0x1 背景
腾讯御见威胁情报中心监控发现,用户在在运行软件激活、数据恢复等工具软件后,被植入后门木马,木马进一步与远程服务器建立连接、利用Arkei Stealer窃取用户隐私信息、下载挖矿木马、通过远程命令控制机器执行ddos、http_flood攻击。
木马运行流程
分析发现全球有包括中国在内的40多个国家和地区受到Arkei Stealer木马感染,最严重的国家依次为俄罗斯、乌克兰、巴西,且感染机器数还在持续增加。
0x2 木马危害
1)窃取设备信息,包括guid、IP、桌面截图、系统和CPU等
2)窃取加密货币钱包信息,浏览器各类网站登录信息
3)占用计算资源进行门罗币挖矿
4)被控制成为肉鸡,接受命令进行DDOS攻击
0x3 传播渠道
木马作者利用人们不愿意为收费软件付费,喜欢使用破解版软件的心理,将木马植入各类“破解版”、“完整版”、“注册机”程序当中,然后上传到网站提供下载,用户一旦下载使用便会中招。
传播木马的网站hxxps://www.4allprograms.net提供andriod、windows、Mac等系统的各类激活版软件,其中系统激活、office激活、图像处理类软件注册机都存在木马植入。
发现木马的部分软件名(下载时对应文件名):
Corel_All_Products_Keygen_Activator_2018_Full_Version.exe
Winrhizo_software_free.exe
EaseUS_Data_Recovery_Wizard_11_9_0.exe
ARTEAM_MAKAIWARS_v_01_04_01_MOD_1_SIGNED.exe
Microsoft_Toolkit_2_7.exe
Microsoft_Office_2016_Activation_Key_List_Free_Dow.exe
0x4 木马分析
4.1.Ctask.exe分析
木马启动时伪装为进程名ctask.exe,拷贝自身到ProgramData\{xxxxxx}目录然后将自身删除、并释放用于下载update.exe木马的VBS、BAT文件。
木马拷贝自身到programdata目录
木马释放VBS、BAT路径
VBS通过shell执行BAT
BAT利用certutil下载执行木马update.exe
4.2. update.exe分析
1、检测以下软件,如果存在则停止运行
taskmgr.exe
NetMonitor
Process Killer
KillProcess
System Explorer
Process Explorer
AnVir
Process Hacker
OLLYDBG
GBDYLLO
pediy06
FilemonClass
File Monitor
PROCMON_WINDOW_CLASS
Process MonitorRegmonClass
Registry Monitor
检测监控软件
2、将自身注入傀儡进程svchost.exe
注入svchost.exe
3、使用密钥"2P03E3JI5YMCRM8E7"进行异或解密得到服务端域名panel.land-seo.ru
解密域名panel.land-seo.ru
4、从该服务端路径hxxp://panel.land-seo.ru/gate/ 可以看到,服务端提供检查连接、cpu/gpu区分、矿池信息、在线设置以及更新等服务。
5、读注册表SOFTWARE\\Microsoft\\Cryptography获取机器MachineGuid
获取电脑MachineGuid
6、木马与panel.land-seo.ru交互,进行上传、查询、下载
木马与服务端交互
将m=MachineGuid 通过post请求hxxp://panel.land-seo.ru/gate/check.php,返回success代表确认成功。
上传电脑MachineGuid
post请求hxxp://panel.land-seo.ru/gate/checkConnection.php,返回success代表确认连接成功。
检查连接
post请求hxxp://panel.land-seo.ru/gate/pools.php,返回矿池信息。
查询矿池
post请求hxxp://panel.land-seo.ru/gate/cpu.php,返回cpu挖矿木马的下载地址
hxxp://privatlux.pw/file/software.exe。
查询挖矿木马下载地址
Post请求hxxp://panel.land-seo.ru/gate/setOnline.php获取指令远程操控机器
获取指令
云控指令内容
8、privatlux.pw提供cpu.exe、software.exe供木马下载。
8、木马通过get请求hxxp://privatlux.pw/file/software.exe下载CPU挖矿木马。
钱包地址:
48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSW
J4fhdUyZijBGUicoD
钱包信息
4.3.Arkei Stealer分析
Arkei Stealer是一款功能完善的窃密软件,功能包括收集密码,cookies,CC 。
运行后复制自身到系统目录,然后扫描浏览器收集帐号密码信息、桌面截图、获取机器IP地址、MachineGuid、进程信息,然后打包上传到服务器,最后删除自身文件。
支持的浏览器
Chromium Based: Chromium, Google Chrome, Kometa, Amigo, Torch, Orbitum, Opera, Comodo Dragon, Nichrome, Yandex Browser, Maxthon5, Sputnik, Epic Privacy Browser, Vivaldi, CocCoc и другие браузеры, использующие рабочую директорию Chromium.Firefox Based: Mozilla Firefox, Pale Moon, Waterfox, Cyberfox, BlackHawk, IceCat, K-Meleon и другие браузеры, использующие рабочую директорию Firefox.
盗取加密货币钱包信息
Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Exodus, Dash, Litecoin, ElectronCash, ZCash, MultiDoge, AnonCoin, BBQCoin, DevCoin, DigitalCoin, FlorinCoin, Franko, FreiCoin, GoldCoin, InfiniteCoin, IOCoin, IxCoin, MegaCoin, MinCoin, NameCoin, PrimeCoin, TerraCoin, YACoin.
获取桌面截图
调用CryptUnProtectData()解密浏览器数据库中机密数据
获取信用卡信息
读取加密货币钱包信息
获取电脑、系统信息
将数据发送到服务器hxxp://privatlux.pw/server/gate.php
通过腾讯御见威胁情报中心查询到黑客保存受害者信息的位置,目前数据还在不断更新中。
木马获取的受害用户信息
0x5 木马作者
Arkei Stealer木马在上传搜集的用户信息txt文件中记录了作者为俄罗斯黑客。
病毒作者:Foxovsky(伏克斯沃夫斯基,名字很俄国了^_^)
作者销售搭档:t.me/arsenkooo135
通过搜索引擎找到他们在Telegram上面的账号
Foxovsky:
Arsenkooo135:
Arsenkooo135在2017年12月在俄罗斯黑客论坛发布的Arkei Stealer的销售信息,软件售价为5000卢布(折合人民币513元),若做病毒二级分销商,则2000卢布就够了(折合人民币205元)。
而Arsenkooo135作为木马销售者,在俄罗斯各大黑客论坛均有记录,在某些论坛还是管理员,交易的“担保人”。
(页面经过翻译)
0x6 安全建议
1、不要随意使用来历不明的破解、激活工具。需要用到Windows、office、图形图像等专业软件的企业用户建议使用正版软件。
2、保持腾讯电脑管家开启即可拦截该木马。
IOCs:
C2:
hxxp://panel.land-seo.ru/gate/check.php
hxxp://panel.land-seo.ru/gate/checkConnection.php
hxxp://panel.land-seo.ru/gate/pools.php
hxxp://panel.land-seo.ru/gate/cpu.php
hxxp://panel.land-seo.ru/gate/gpu.php
hxxp://panel.land-seo.ru/gate/reg.php
hxxp://panel.land-seo.ru/gate/setOnline.php
hxxp://privatlux.pw/server/gate.php
hxxp://privatlux.pw/server/ grubConfig.php
hxxp://dagwile.org/server/gate.php
hxxp://dagwile.org/server/ grubConfig.php
md5:
560e7877de85bdbc942617312af5a558
f4fa2e5a54717434d8018109a4f4d1d6
39afb61424957397e168b0ca149aa091
d43c337007fe22ab463a314eea1ec2db
d7bd3db256a7dd1fb02b43a7e00a4f70
ffa3c5cf518b30147b728e7a65fd55c9