黄金挖矿工

登录
注册
PhotoMiner木马挖矿收入8900万已成门罗币“黄金矿工” 腾讯电脑管家2018-04-27 首发专栏：腾讯电脑管家关注
腾讯御见威胁情报中心近日检测到一个老牌PhotoMiner挖矿木马重新活跃，通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围。该木马自2016年首次被发现至今，其门罗币挖矿累计金额已经达到惊人的8900万人民币，成为名副其实的“黄金矿工”。
0×1 概述

腾讯御见威胁情报中心近日检测到一个老牌PhotoMiner挖矿木马重新活跃，通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围。该木马自2016年首次被发现至今，其门罗币挖矿累计金额已经达到惊人的8900万人民币，成为名副其实的“黄金矿工”。

0×2 样本分析

该挖矿木马伪装成屏幕保护程序.scr文件，降低用户的警惕性，达到诱使用户运行自身的目的。

1.png

（伪装成屏幕保护程序.scr文件）

木马运行后，首先会去访问远程服务器，获取挖矿配置信息，配置信息被加密，木马访问获取到配置信息再去解密。

2.png

（解密后的配置信息）

如果远程服务器没有返回配置信息，则会启用样本内置钱包地址和矿池，在确定配置信息后，会从自身资源文件中提取矿机程序，并释放到%temp%目录下。利用ShellExecute函数启动矿机程序。启动矿机程序后设置注册表自启动，并且将自身复制到各个磁盘根目录下。

3.png

（设置注册表启动）

4.png

（复制到所有磁盘根目录）

复制完后，开启线程，线程首先生成随机IP作为FTP服务器进行内置字典破解。

5.png

（内置字典）

成功进入FTP服务器后，进行文件查找，目标是后缀为php、PHP、htm、HTM、xml、XML、dhtm、DHTM、phtm、xht、htx、mht、bml、asp、shtm的文件，查找到后在文件中添加包含自身的元素，并将自已复制到FTP服务器中。</p> <p>6.png</p> <p>（插入iframe元素）</p> <p>遍历插入结束后，将FTP服务器信息发送回C2服务器。</p> <p>7.png</p> <p>（发送回C2服务器）</p> <p>0×3 关联分析</p> <p>根据该木马特点溯源分析其实是PhotoMiner木马，该木马最早发现于2016年6月，擅长利用FTP服务器字典爆破进行传播，在部分受害者服务器上可以看到被种下的Photo.scr木马。</p> <p>8.png</p> <p>（受害者服务器上被感染Photo.scr）</p> <p>当其他用户去访问FTP服务器上的感染页面时，就会自动下载Photo.scr，被下载后利用自身伪装成屏幕保护程序，诱使受害者运行。</p> <p>9.png</p> <p>（被感染的页面）</p> <p>在溯源时发现PhotoMiner还支持SMB传播的变种。</p> <p>10.png</p> <p>（溯源过程发现感染两种版本的PhotoMiner）</p> <p>Info.zip为同时支持ftp和smb传播的变种，该变种为NSIS安装包，运行后，挖矿与Photo.src一样，不过还利用arp -a 和 net view获取本地缓存，再使用net use进行帐号密码猜解，成功后，将自身复制到可远程访问和自启动位置。</p> <p>15.png</p> <p>（Net use进行帐号密码猜解）</p> <p>全球受PhotoMiner感染FTP服务器分布比例。</p> <p>11.png</p> <p>对其相关钱包地址查询后发现，PhotoMiner挖矿木马已经挖取门罗币高达80094枚，累计金额达到了8911万。</p> <p>12.png</p> <p>（已挖取到的门罗币）</p> <p>13.png</p> <p>（挖取的总金额）</p> <p>0×4 安全建议</p> <p>Photominer作为“老年”挖矿木马活跃至今，依然有不少受害者中招，其传播手段虽然老旧但是具有一定效果。腾讯电脑管家提醒用户不要随意运行下载不明程序，对开放端口使用强口令。</p> <p>腾讯电脑管家“反挖矿防护”功能已覆盖电脑管家全版本用户，为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行，保持电脑管家运行状态即可对此类挖矿木马进行全面拦截。</p> <p>0×5 IOC</p> <p>C2:</p> <p>stafftest.ru</p> <p>Hrtests.ru</p> <p>Profetest.ru</p> <p>testpsy.ru</p> <p>Pstests.ru</p> <p>Prtests.ru</p> <p>Jobtests.ru</p> <p>Iqtesti.ru</p> <p>MD5：</p> <p>fbbcf1e9501234d6661a0c9ae6dc01c9</p> <p>aba2d86ed17f587eb6d57e6c75f64f05</p> <p>e3b35ae837911135c70acb0ece15bf84</p> <p>fe9787b3d1c40d4cec154511f7725da6</p> <p>6b422988b8b66e54e68f110c64914744</p> <p>专栏<br /> 腾讯电脑管家<br /> 腾讯电脑管家<br /> 204 篇文章<br /> 等级： 8级<br /> 关注<br /> ||<br /> 发表评论已有 3 条评论</p> <p>abc 2018-06-11回复 1楼<br /> 瞎扯淡。那几个地址有8个币？没有你给补齐。</p> <p>查了下，前两个地址就20几个和50几个而已。</p> <p>亮了(0)</p> <p>地址靠谱吗 2018-07-23回复<br /> @ abc</p> <p>你在哪里查的？我去查了两个，连钱包地址都不对呢？</p> <p>亮了(0)</p> <p>xunbu7 (1级) 2018-09-14回复<br /> @ abc 请问哪里查门罗币的收入？</p> <p>亮了(0)<br /> 昵称<br /> 请输入昵称<br /> 必须您当前尚未登录。登陆？注册邮箱<br /> 请输入邮箱地址<br /> 必须（保密）表情插图<br /> 有人回复时邮件通知我<br /> 相关推荐<br /> 2018年最活跃的Satan勒索病毒改行挖矿<br /> 2018年最活跃的Satan勒索病毒改行挖矿<br /> 上周，腾讯御见威胁情报中心再次监测发现最新的撒旦（Satan）病毒，该变种利用JBoss、Tomcat、Weblogic等多个组件漏洞以及永恒之蓝漏洞进行攻击，新增Apache Struts2漏洞攻击模块，攻击范围和威力进一步提升。出人…</p> <p>腾讯电脑管家2018-11-1934641<br /> 暗网非法数据交易是隐私信息安全的重大威胁<br /> 暗网非法数据交易是隐私信息安全的重大威胁<br /> 黑产从业者通过撞库攻击等方式获得的购物订单信息成为电信诈骗的关键数据，这些数据通过暗网平台交易。黑产从业者利用一些平台泄露的帐号密码等信息通过撞库手段，获取更多的用户信息。除了盗号、发广告、刷量（刷…</p> <p>腾讯电脑管家2018-11-1515852<br /> 流氓软件Playbox安装目录一式两份刻意欺负非一线城市网民<br /> 流氓软件Playbox安装目录一式两份刻意欺负非一线城市网民<br /> 腾讯电脑管家发现一款名为Playbox的流氓软件频繁在用户电脑弹出广告，在安装卸载程序上动手脚，安装时会把软件分别写入两个目录。卸载时，会检测用户IP，如果不在北上广深这4个一线城市，Playbox就会卸载一份保留另…</p> <p>腾讯电脑管家2018-11-1418400<br /> “抓鸡狂魔”病毒团伙活动报告<br /> “抓鸡狂魔”病毒团伙活动报告<br /> “抓鸡狂魔” 病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马（如Darkcomet，Njrat等）在全球范围内批量抓肉鸡。控制肉鸡后，收集用户隐私信息、机密文件或者发起DDoS…</p> <p>腾讯电脑管家2018-11-0797431<br /> FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们<br /> 官方微信<br /> 新浪微博腾讯微博Twitter赞助商<br /> Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号<br /> css.php 正在加载中...0daybank</p> <div style="margin-bottom:5px"><a href="" target="_blank" rel="noreferrer"><img src=""></a></div> </div> <div class="footer clearfix"> <div class="tags float-left"> <span>标签：</span> <a>暂无</a> </div> <div class="tool float-right d-none d-lg-block"> <span>最后更新：2018年11月20日</span> </div> </div> </div> <div class="toolbar clearfix"> <div class="meta float-md-left"> <img src="https://sdn.geekzu.org/avatar/00b5017893a5930d4b087cb71519823e?s=96&d=mm&r=g"> <p class="name">小助手</p> <p class="motto mb-0">这个人很懒，什么都没留下</p> </div> <div class="share float-md-right text-center"> <a href="javascript:;" id="thumbs" data-action="love" data-id="17347" role="button" class="btn btn-thumbs "><i class="kicon i-like"></i><span class="ml-1">点赞</span></a> </div> </div> <nav class="navigation post-navigation clearfix" role="navigation"> <div class="nav-previous clearfix"><a title="黑客菜鸟入门" href="https://cve.top/archives/17345.html">< 上一篇</a></div><div class="nav-next"><a title="刺杀金正恩bt" href="https://cve.top/archives/17349.html">下一篇 ></a></div> </nav> <div class="comments" id="comments"> <h3 class="title">文章评论</h3> <div class="list"> </div> <div id="commentpage" class="nav text-center my-2"> </div> <div id="respond" class="comment-respond mt-2"> <div class="error text-center"> 您需要 <a href="https://cve.top/wp-login.php?redirect_to=https%3A%2F%2Fcve.top%2Farchives%2F17347.html">登录</a> 之后才可以评论 </div> </div> </div> </div> <div class="col-lg-4 sidebar sticky-sidebar d-none d-lg-block"> </div> </div> </div> </div> <div class="k-footer"> <div class="f-toolbox"> <div class="gotop "> <div class="gotop-btn"> <span class="kicon i-up"></span> </div> </div> <div class="search"> <span class="kicon i-find"></span> <form class="search-form" role="search" method="get" action="https://cve.top/"> <input type="text" name="s" id="search-footer" placeholder="搜点什么呢?" style="display:none" /> </form> </div> </div> <div class="container"> <div class="row"> <div class="col-12 text-center"> <p class="social"> </p> <p>COPYRIGHT © 2024 CVE.TOP CVE漏洞中文网. ALL RIGHTS RESERVED.</p><p></a></p><p><a href="https://beian.miit.gov.cn/" target="_blank" rel="nofollow">鲁ICP备2022031030号</a></p><p><a href="" target="_blank" rel="nofollow" ><i class="police-ico"></i> 联系邮箱：wpbgssyubnmsxxxkkk@proton.me</a></p> </div> </div> </div> </div> <script type="text/javascript" src="https://cdn.jsdelivr.net/gh/seatonjiang/kratos@v4.3.1/assets/js/lightgallery.min.js?ver=1.4.0" id="lightgallery-js"></script> <script type="text/javascript" src="https://cdn.jsdelivr.net/gh/seatonjiang/kratos@v4.3.1/assets/js/bootstrap.bundle.min.js?ver=4.5.0" id="bootstrap-bundle-js"></script> <script type="text/javascript" src="https://cdn.jsdelivr.net/gh/seatonjiang/kratos@v4.3.1/assets/js/layer.min.js?ver=3.1.1" id="layer-js"></script> <script type="text/javascript" src="https://cdn.jsdelivr.net/gh/seatonjiang/kratos@v4.3.1/assets/js/DPlayer.min.js?ver=4.3.1" id="dplayer-js"></script> <script type="text/javascript" id="kratos-js-extra"> /* <![CDATA[ */ var kratos = {"site":"https:\/\/cve.top","directory":"https:\/\/cdn.jsdelivr.net\/gh\/seatonjiang\/kratos@v4.3.1","alipay":"https:\/\/cve.top\/wp-content\/themes\/Kratos\/assets\/img\/200.png","wechat":"https:\/\/cve.top\/wp-content\/themes\/Kratos\/assets\/img\/200.png","repeat":"\u60a8\u5df2\u7ecf\u8d5e\u8fc7\u4e86","thanks":"\u611f\u8c22\u60a8\u7684\u652f\u6301","donate":"\u6253\u8d4f\u4f5c\u8005","scan":"\u626b\u7801\u652f\u4ed8"}; /* ]]> */ </script> <script type="text/javascript" src="https://cdn.jsdelivr.net/gh/seatonjiang/kratos@v4.3.1/assets/js/kratos.js?ver=4.3.1" id="kratos-js"></script> <script type="text/javascript" id="comment-js-extra"> /* <![CDATA[ */ var ajaxcomment = {"ajax_url":"https:\/\/cve.top\/wp-admin\/admin-ajax.php","order":"asc","compost":"\u8bc4\u8bba\u6b63\u5728\u63d0\u4ea4\u4e2d","comsucc":"\u8bc4\u8bba\u63d0\u4ea4\u6210\u529f"}; /* ]]> */ </script> <script type="text/javascript" src="https://cdn.jsdelivr.net/gh/seatonjiang/kratos@v4.3.1/assets/js/comments.min.js?ver=4.3.1" id="comment-js"></script> </body> </html>