《魔域》私服暗藏遠控木馬和挖礦木馬

事件概述

近期，金山毒霸捕風系統捕獲了一批網絡游戲《魔域》私服木馬，該木馬伴隨著游戲登錄器傳播，會釋放大灰狼遠控和門羅幣挖礦木馬執行。大灰狼遠控幾乎可以完全操控用戶系統，常被用來竊取用戶信息和遠程操控用戶電腦，如操作賬戶、注冊表、服務、進程、文件、攝像頭、音頻、監控桌面、監控鍵盤等。門羅幣挖礦木馬會將用戶電腦作為肉雞進行秘密挖礦，它不僅會大量侵占電腦資源，使電腦運行變得特別緩慢，還會損耗電腦硬件，縮短電腦使用壽命。

追蹤發現，該木馬與其他安全廠商通報的BearMiner（灰熊礦業）、LaofuMiner（"老虎”挖礦木馬）同屬一個家族。該家族以挖礦業為主，具有挖礦程序偽裝系統文件，關鍵數據總體打包加密傳遞，程序膨脹變大等特點。該家族的蹤跡可追蹤到2018年，早期使用偽裝欺騙方式傳播挖礦木馬，現階段通過私服游戲捆綁后門下發大灰狼遠控傳播挖礦木馬，一直保持活躍。

樣本執行流程圖

捕獲的部分登錄器信息如下：

樣本分析

本次捕獲的病毒源頭為《魔域》私服登陸器，該私服登錄器會在游戲目錄釋放后門文件tqlits.dat，tqlits.dat會在臨時目錄釋放木馬加載器net1024.exe，net1024.exe會下載啟動大灰狼遠控木馬。大灰狼遠控木馬主要包括遠程控制功能和下載木馬加載器xm.exe功能，xm.exe會下載門羅幣挖礦木馬秘密進行挖礦。為了規避安全監控和安全分析，程序相關的主要信息都采用整體打包加密傳遞，算法采用異或和RC4結合。

net1024.exe的核心功能為下：

    1.解密配置數據，創建執行副本程序C:\ProgramFiles\Microsoft Obliqo\Dqaiqov.exe。
    2.將副本程序注冊為服務實現自啟動，服務名為T210729.Wsfnvtkiposqrp.Dqqyge。
    3.下載執行大灰狼遠控木馬，實現遠控控制和下載挖礦木馬執行。

捕獲的私服官網圖片

大灰狼遠控木馬

大灰狼遠控作為木馬界的主流遠控，由于其功能齊全，有相應源碼泄出，簡單修改就可投入使用的特點，一直以來頗受惡意作者的鐘愛。本樣本為修改版的大灰狼遠控，主要修改點是將服務器等主要配置信息整體打包加密，以參數的形式傳遞使用；增加了直接下載木馬加載器下載挖礦木馬執行功能。將主要配置數據進行整體打包加密傳遞，不僅可以隱藏數據，還可以更方便的更換配置數據，從而降低被安全軟件發現。

下面就大灰狼遠控木馬做下簡單分析。

為了規避安全監控，大灰狼遠控模塊以加密包的形式下發到本地，然后內存加載解密調用。涉及大灰狼遠控模塊的信息如下：

        加密的URL和密鑰: 4jNnIiz7AdVaqF0XDp1bKttqa9v4knGl6fn7RuC0hQ== ，Getong538。

        解密的URL:http://xk1.996is.com:66/kj.dll。

        保存路徑： C:\Program Files\AppPatch\kj.dll。

        解密kj.dll的信息：名稱為NetSyst96.dll，導出函數包括DllFuUpgStop和DllFuUpgradrs。

該遠控會把遠控的服務器、保存的副本、創建的服務等配置信息以加密數據的形式進行傳遞使用：

解密后的配置主要為：

        遠控服務器：yy.996is.com：30010，

        文件副本信息：%ProgramFiles%\Microsoft Obliqo\.Dqaiqov.exe，

        服務信息：T210729.Wsfnvtkiposqrp.Dqqyge（服務名）  vjazdbmzspiqjxmwio.監測和監視新硬件設備并自動更新設備驅動（服務描述）。

大灰狼遠控木馬通過創建服務去下載挖礦木馬和執行遠控功能，下圖為下載挖礦木馬執行。

大灰狼遠控木馬的遠控功能特別齊全，且分布詳細，接收不同指令，執行不同功能，下圖為首層指令分支：

下圖展示了最頂層的部分指令功能解析：

下面就部分功能做下簡單說明，設置系統成為可以多用戶使用的3389端口遠程桌面：

鎖磁盤：

操作iexplore.exe訪問網頁：

安全軟件檢測，涉及國內外主流安全軟件：

設置全局鍵盤鉤子，對鍵盤輸入進行監控：

門羅幣挖礦木馬

近年，隨著虛擬貨幣的暴漲，挖礦市場也是異?；鸨?。一些礦主為了謀取更多利益，他們制造了一大批挖礦木馬，用此去感染用戶機器，將用戶電腦作為肉雞，秘密進行挖礦。此挖礦主程序由xm.exe下載解密而來，分析發現它是由xmrig的開源代碼修改而來的，主要是對命令行參數進行了加解密處理，用此來規避安全監控。

xm.exe為一個木馬下載器，主要功能如下：

    1.解密配置數據，創建副本程序C:\Windows\SystemBols\AppVNice.exe執行。

    2.將副本程序注冊為服務實現自啟動，服務名為Norporati Windows AppVNice。

    3.利用副本程序下載釋放C:\Windows\SystemBols\AppVNice.dll，AppVNice.dll會針對不同系統釋放不同的挖礦程序，然后啟動挖礦程序，秘密進行挖礦。挖礦文件主要為Systen32.exe,Systen64.exe,WinRing0x64.sys，它們都以明文的形式保存在   解密的AppVNice.dll末尾。

xm.exe為了規避殺軟檢測，它還對釋放的AppVNice.exe和Systen32.exe進行了代碼膨脹，在文件末尾添加大量無用字符串，釋放的文件信息如下所示：

為了規避安全軟件的檢測，xm.exe的關鍵信息都是以密文的形式進行傳遞的，主程序的關鍵配置加密信息如下：

解密的配置主要為：

        事件名稱：huixingwa100

        副本信息：%SystemRoot%\SystemBols\AppVNice.exe

        下載服務器信息：mine.gsbean.com:8585

        服務信息：Norporati Windows AppVNice（服務名）Norporati Assemblies Windows AppVNice:Norporati Windows AppVNice the net.msmq and msmq(服務描述)

挖礦相關的關鍵配置信息加密如下：

解密的配置主要為：

        命令行參數：-o poole.laofubtc.com:5560 -u CPU_V15.1_x32(20211011) -p x -k        -o poole.laofubtc.com:5561 -u CPU_V15.1_x64(20211011) -p x -k

        挖礦主程序信息：%ProgramFiles%\Microsoft SystelApp\.Systen32.exe..Systen64.exe

根據命令行參數知，礦池為 poole.laofubtc.com:5560 ，挖礦登錄名為  CPU_V15.1_x32(20211011)

挖礦主程序命令行如下：

C:\Program Files\Microsoft SystelApp\Systen32.exe    X+yvH0cmzkNtaCq+sIYbyv/vpmlkQgSlfWZ7UjjcTLK7MKqeG6n++1p4UcmYCVq/OgJs9rxhG2Z0Yza9UmwRKBh0oKjhdjg=

挖礦主程序執行如下：

總結

近年，隨著游戲市場的火爆，衍生了一大批附屬產品，例如：破解、外掛、私服等。他們圍繞著游戲也有著相當龐大的用戶和市場，出于暴利和制作門檻入門要求低，經常被不法份子利用，將這些工具與一些木馬捆綁在一起傳播，用于秘密竊取用戶信息等。為了我們的電腦和信息安全，建議安裝殺軟進行實時監控。

下圖為金山毒霸查殺該病毒截圖：

IOC(部分)

HASH:

d43dc46caf067003d9a4ac0236548daf

e31d29c651310255ca0a8f3bea2244a6

985631f2f688ad8bbe4840a199f8c884

d988a09423318ab1dadafff1b4f27f1e

8c19d83ff359a1b77cb06939c2e5f0cb

21d5fb15675170dcb3f7ecc7aab5fbde

8df242fd64a9d1fd8d94990d37b1b7c0

3aaa7a0e443543214a43ac158fbde56b

bc7a8dc12a8243ca0e637218da1cd3b7

4f1a6c5cde0796b2632063bd8839fd72

C2：

http://yy.996is.com:30010

http://mine.gsbean.com:8585

URL：

http://www.baihes.com:8282/xm.exe

http://www.baihes.com:8282/cpa.exe

http://xk1.996is.com:66/kj.dll

http://xx.690tx.com:81/100w.exe

http://110.42.8.91:88

https://www.898my.com/