安全 | 色情广告挂马分析：记一次挂马与挖矿之间的“亲密接触”

知乎用户YDgb8i

作者：腾讯电脑管家
链接：色情广告挂马分析：记一次挂马与挖矿之间的“亲密接触” - FreeBuf.COM | 关注黑客与极客

1 写在前面

近日，腾讯安全反病毒实验室发现，有一类木马通过网页广告挂马的方式大规模传播。广告内容为色情链接，诱导用户点击。

链接中嵌入了一段触发IE漏洞的JS脚本，如果用户电脑的IE浏览器没有及时打好补丁，那么点击链接后将会中招。

木马除了给受害者电脑上添加后门、窃取隐私信息之外，还会运行数字货币挖矿的程序从中获利。同时反病毒实验室还发现，木马作者服务器上还保存着 linux 等平台的木马，以及大量受控服务器后台地址，有可能进一步发动挖矿等更大规模的攻击。

下面带来详细的分析。

2 技术分析

2.1. 挂马

色情广告网页中内嵌了带有混淆的JS脚本：

解密后是利用 CVE-2016-0189 漏洞：

CVE-2016-0189 漏洞是 IE 浏览器脚本引擎漏洞，影响 IE9/10/11 浏览器，由于漏洞利用简单且影响范围大，稳定性好，不容易造成崩溃， CVE-2016-0189 漏洞已经成为黑客最常用的漏洞工具之一。木马会从服务器上下载可执行文件在用户电脑上执行。

登录到木马的服务器，发现木马服务器上存放着有pe，elf，压缩包等格式的文件。文件中包含了后门木马程序，开源挖矿工具以及疑似被攻击目标，下面我们从这几个方面进行详细介绍：

2.2. 后门木马

服务器上Server.exe，build.exe ，dashu.exe三个文件，是同一类型的后门程序。通过对比，只是在创建服务程序时，服务名称和描述不一样：

后门程序第一次运行时会检查服务是否已经存在，如果不存在的话，会把自己重命名为随机文件名，然后拷贝到 C:\windows\system32 文件夹下，以服务的形式启动：

如果是通过服务的形式启动，就执行后门逻辑。

目前分析，后门主要的危害包括：下载并执行恶意文件，启动IE访问某个恶意URL等。

这里下载的可执行文件，黑客可以根据自己的需求进行配置。如果配置了服务器上存放的挖矿程序 system.exe，那么此时肉鸡就变成了黑客的发财工具。

除了以上两个功能外，还包含了大概31种其他的与服务器进行交互的功能。基本思路是接受服务器传来的参数，解密并执行。

经过分析，服务器上存放 sbwang、gnmbs 等 elf 文件，也是带有后门功能的 linux 木马。

2.3 挖矿工具

服务器中的最后一个 system.exe 是与挖矿有关的可执行文件。运行后，system.exe 会在 C:\sys 目录下释放多个文件，随后拉起 nheqminer1.exe 进程，运行参数包含矿池地址和钱包地址，并修改注册表，设置 system.exe 开机自启动，这样中招用户每次开机后，都会执行挖矿的程序，给木马作者带来源源不断的收益。

上图展示的 system.exe 所释放的文件，属于 github 开源的挖矿框架 nheqminer 。这里挖掘的是 Zcash ，Zcash 类似比特币，但又有所不同。比特币等数字货币以交易的隐蔽性著称，但可以通过比特币区块链的记录追踪交易，人们可以准确获知比特币的发送者。Zcash 对交易数据进行了匿名处理，而不是像比特币那样要将交易数据公布于大众。同时，挖矿消耗资源较少，个人电脑即可满足挖矿的需求。

2.4. 被攻击目标

ips.rar 文件中存放的是扫描到的部署有 phpmyadmin 的服务器地址