs

IP

188.138.70.227

85.25.74.57

85.25.207.153

85.25.177.168

195.144.21.199

195.144.21.143


域名

cdn.mycfg.site

cdn.mycfg.host

cdn.mycfg.bid

cdn.systemupdates.host

cdn.windows-service-updater.site

p.getconfig.site

p.getget.site

p.mycfg.bid

p.mycfg.host

p.mycfg.site

ws.mycfg.bid

cdn.getcfg.site

upd.dns.tires

upd.cfg.ooo

cdn.areare.website

cdn.myrar.website

77.super-me.online

77.mycfg.site


URL

hxxp://cdn.mycfg.site/files/j033a.exe

hxxp://cdn.mycfg.site/files/jclm.exe

hxxp://cdn.mycfg.site/files/cuda9-270b.exe

hxxp://cdn.mycfg.site/files/032g.exe

hxxp://cdn.mycfg.site/files/032f.exe

hxxp://cdn.mycfg.site/files/mservicesx_full.exe

hxxp://cdn.mycfg.site/files/j031a.exe

hxxp://cdn.mycfg.site/files/64h.exe

hxxp://cdn.mycfg.site/files/avninja.exe

hxxp://cdn.mycfg.site/files/NanoServicePack_FULL.exe

hxxp://cdn.mycfg.site/files/bin/rev/118822

hxxp://cdn.mycfg.site/files/cud8.exe

hxxp://cdn.mycfg.site/files/bin/rev/118731

hxxps://cdn.mycfg.site/files/MServicesX_FULL.exe

hxxp://cdn.mycfg.site/files/bin/rev/118727

hxxps://cdn.mycfg.site/files/NanoServicePack_FULL.exe

hxxp://cdn.mycfg.site/favicon.ico

hxxp://cdn.mycfg.site/files/bin/rev/11879

hxxp://cdn.mycfg.site/files/cud8exe

hxxp://cdn.mycfg.site/files/jce032a.exe

hxxps://cdn.mycfg.site/files/youtubeplayerx2.apk

hxxp://cdn.mycfg.site/files/amd64.exe

hxxp://cdn.mycfg.site/files/bin/rev/dgsfjhsgdfjhsgdnks

hxxp://cdn.mycfg.site/files/revservicesx_full.exe

hxxp://cdn.mycfg.site/files/MServicesX.exe

hxxp://cdn.mycfg.host/files/bin/rev/118821

hxxp://cdn.mycfg.host/files/bin/rev/2

hxxp://cdn.mycfg.host/files/bin/rev/11887

hxxps://cdn.mycfg.bid/files/NanoServicePack_FULL.exe


md5

136df08fbf49a48f5f1afc1d60224368

705d7e76bd19729cf9ef54df7d3f0626

2262a474d55d11dc37ed8dc0ddd4c5f7

98057764bfd02accd0caaa07bbcd6d46

78e56ad0b044b11506fac99e1d9ab0e5

8733eb6d65702bb83e3f6fa7e022cdbc

2717c2680b5dc71731eda23821738817

cd4cb8c5569a1866ab4d2f315861b3a1

ebfa2f9945b94b4851da8ae90a205ba6

4811fb1927534cfe3a70406eab421df1

931e2c08a862ca9f65be0b0a796c9e93

8e6b5f8172defc7ec01a5b6118317da5

a10b6029c7b68f1f8d59dd8418399aba

a98e642cc325384dc03182e424fda3d9

7fe90acdd370797db8c51719e33934e0

fc945274e2e86e85f0d98e131093a9ef

fb481fcb3f53fb13397a0eb327c7b8e6

803a7dce76339db44cc93422e19de7ee

290400324591e7b934c9553ece03187c

电脑管家纯净版

企鹅守护全新上线

详情>>

版本更新:2018.11.12