不喜欢写那么多密密麻麻的字，直接贴图。

         腾讯御见威胁情报中心监测到“贪吃蛇”挖矿木马团伙针对MS SQL服务器进行暴破攻击，攻击成功后利用多个提权工具进行提权，随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术，可绕过大部分软件防火墙，多次利用大厂商白文件进行攻击。【转】

5）执行挖矿操作

2) 判断是否是管理员用户，如果是管理员用户会执行如3-11的操作

3）创建一个名为clr_optimization的服务，映像路径如下：%windowsdir%\ Framework\mscorsvws.exe

4）判断是否存在C:\WINDOWS\Microsoft.NET\Framework\mscorsvws.exe，如果存在，则执行，否则创建文件mscorsvws.exe，并这是只读，隐藏，系统属性

5) 创建C:\WINDOWS\Microsoft.NET\Framework\aspnet_wp.exe，并设置只读，系统，隐藏属性，并执行。此样本是一个白加黑的样本。

6) 创建C:\WINDOWS\Microsoft.NET\Framework\ETComm.dll，这是aspnet_wp.exe的必备组件

7）创建C:\WINDOWS\MpMgSvc.dll文件

8）给如下进程进行提权，主要提升如下权限：SeRestorePrivilege，SeBackupPrivilege，SeSecurityPrivilege，SeTakeOwnershipPrivilege，其中需要提权的进程主要有"

9）利用calc工具拒绝system对C:\Windows\Fonts*.exe进行访问

12）判断程序是在32位系统中还是64位系统，由此解密不同的恶意文件

13) 在当前目录下创建TrustedInsteller.exe，TrustedInsteller.exe是一个挖矿程序，然后执行挖矿：
矿池为pool.usa-138.com:80，
钱包地址为4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S。

14）通过dump侵入svchost.exe执行傀儡进程操作的文件。首先程序会Kill rundll32.exe这个进程，这步的目的是后续的样本会使用rundll32.exe加载dll文件

1）创建文件C:\WINDOWS\Help\Helpsvc.exe.创建名为WinHelpSvcs的服务，二进制文件为Helpsvc.exe，实现永久化

2）将HelpSvc.exe设置系统隐藏属性

• aaaa.usa-138.com
• ec1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4I4L8q4)9J5k6e0c8A6y4$3W2Q4x3X3g2U0L8$3#2Q4x3V1j5K6x3W2)9J5k6h3g2^5k6b7`.`.
• dd2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0c8A6y4$3W2Q4x3X3g2U0L8$3#2Q4x3V1j5I4x3g2)9J5k6h3g2^5k6b7`.`.
• o.ry52cc.cn,aaaa.usa-138.com
• o.ry52cc.cn
• vtqq.f3322.net
• f35K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3#2W2L8h3g2B7k6i4u0J5P5g2)9J5k6i4c8G2M7l9`.`.
• syw520.3322.org
• 19cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4I4L8q4)9J5k6e0c8A6y4$3W2Q4x3X3g2U0L8$3#2Q4x3V1j5$3y4q4)9J5k6h3g2^5k6b7`.`.

• 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf
• 86c2b941b1f9ad3b461ca4902f7920b68180bc0f8cf9e7ed53e34a8971e3f95a
• bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22
• 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624
• abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1
• 7538b643ed550032aad2c11e650c51d7c261cf8c714c34bd636164a7518184c0
• 678a4b2c0377bb500b34c6b80f54ef26583adc31a9ad7b899e1579143e3f6624
• e8c726d1301ac3cdbf2532f5d54e93fc7620cab76381b35ac5f6c5990b19efa1
• d56fc3208cace3c87a7ce2b3520519ee8003c4324bb8da6aaf3c8c629a5eef6d
• abd4afd71b3c2bd3f741bbe3cec52c4fa63ac78d353101d2e7dc4de2725d1ca1
• 6e81d7c71b3e8d731e11ad75d3dac02a4210c9f90fac618af5c00cbce3718658
• 5681ae28f984efd6bf1f2ed324cf9a9a14834a8738d58a295aee1bd5fb0d40bf

• 1）下载多个恶意文件或者白加黑文件，如mscorsvws.exe，aspnet_wp.exe等
• 2）链接aaaa.usa-138.com，与C2进行交互
• 3）链接578K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4I4L8q4)9J5k6e0c8A6y4$3W2Q4x3X3g2U0L8$3#2Q4x3V1k6Q4c8e0g2Q4z5e0u0Q4z5p5y4Z5N6s2c8H3i4K6y4m8i4K6u0r3i4K6u0r3y4r3V1%4K9g2)9J5k6h3y4G2L8g2)9J5c8W2!0q4z5g2)9^5y4#2)9^5b7g2!0q4y4W2)9&6y4q4!0n7c8g2!0q4y4g2)9&6x3q4)9^5c8g2!0q4z5g2)9&6y4#2!0m8z5q4!0q4y4#2!0m8z5q4)9^5b7W2!0q4y4g2!0n7b7g2)9^5c8W2!0q4y4g2)9&6x3W2)9^5b7#2!0q4y4W2)9^5b7#2)9&6y4W2!0q4y4#2)9&6c8W2!0n7c8W2!0q4y4#2!0m8z5q4)9^5b7W2!0q4y4g2!0n7b7g2)9^5c8R3`.`.
• 4）创建服务用于常驻

• 5）执行挖矿操作

  

• 1) 得到的原始样本SHA值为bdc2aeb40e7d81c48474392ba5ea4bfa32ef430a78cb86ef2e619ee21b27da22，加了UPX的壳，脱去外壳得到样本

• 2) 判断是否是管理员用户，如果是管理员用户会执行如3-11的操作
  

• 3）创建一个名为clr_optimization的服务，映像路径如下：%windowsdir%\ Framework\mscorsvws.exe
  

• 4）判断是否存在C:\WINDOWS\Microsoft.NET\Framework\mscorsvws.exe，如果存在，则执行，否则创建文件mscorsvws.exe，并这是只读，隐藏，系统属性
  

• 5) 创建C:\WINDOWS\Microsoft.NET\Framework\aspnet_wp.exe，并设置只读，系统，隐藏属性，并执行。此样本是一个白加黑的样本。
  

• 6) 创建C:\WINDOWS\Microsoft.NET\Framework\ETComm.dll，这是aspnet_wp.exe的必备组件
  

• 7）创建C:\WINDOWS\MpMgSvc.dll文件
  

• 8）给如下进程进行提权，主要提升如下权限：SeRestorePrivilege，SeBackupPrivilege，SeSecurityPrivilege，SeTakeOwnershipPrivilege，其中需要提权的进程主要有"

  • C:\Windows\system32\sethc.exe，
  • C:\Windows\system32\osk.exe
  • C:\Windows\system32\Magnify.exe,
  • C:\Windows\system32\Narrator.exe
  • C:\Windows\system32\Utilman.exe
    

• 9）利用calc工具拒绝system对C:\Windows\Fonts*.exe进行访问
  
  

• 10）创建从60aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0c8A6y4$3W2Q4x3X3g2U0L8$3#2Q4x3V1j5I4x3g2)9J5k6h3g2^5k6g2!0q4y4g2!0m8y4q4)9^5y4q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5z5q4)9&6b7W2!0q4y4g2!0n7b7W2!0n7b7e0p5I4i4K6u0W2k6i4S2W2i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4@1t1&6i4@1t1$3i4@1f1$3i4K6R3&6i4@1p5%4i4@1f1^5i4@1p5I4i4K6S2o6x3e0q4Q4x3X3g2W2P5r3f1`.
• 11）如果不是管理员用户，则使用傀儡进程技术
  

• 12）判断程序是在32位系统中还是64位系统，由此解密不同的恶意文件
  

• 13) 在当前目录下创建TrustedInsteller.exe，TrustedInsteller.exe是一个挖矿程序，然后执行挖矿：
  矿池为pool.usa-138.com:80，
  钱包地址为4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S。
  

• 14）通过dump侵入svchost.exe执行傀儡进程操作的文件。首先程序会Kill rundll32.exe这个进程，这步的目的是后续的样本会使用rundll32.exe加载dll文件
  

• 15）检测路径是否处于%windows%下，接着设置服务函数ServiceProc分析服务函数，我们知道其执行了一下三个重要操作。1.提升进程权限，创建伪句柄，2.并且与CC服务器交互3.获取设备相关信息(主要包括处理器信息，系统物理和虚拟内存使用情况，设备驱动器信息和驱动程序信息)
  
  
  
• 16）开始服务aspnet_staters
  
• 17）并设置程序自启动
  
• 18）设置注册表数据,主要是设置aspnet_staters服务的相关信息，以便其他样本读取，并判断是否被感染
  
• 19）检索大多数 国内安全厂商进程
  

  0x4.2 11.exe分析

• 1）创建文件C:\WINDOWS\Help\Helpsvc.exe.创建名为WinHelpSvcs的服务，二进制文件为Helpsvc.exe，实现永久化
  

• 2）将HelpSvc.exe设置系统隐藏属性
  

• 3）创建C:\WINDOWS\Help\Winlogon.exe同样设置隐藏系统属性，并执行。
  
• 4）创建C:\WINDOWS\Help\active_desktop_render.dll文件
  
• 5）删除服务
  
• 6）配置IPSEC安全策略(DNS桥隧通信)
  
• 7）利用cacls禁止system用户对如下文件访问
  • C:\ProgramData\Storm\update\%YOUSHIZHUAY%*.cc3
  • C:\ProgramData\DRM\%SESSIONNAME%*.cc3
  • C:\ProgramData\Storm\update\%SESSIONNAME%*.cc3
• 8）关闭LanmanServer和Schedule服务
  
• 9）自删除
  

• C:\Windows\system32\sethc.exe，
• C:\Windows\system32\osk.exe
• C:\Windows\system32\Magnify.exe,
• C:\Windows\system32\Narrator.exe
• C:\Windows\system32\Utilman.exe
  

• C:\ProgramData\Storm\update\%YOUSHIZHUAY%*.cc3
• C:\ProgramData\DRM\%SESSIONNAME%*.cc3
• C:\ProgramData\Storm\update\%SESSIONNAME%*.cc3

• 1）首先这是一个白加黑的样本，利用kugou需要加载active_desktop_render.dll调用SetDesktopMonitorHook的原理，改写active_desktop_render.dll文件，实现白加黑的技术。主要分析在于对active_desktop_render_new.dll的分析
• 2）HOOK svchost进程，为了是为了调用TrustedInstaller.exe_进行挖矿。
  
• 3）这三个删除创建操作是为了恢复原来存在的active_desktop_render.dll文件
  
• 4) 检索HelpSvc.exe，并终止进程
  
• 5）键盘记录
  
• 6）传输音频数据
  
• 7）截屏
  

• 1) 首先这是利用白加黑实现的一次攻击，通过酷狗音乐调用SetDesktopMonitorHook进行团伙的黑操作。
  
• 2) 样本会侵入svchost这一个系统关键宿主进程，这样为了迷惑用户，以至于难以察觉。从编码方式上来看，是同一个作案团伙，同样使用jmp-API,或者jmp-Fun这类操作，没有直接调用函数或者API，有效阻碍分析人员分析。
  
  
• 3) 由于样本是白加黑，为了避免由于黑文件存在影响正常的功能，所以样本会释放以前正常的dll文件，并替换。
  
• 4) 最后程序会终止HelpSvc.exe进程
  

  0x4.5 MpMgSvc.dll分析

• 1）从样本维度看，这是一个dll文件，暂时没有找到调用他的PE文件，所以一下只能从功能上分析。由此可知，这是一个连接C2,并根据不同的指令执行对应的操作，包括检索服务信息，设置服务，获取会话，用户信息，关闭指定进程，断开注销会话等操作。
  
• 2）创建服务和设置服务的启动状态，借此实现常驻内存。
  
• 3）获取用户信息，检索会话信息，根据不同指令，执行不同操作
  
  
  
• 4）通过管道通信，传输用户信息
  
  
• 5）判断进程列表中是否存在指定的进程
  
• 6）检索windows窗口信息
  
• 7) 获取机器相关信息
  
  

  0x4.6：aspnet_wp.exe

• 1) 盛大的白加黑文件，黑文件是ETComm.dll，其中ETComm.dll。而且运行之后会跑非，怀疑存在反调试，OD设置中断在系统断点，加载后，中断。然后Alt+E，找到ETComm.dll脱壳。最好不要使用直接对dll脱壳，这样修复有点问题。
• 2）创建clr_optimization_v3.0.50727_32服务
  
• 3）入侵svchost.exe进程
  
• 2) 释放隐藏文件ETCom m.dll到当前目录，这其实是正常的ETComm.dll，当操作执行完毕后，删除黑文件ETComm.dll
  
• 3) 终止mscprsvws.exe，爆破sql
  
• 4）通过dump入侵svchost.exe的PE，主要功能是启动aspnet_wp.exe对应的服务。并设置自启动
  
• 5）在特定情况下也会解析如下域名
  • o.ry52cc.cn
  • aaaa.usa-138.com
  • o.ry52cc.cn
  • vtqq.f3322.net
  • syw520.3322.org
  • 33dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3#2W2L8h3g2B7k6i4u0J5P5g2)9J5k6i4c8G2M7l9`.`.
    

    0x5 最后

• o.ry52cc.cn
• aaaa.usa-138.com
• o.ry52cc.cn
• vtqq.f3322.net
• syw520.3322.org
• 33dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3#2W2L8h3g2B7k6i4u0J5P5g2)9J5k6i4c8G2M7l9`.`.
  

  0x5 最后

[培训]科锐逆向工程师培训第53期2025年7月8日开班！