freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

藏在短链接下的挖矿木马:NovelMiner
2018-04-02 15:30:05
所属地 广东省

0x1 概述

使用短链接跳转到长网址是网友分享链接的常见方式,尤其是在有字数限制的情况下,冗长的网址不利于显示,短链生成无疑是最便捷的服务之一。然而,由于短链接隐藏了其指向的真实长网址,用户往往无法无法从短链得知其指向的网址类型,因而经常会因为误点击带毒短链接而电脑中毒。

腾讯安全御见威胁情报中心持续检测到,一款名为NovelMiner的挖矿木马自2017年9月开始隐藏在广告短链接中进行传播。据统计,全球约有100多个国家超过1500万用户由于误点带毒广告页面而自动下载了NovelMiner挖矿木马。

藏在短链接下的挖矿木马:NovelMiner

本次发现的NovelMiner挖矿木马通过挖取ETN以利坊)获利,按一台普通电脑机器0.66 Khash/s算力计算,每天可以挖取到20枚ETN以利坊,月收益约为130人民币。而目前发现的绝大部分挖矿木马都会选择挖取门罗币,在同等算力(0.66 Khash/s)下,每月可以获取0.074枚,月收益约为105人民币。也就是说,从短期看来,一台普通电脑每月挖取到的ETN以利坊收益要比门罗币高出25人民币。

藏在短链接下的挖矿木马:NovelMiner

(ETN全称Electroneum,中文称以利坊,为门罗币的分支币种。ETN在2017年9月14日通过ICO,发行总量为210亿枚,目前交易价格在0.035美元。)

0x2 详细分析

该木马最早出现在2017年8月29日,到现在历经四次版本升级:

V1.0版本:母体为自解压格式文件,内嵌VBS脚本,活跃时间为2017.8.29—2017.10.17 

内嵌的a.vbs内容比较简单,启动后会下载另一个b.vbs

藏在短链接下的挖矿木马:NovelMiner

b.vbs负责下载并启动xmrig挖矿程序,木马常用VBS名及下载代码段:

藏在短链接下的挖矿木马:NovelMiner

V1.0版木马攻击流程

藏在短链接下的挖矿木马:NovelMiner

该版本的下载链接固定为foreground[.]me

V2.0版本:主要对下载域名做了变化,使用lnkredirect[.]com域名,活跃时间 2017.10.17—2017.10.21

藏在SFX中的vbs文件内容:

藏在短链接下的挖矿木马:NovelMiner

V2.0版木马攻击流程:

藏在短链接下的挖矿木马:NovelMiner

V2.0版木马常用VBS名及下载代码段:

藏在短链接下的挖矿木马:NovelMiner

V2.1版:在V2.0版本基础上还有一次小升级V2.1版本,活跃时间2017.10.23—2017.11.14,这次主要对代码做了混淆,该版本SFX文件会附带两个VBS脚本run.vbs以及conf.vbs,Conf.vbs是被混淆过的下载代码:

藏在短链接下的挖矿木马:NovelMiner

Run.vbs负责解密conf.vbs并执行conf代码

矿机程序常用名称 brhost.exe

矿池地址:nicehash

矿池用户名:x2x2,x3x2、X3、X2、x7x2、x7x3、X5233、X7、X4、X5

V2.1版木马攻击流程:

藏在短链接下的挖矿木马:NovelMiner

V3.0版:活跃时间2017.11.24—至今

此版本基于.Net编写,并对EXE文件做了混淆,解密后得到核心代码,vbs被内嵌在.net程序中,解密后可以看到释放vbs的代码:

藏在短链接下的挖矿木马:NovelMiner

V3.0版本攻击流程:

藏在短链接下的挖矿木马:NovelMiner

V3.0版部分文件版本信息:

藏在短链接下的挖矿木马:NovelMiner

V4.0版: 改用delphi语言编写,活跃时间2017.12.17—至今,vbs内嵌在delphi程序中:

藏在短链接下的挖矿木马:NovelMiner

攻击流程与版本V3.0类似,不过从这个版本开始,木马不再使用nicehash矿池而改用nanopool矿池

钱包地址:etnjzKFU6ogESSKRZZbdqraPdcKVxEC17Cm1Xvbyy76PARQMmgrgceH4krAH6xmjKwJ3HtSAKuyFm1BBWYqtchtq9tBap8Qr4M

矿池账号:b196557a6a3b3b7e6dd4d1a70885daaed093c1ae43cb913cc3c8abf0eb2ee79c

0x3 溯源

根据木马在nanopool的信息,查询到该木马目前ETN以利坊余额为1324枚。

藏在短链接下的挖矿木马:NovelMiner

从账户的交易记录看,总交易量达到了56667枚。

藏在短链接下的挖矿木马:NovelMiner

该木马新版在全球控制的算力每天峰值约为100 Khash/s,约占nanopool矿池总算力的1/420,据此可知木马一个月即可得到9万个ETN以利坊,约合3000美元。

藏在短链接下的挖矿木马:NovelMiner

而这仅仅是单账户单币种的收入,木马目前正在使用的矿池账户超过10个。已知木马链接被隐藏到短链中,由于木马文件名并不会暴露在链接中,用户点击之前很难甄别链接真假,容易误下载。

藏在短链接下的挖矿木马:NovelMiner

从短链服务商论坛可以看到,在短链中投放木马的起源甚至可以追溯到2017年3月份。

藏在短链接下的挖矿木马:NovelMiner

该木马已经累计影响全球100个国家超过1500万台机器,其中俄罗斯、中国、泰国受影响最大。

藏在短链接下的挖矿木马:NovelMiner

从国内受影响省市分布图来看,东部沿海地区及紧靠俄罗斯的东北地区受影响比较大。

藏在短链接下的挖矿木马:NovelMiner

在木马V3版本中可以看到pdb信息:

藏在短链接下的挖矿木马:NovelMiner

从pdb信息可以看出,该挖矿木马已经到了V3版本了,从作者机器名可以看出属于俄语区,“роаипроаип”英文译作“NovelNovel”,此木马取名为“NovelMiner”。

0x4 结语

近年来,短链服务越来越被大众熟悉,由于其隐藏了真实链接,容易留给不法分子可乘之机。腾讯电脑管家提醒用户不要随意点开未知来源的陌生链接,电脑管家的“反挖矿防护”功能已覆盖电脑管家全版本用户,为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行,保持电脑管家运行状态即可对此类挖矿木马进行全面拦截。

藏在短链接下的挖矿木马:NovelMiner

0x5 IOCs

矿池代理:

144.76.8.69:8333

144.76.201.175:8080

5.101.122.228:8080

141.8.224.221

http[:]//pool.gq/

http[:]//c.nana.gq/

http[:]//pooling.cf/

http[:]//adespresso.ru/

http[:]//a.pool.ml:8443/

Url:

http[:]//.browge[.]com/2

http[:]//.browge[.]com/3

http[:]//foreground.me/m/7.png

http[:]//Y.browge

http[:]//M.1395867912.p

http[:]//9.linkgetapp.nl/x3

http[:]//.linkgetapp.nl/x5

http[:]//foreground.me/m/4.ico

http[:]//adsertta.lnkredirect[.]com/get

http[:]//linkbbb.lnkredirect[.]com/get

http[:]//symail.cf/ytgyerrwqr/sdfdwert.x4

http[:]//foreground.me/m/6.ico

http[:]//zbabx.99lnk[.]com/y8btd3lq

http[:]//zxczx.clck.gg/C3S7Z

http[:]//alnkaa.lnkredirect[.]com/get

http[:]//txt3.clck.gg/C3S7Z

http[:]//xzcawa.99lnk[.]com/y8btd3lq

http[:]//foreground.me/m/3.ico

http[:]//cxzvw.lnkredirect[.]com/get

http[:]//sadsadw.lnkredirect[.]com/get

http[:]//sevizer.me/ix/2222-1.png

http[:]//wwwredirect.net/ybwb9xoo/

http[:]//vwpvbses.lnkredirect[.]com/get

http[:]//ncnqwe.99lnk[.]com/y8btd3lq

http[:]//symail.cf/a43af/d4qadf.png

http[:]//vcxzsae.lnkredirect[.]com/get

http[:]//bcd.99lnk[.]com/y8btd3lq

http[:]//nanerop.lnkredirect[.]com/get

http[:]//hostlnk.ml/get.xml

http[:]//lvbcnsa.browge[.]com/1

http[:]//symail.cf/ytgywbehrwqr/sdfgwert.get

http[:]//cxzeasdb.lnkredirect[.]com/get

http[:]//symail.cf/ytgywbehrwqr/sdfgwert.x4

http[:]//gethost.lnkredirect[.]com/get

http[:]//ldsdaws.browge[.]com/2

http[:]//ltext.browge[.]com/1

http[:]//redirget.lnkredirect[.]com/get

http[:]//luoopds.browge[.]com/2

http[:]//xzcbn.99lnk[.]com/y8btd3lq

http[:]//hostlnk.ml/get.php

http[:]//foreground.me/m/8.png

http[:]//txt3.99lnk[.]com/y8btd3lq

http[:]//rfg.99lnk[.]com/y8btd3lq

http[:]//clck.gg/C3S7Z

http[:]//wwwaaaddd.lnkredirect[.]com/get

http[:]//lgygsk.browge[.]com/1

http[:]//randaers.lnkredirect[.]com/get

http[:]//redirceer.lnkredirect[.]com/get

http[:]//lxnww.lnkredirect[.]com/get

常用文件名:

f.exe

crypnext.exe

drv.exe

lie0wkn6.exe

se.exe

setup_random.exe

drive-download-random.exe

ei4t4rtu.exe

bilo_random.exe

Browge.exe

[File4org]_random.exe

[DFilesnet]_random.exe

[Dropmefiles]_random.exe

[DropFile]_random.exe

[RapidFiles]_random.exe

[File4org]_random.exe

[Dropbox[.]com]_random.exe

MD5:

9e9ebacc12cdf00b94276207a34d922b

4affe3e26284ac9fff86ca2da9e35257

fbebfa3295796d7e3aaadddde6dc6633

f06a07a3496a0de4bd92d7e2ba99cf16

214173019d6bd645a414decd1efb26f2

28662be178b56169a44525d709ab6b74

e9e5556917e6bba1ca77b360298bd679

db5aa7a51c099676365b5db5ea5d6e24

3dff22e41150ec4cc8ea62ec9df8660f

800b376f4767d814751adaac35718433

*本文作者:腾讯电脑管家,转载请注明来自 FreeBuf.COM

# 挖矿木马 # NovelMiner
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者