近日,网络安全公司ESET的研究人员宣称他们发现了一个此前从未被公开报道过的僵尸网络,并将其命名为“VictoryGate”。
根据ESET研究人员的说法,VictoryGate僵尸网络至少在2019年5月就已经存在,大约由35000台受感染设备组成,其中90%都位于拉丁美洲(尤其是秘鲁)。
僵尸网络的主要活动是挖掘门罗币(挖矿时会占用90-99%的CPU资源),且能够根据从C2服务器接收的命令下载并执行新的有效载荷。
传播媒介
ESET研究人员表示,他们目前能够确认的唯一传播媒介是U盘。所有恶意文件的名称和图标都与原始文件完全相同,如果不仔细查看“文件类型”和“文件大小”,你几乎不可能看出端倪。
图1.原始文件和恶意文件的对比
实际上,所有恶意文件都是使用如下图所示的模板编译的AutoIt脚本。在每次编译时,每一个文件都会被赋予随机的元数据。因此,即使是同一个脚本,它的哈希值也不是固定的。
图2.用于编译AutoIt脚本的模板
当这些文件中的一个被打开时,AutoIt脚本除了会启动初始模块外,还将打开另外两个隐藏的文件。
图3.启动初始模块
一旦初始模块启动,它就将在%AppData%中创建自身的副本,并在启动文件夹中创建指向该副本的快捷方式,作为长久驻留机制。
分析表明,该模块是一个大约200MB大小的.NET程序集,其中包含带有垃圾字节的庞大数组,这样做可能是为了绕过一些安全产品的检测。
初始模块的主要任务是将一个AutoIt脚本注入vbc.exe进程,而该脚本则负责与C2服务器通信、下载及执行有效载荷,以及不断扫描以检测是否有新的U盘插入(如果有,则使用恶意文件替换原始文件,以实现自我传播)。
图4.vbc.exe进程注入
C2通信
根据ESET研究人员的说法,VictoryGate支持如下C2命令:
图5.C2命令
有效载荷
下载的有效载荷通常也是AutoIt编译的脚本,执行后会首先在启动文件夹中创建一个计划任务和一个快捷方式,以实现新的二进制文件的长久驻留,大致的执行流程如下:
图6.有效载荷的执行流程
有效载荷的终极任务是将门罗币挖矿脚本(XMRig)注入到合法的Windows进程中,以执行隐蔽的挖矿活动(打开任务管理器,挖矿活动将暂停)。
从ESET收集的数据来看,每天执行挖矿活动的设备约为2000台,平均挖矿率为150H/s。也就是说,这场挖矿活动背后的操控者截止到目前至少已经到手了80枚门罗币(约合6000美元)。
结语
VictoryGate是一种新出现的僵尸病毒,它正通过U盘传播,好在主要活跃在拉丁美洲。不过,我还是想要提醒各位,好奇心这个东西,有时候真的会给你带来无妄之灾。感兴趣的朋友可以看一下我的另外一篇文章——《黑客如何让你乖乖中招?在路边扔一个U盘就够了》。
添加新手交流群:币种分析、每日早晚盘分析
添加助理微信,一对一亲自指导:YoYo8abc
