集后门、挖矿机和勒索软件的攻击活动分析

研究人员收到一封邮件，其中有一个链接，点击后就下载了一个pik.zip文件。该zip文件的名字很给奇怪руппа Компаний ПИК подробности заказа，翻译过来就是PIK Group of Companies order details（PIK公司订单详情）。也就是说是伪造的PIK公司的文件，PIK是俄罗斯的一家房地产公司，有超过14000名员工。

研究人员分析脚本发现，该脚本使用多种混淆技术进行混淆。在Stage 0阶段有2个主要的混淆流：

· 第一个是引入了伪造了静态fork，比如if和cases；

· 第二个是从动态构建或分成多个关联步骤的嵌套字符串中动态构建函数区块。

Javascript Stage0

该脚本最终会释放和执行一个伪造的图像文件msg.jpg，该文件实际上是一个UPX包Windows PE，属于第二阶段。第二阶段会释放和执行3个额外模块，分别是后门、挖矿机和勒索软件。

Stage0执行

第一个下载的模块（327B0EF4.exe）看着像非常有名的Troldesh勒索软件。该勒索软件会重命名文件并在文件之后加上.crypted000007扩展。比如，加密后，文件1.jpg就变成了hmv8IGQE5oYCLEd2IS3wZQ==.135DB21A6CE65DAEFE26.crypted000007。同时，Crypted000007会创建一个勒索信息保存在桌面上，分别是“README1.txt”, “README2.txt” … README10.txt。病毒文件还会修改桌面的墙纸，下图就是感染阶段的勒索信息：

勒索信息

第二个安装的模块37ED0C97.exe是一个名为nheqminer的挖矿机。Nheqminer是在电脑上进行Zcash挖矿的挖矿机。利用执行时的内存截图可以找出挖矿机是为Zcash.Flypool服务的一个地址进行挖矿。

攻击者钱包地址

截止2019年2月26日，攻击者的钱包共收到挖矿所得4.89 Zcash。从挖矿得到的加密货币数量来看，攻击者的攻击活动应该才刚刚开始，或者受感染的僵尸网络数量还不大。

第三个安装的模块B56CE7B7.exe是Trojan-Heur，该木马在2017年执行针对wordpress网站的暴力破解攻击而知名。

该木马的典型行为与HEUR.Trojan.Win32.Generic类似，包括：

· 下载和安装其他恶意软件。

· 使用计算机进行点击欺诈。

· 记录键盘输入和访问的网站。

· 发送PC相关信息到远程恶意攻击者，包括用户名和浏览历史。

· 给远程恶意黑客访问PC的权限。

· 在用户访问的web页面中注入广告框。

· 随机的web页面文本被转化为超链接。

· 浏览器弹窗推荐虚假更新和其他软件。

木马成功安装到受害者计算机后会暴力破解许多网站寻求弱口令凭证。一旦发现弱口令凭证，就将自己安装到WordPress站点中，名字还是pik.zip。

暴力破解模块和安装路径

下图说明了主要攻击者之间的联系和关系。分析过程中也出现了一些有意思的问题，比如为什么攻击者要伪装成与PIK有关呢？为什么要安装挖矿机和勒索软件？为什么要安装暴力破解木马呢？

研究人员认为，攻击者既想通过勒索软件和加密货币挖矿机赚钱，又想窃取受害者的身份凭证以确保未来的某天可以控制受害者计算机。同时，攻击者让受害者来暴力破解第三方随机网站。这样的攻击活动工作量是非常大的，而且很容易就会被检测到。因此，研究人员认为攻击者背后应该没有政府支持，只是想通过多种方式来获利。