贪狼Rootkit僵尸家族再度活跃:挖矿+DDOS+劫持+暗刷

概述

“Ghost”盗版系统和系统激活工具一直都是国内病毒传播的重要渠道之一,尤其以Rootkit/Bootkit 类型的顽固病毒居多,此类病毒安装普遍早于安全软件,大多会通过内核层来隐藏保护自身模块,并凭借植入时机的先手优势和安全杀软进行深层对抗。

近期通过“捕风”威胁感知系统监控,我们发现“贪狼Rootkit僵尸家族在近 2 个月开始再次活跃,“贪狼”病毒一直都是盗版系统预装渠道中的活跃家族,早期变种可以追溯到 2015 年,起初主要用于主页劫持和流量暗刷,从我们的监控记录看,“贪狼”基本上每年都会有一次较大的活跃更新,在 17 年初曾被安全友商命名为“狼人杀”并分析曝光,短暂潜伏以后在 17 年 9 月份又出现过小幅更新,今年 6 月份开始“贪狼”家族开始再度活跃,除了 Http(s)劫持模块不断加强外,开始顺应黑产潮流加入“门罗币”挖矿功能模块,并且在 6 月 4 号开始通过更新渠道下发“Hydra”DDOS 木马插件,“贪狼”僵尸网络的威胁度和攻击性正在不断加强。

正文

贪狼Rootkit病毒主要通过 ghost 系统等渠道感染用户计算机,通过多种方式隐藏自身、对抗杀软,同时模块众多,功能灵活复杂。不同模块分别实现浏览器劫持、ddos 攻击、加密货币挖矿、刷量等功能。根据检测到的感染量估算全国超过 50 万机器遭到感染。

模块名 主要功能
Platform.dll 功能模块更新、加载等
ConsoleApplication8.dll 门罗币挖矿
HydraClient.dll DDOS 攻击
StevenRobot.dll 上报、下拉配置
mLoader.dll 插件加载器
UserFramework.dll 插件核心框架、
KernelManager.dll 插件管理
HSManager.dll 主页劫持
WebBrowser.dll 后台广告刷量
AppManage64.dll 浏览器劫持
SSLHijack1.0.6-win64.dll HTTPS 劫持
Hijack.dll 浏览器劫持
KernelHijack.sys 内核劫持模块

各模块通过联网下载到本地执行,被 RC4 或 AES 加密;且都有统一的导出名称 BsProcessStartup、BsDllStartup、BsCleanup、BsEnvironment;

“贪狼”Rootkit 僵尸家族再度活跃

模块被注入到目标进程后直接调用 BsProcessStartup 或 BsDllStartup;BsProcessStartup 和 BsDllStartup 首先确定加载基址,并获取 peb、teb 相关信息初始化导出结构体 BsEnvironment,然后进行重定位修复、导入表初始化、CRT 初始化、添加异常处理表等前置工作,最后进入主功能函数。

模块自加载,自初始化流程:

“贪狼”Rootkit 僵尸家族再度活跃“贪狼”Rootkit 僵尸家族再度活跃

由于模块众多,下面简单分析其中几个模块的主要行为。

核心驱动模块

1、驱动加了 VMP 壳保护,加载后注册进程回调、映像回调、注册表回调、关机回调,并创建 3 个内核线程;

2、通过进程回调 APC 注入内置 Platform.dll 到 lsass.exe,Platform.dll 执行真正的病毒行为;

3、映像回调拦截浏览器进程的杀软模块加载;

4、注册表回调保护自身驱动服务项;

5、关机回调回写自身驱动文件和注册表服务项

“贪狼”Rootkit 僵尸家族再度活跃

R3 层核心框架 Platform.dll

该模块是驱动内置的模块,核心功能是加载挖矿模块和下载配置文件并更新其他模块。

1、加载内置的 ConsoleApplication8.dll(挖矿模块);

2、挂钩 NtQuerySystemInformation(针对 taskmgr.exe,进程名过滤);

3、挂钩 LdrLoadDll(针对 360se.exe、360chrome.exe),过滤杀软的浏览器保护模块

“贪狼”Rootkit 僵尸家族再度活跃

4、访问 C&C 服务器,内置多个备用服务器地址;上传机器信息并下载配置文件,

hxxps://client.115ww.com/api/_mv_bamboo.html?REV=0&RC=0&PID=3&CID=0&UID=0&VER=0&RM=&DMJ=0&DMN=0&DBL=0&UMJ=0&UMN=0&UBL=0&MID=&BW=64&NTMJ=6&NTMN=1&NTBL=7601&NTSPMJ=1&NTSPMN=0&NP=1&MM=2146951168&OSTC=1843198&SVSN=C6BDE606&SVFS=NTFS;

“贪狼”Rootkit 僵尸家族再度活跃

配置文件解密后如下:

“贪狼”Rootkit 僵尸家族再度活跃

5、根据配置文件进一步下载其他模块并加载执行。

内嵌“门罗币”挖矿模块 ConsoleApplication8.dll

pdb 路径:

L:\github\ConsoleApplication8\x64\Release\ConsoleApplication8.pdb

1、 ConsoleApplication8.dll 内置一个 zip 文件,包含 config.json、start.cmd、xmrig.exe;

2、 查询注册表 [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\KingsoftInternet Security]的值“UninstallString”,成功则直接返回,不进行挖矿

“贪狼”Rootkit 僵尸家族再度活跃

3、 解压 zip 文件并加载挖矿模块进行挖矿;

4、 挖矿钱包和矿池地址如下:

“贪狼”Rootkit 僵尸家族再度活跃

浏览器劫持模块 AppManage.dll

pdb 路径:

E:\Code\Ivipm\source\AppManger\AppManger\x64\Release\AppManage.pdb

通过 APC 方式被注入到进程,如果进程是 360se.exe、360chrome.exe,则查找并删除文件 sesafe.dll;

“贪狼”Rootkit 僵尸家族再度活跃

如果进程是以下杀软进程,则查找并删除文件 QMProtect.dll、QMProtect64.dll、QMIESafeDll.dll、QMIESafeDll64.dll;如果进程名包含 qqpc 则直接退出进程。

“贪狼”Rootkit 僵尸家族再度活跃

“贪狼”Rootkit 僵尸家族再度活跃

如果进程是 explorer.exe,则挂钩 CreateProcessInternalW、RtlCreateProcessParameters、ZwCreateUserProcess、RtlCreateProcessParametersEx,对以下浏览器进程的命令行参数进行劫持;

“贪狼”Rootkit 僵尸家族再度活跃

“贪狼”Rootkit 僵尸家族再度活跃

同时还会向系统添加根证书,用于https 劫持

“贪狼”Rootkit 僵尸家族再度活跃

DDOS 攻击插件 HydraClient.dll

pdb 路径:

C:\Users\Lon\source\repos\DDos\x64\Release\HydraClient.pdb

该模块通过 APC 方式被注入到进程 wuauclt.exe,是 DDOS 攻击模块;CC 地址为 115.231.219.32;支持常见的 DDOS 攻击方式。

“贪狼”Rootkit 僵尸家族再度活跃

“贪狼”Rootkit 僵尸家族再度活跃

“贪狼”Rootkit 僵尸家族再度活跃

附录 IOC:

MD5

2ECEE431A394538DD8B451B147D684AD

IP

115.231.219.32

URL

hxxps://down.135h.com/save/chilli/DwYQ0YY0x6.jpg

hxxps://down.135h.com/save/chilli/CUYQ0YY0x6.jpg

hxxp://ix.135gg.com/api/_mcv_chillis.html

hxxp://client.135gg.com/api/_msv_software.html

hxxp://client.115ww.com/api/_mv_bamboo.html

hxxp://client.335dh.com/api/_mv_bamboo.html

hxxp://client.115ll.com/api/_mv_bamboo.html

DOMAIN

ix2.135gg.com

ix.135gg.com

ixs.115rr.com

lps.115rr.com

ixs.135h.com

50star.com

tj.16610.com

pp.fatdit.com

http://www.faafox.com

ix.faafox.com

client.faafox.com

aoyouw.cftmon.com

osipad.fatdit.com

bs.xobvb.com

bs.unaout.com

gang[1|2|3|5|6].info

*本文作者:渔村安全,转载请注明来自 FreeBuf.COM


Summer Blog , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:贪狼 Rootkit 僵尸家族再度活跃:挖矿+DDOS+劫持+暗刷
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址