威胁研究正文

PhotoMiner木马挖矿收入8900万 已成门罗币“黄金矿工”

2018-04-24 12:19:21

腾讯御见威胁情报中心近日检测到一个老牌PhotoMiner挖矿木马重新活跃,通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围。该木马自2016年首次被发现至今,其门罗币挖矿累计金额已经达到惊人的8900万人民币,成为名副其实的“黄金矿工”。

0×1 概述

腾讯御见威胁情报中心近日检测到一个老牌PhotoMiner挖矿木马重新活跃,通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围。该木马自2016年首次被发现至今,其门罗币挖矿累计金额已经达到惊人的8900万人民币,成为名副其实的“黄金矿工”。

0×2 样本分析

该挖矿木马伪装成屏幕保护程序.scr文件,降低用户的警惕性,达到诱使用户运行自身的目的。


(伪装成屏幕保护程序.scr文件)

木马运行后,首先会去访问远程服务器,获取挖矿配置信息,配置信息被加密,木马访问获取到配置信息再去解密。


(解密后的配置信息)

如果远程服务器没有返回配置信息,则会启用样本内置钱包地址和矿池,在确定配置信息后,会从自身资源文件中提取矿机程序,并释放到%temp%目录下。利用ShellExecute函数启动矿机程序。启动矿机程序后设置注册表自启动,并且将自身复制到各个磁盘根目录下。


(设置注册表启动)



(复制到所有磁盘根目录)

复制完后,开启线程,线程首先生成随机IP作为FTP服务器进行内置字典破解。


(内置字典)

成功进入FTP服务器后,进行文件查找,目标是后缀为phpPHPhtmHTMxmlXMLdhtmDHTMphtmxhthtxmhtbmlaspshtm的文件,查找到后在文件中添加包含自身的<iframe>元素,并将自已复制到FTP服务器中。


(插入iframe元素)

遍历插入结束后,将FTP服务器信息发送回C2服务器。


(发送回C2服务器)

3 关联分析

根据该木马特点溯源分析其实是PhotoMiner木马,该木马最早发现于20166月,擅长利用FTP服务器字典爆破进行传播,在部分受害者服务器上可以看到被种下的Photo.scr木马。


(受害者服务器上被感染Photo.scr

当其他用户去访问FTP服务器上的感染页面时,就会自动下载Photo.scr,被下载后利用自身伪装成屏幕保护程序,诱使受害者运行。


(被感染的页面)

在溯源时发现PhotoMiner还支持SMB传播的变种。


(溯源过程发现感染两种版本的PhotoMiner

Info.zip为同时支持ftpsmb传播的变种,该变种为NSIS安装包,运行后,挖矿与Photo.src一样,不过还利用arp -a net view获取本地缓存,再使用net use进行帐号密码猜解,成功后,将自身复制到可远程访问和自启动位置。

Net use进行帐号密码猜解)

全球受PhotoMiner感染FTP服务器分布比例。


对其相关钱包地址查询后发现,PhotoMiner挖矿木马已经挖取门罗币高达80094枚,累计金额达到了8911万。


(已挖取到的门罗币)


(挖取的总金额)

4 安全建议

Photominer作为“老年”挖矿木马活跃至今,依然有不少受害者中招,其传播手段虽然老旧但是具有一定效果。腾讯电脑管家提醒用户不要随意运行下载不明程序,对开放端口使用强口令。

腾讯电脑管家反挖矿防护功能已覆盖电脑管家全版本用户,为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行,保持电脑管家运行状态即可对此类挖矿木马进行全面拦截。


0×5 IOC

C2:

stafftest.ru

Hrtests.ru

Profetest.ru

testpsy.ru

Pstests.ru

Prtests.ru

Jobtests.ru

Iqtesti.ru

MD5

fbbcf1e9501234d6661a0c9ae6dc01c9
aba2d86ed17f587eb6d57e6c75f64f05
e3b35ae837911135c70acb0ece15bf84
fe9787b3d1c40d4cec154511f7725da6
6b422988b8b66e54e68f110c64914744

在线咨询

方案定制