灰帽黑客:Webfreer翻墙浏览器隐藏挖矿木马

访客4年前 (2020-01-14)关于黑客接单374

自2009年比特币问世后，短短8年时刻，虚拟币商场涌现出数十种根据区块链技能的虚拟币，催生了“炒币热”。虚拟币经过耗费计算机计算力来发生钱币，面临万亿市值的虚拟币商场，不少不法分子动起了坏心思，“前仆后继”地踏上不一样的挖矿之路。

近来，腾讯安全反病毒实验室监测到一反常流量，经过分析发现是一款名为”Webfreer”的翻墙浏览器存在猫腻。该浏览器在用户不知情的情况下，悄然发起挖矿程序进行挖矿（主要是比特币和门罗币），使中毒机器变得反常卡慢，呈现网速变慢等症状。Webfreer浏览器经过官网（www.webfreer.com）、软件下载站和交际途径进行传达，现在已有数万个用户受影响，且挖矿触及金额高达百万人民币！

0×2 样本分析
Webfreer是一款根据chromium开源项目进行开发的浏览器，不法分子经过刺进歹意代码，然后从头编译生成木马程序。因为开源项意图原因，该类木马程序简单被杀毒软件判白。此外，Web
2 Password不应该被作为日常运用的东西，因为在屏幕上显露暗码或许会增加暗码泄露的几率。即便如此，它有它自己的用处。例如，假定一位处理员希望给一个Wi-Fi拜访点分配一个凌乱的32位暗码。像这样一款东西可以帮忙处理员避免之一次分配暗码的时分输入差错。
freer作为一款翻墙浏览器，内置VPN署理，正常 *** 流量和歹意流量穿插混net start scsrvc合，使得该木马躲藏性极高。
(VT查杀—几乎没有引擎报毒)
Webfreer最早的版别没有后门，但在后期晋级版别中，开端刺进了歹意代码，刺进的歹意代码比较简单，没有云控，主程序发起后，挖矿程序随之起来。

版别是否有后门 Webfreer 1.0.0.0 无后门 Webfreer 1.1.1.1 有后门，挖比特币，2014年开端传达 Webfreer 1.3.2.0（McAfee高级挟制研讨团队在2018年就对SynAck勒索软件进行过分析，并发现它运用了Process Doppelganging和Process Hollowing技能来绕过终端安全防护。下图闪现的是SynAck勒索软件运用Process Hollowing结束防护绕过的流程图：最新）有后门，挖门罗币，2017年开端传达
下面临设备包进行解压，比照各个版别的文件，红框表明是木马样本。
挖矿实行流程图：
1、Webfreer 1.1.1.1分析：
病毒样本：
chrome.dll：浏览器主dll模块，会拉起webproxy.exe
webproxy.exe：挖矿程序
1）设备时，会创建自发起项，开机时发起主程序Webfreer.exe。
2） Webfreer.exe发起时，会加载chrome.dll。
3） chrome.dll主线程会创建一个定时器，意图是不断地拉起挖矿进程。
4）检测是否存在”WebClie

ntService”服务，保证只要一个挖矿实例，因为在其它版别中，挖矿程序是会创建一个名为”WebClientService”服务进行挖矿，后边会有触及。
5）创建webproxy进程开端挖矿，挖矿运用stratum挖矿协议，传入挖矿参数，如矿池、钱包信息等。
挖矿参数：
调用CreateProcess创建进程：
2、Webfreer 1.3.2.0分析：
病毒样本：
WebClientService.exe：服务程序，开机发起，拉起webproxy.exe
webproxy.exe：挖矿程序
1）设备时，会在system32目录开释WebClientService.exe和webproxy.exe。
2）设备结束后，设备包程序会发起WebClientService.exe进程。
3） WebClientService注册一个服务，开机自发起。
4）调用CreateEvent创建事情，保证只要一个实例在运转。
5）拜访google网站来检验浏览器是否正常作业，假设无法拜访，持续等候。
6）在system32目录或Webfreer设备目录得到webproxy.exe的途径，调用CreateProcess创建进程，开端挖矿。
7）一起起一条线程，不断检测webproxy.exe进程是现已退出，假设退出了，再次拉起webproxy。
0×3 溯源分析
上述分析得到两个地址。
1、比特币钱包地址：113vvkxZvZHuou7jGwTrDHa4EY7XUKBHbt
这个钱包总接纳近50个比特币，以其时的比特币单价算，总值到达100多万人民币！
2、门罗币钱包地址：478WNYwHN4SQs8j89P8QJY4DKm2简略分析，猜测有价值的信息或许与todo.txt的终究一句话有关：3. Work on /h3l105，猜测/h3l105或许为目录称谓，但其时 *** b同享目录下并未发现相关信息。c6JhCQizi5ucjooKuFQirbtEsafJinSXLwZcysnN1L98r2vocKjGjKoXRrEiRGpmyErc
这个钱包共有12个门罗币，以其时的门罗币单价算，总值到达6000元人民币。
3、经过溯源分析找到同源样本，如下，该样本伪装成shadowsocks翻墙软件，实际上纯粹是一个门罗币挖矿木马，估测作者或许偏爱在翻墙软件这个点上进行木马传达。
4、官网www.webfreer.com 服务器IP在加拿大，该公司声称配备自动更新：Appaxy Inc（未证明是否已注册）。对官网进行whois分析，得到注册名为：Mi**ke，经过注册名反查到一个qq号，叫米高x，可疑程度比较高。
0×4 结语
“炒币热”催生了挖矿黑色产业链，看似正常的翻墙浏览器也隐藏猫腻，让人防不胜防。在巨大的利益引诱下，不法分子的手法穷出不尽，用户平常应留意进步防备认识，养成杰出的上网习气，运用腾讯电脑管家阻拦并查杀木马病毒。

*本文作者：腾讯电脑管家，转载请注明来自 FreeBuf.COM
灰帽黑客:Webfreer翻墙浏览器隐藏挖矿木马
一个简略的Syscall： Socket (0x29)我们发现，设备进行通讯的域名为corese

rvice.heimdalsecurity.com，很明显“首恶巨恶”就是Heimdal Thor，而它们如同还整合了终端保护和自动化软件更新等方面。Webfreer翻墙浏览器暗藏挖矿木马
灰帽黑客当explorer.exe发起时，它将加载HKEY_CLASSES_ROOT*shellexContextMenuHandlers注册表项下找到的DLL。‘有时IEX不一定在开始，也或许在完毕，如下：包括需求重定向到localhost（到python HTTP服务器）的域和IP。
2.指纹辨认模块 1块将该文本再次解码为二进制文件。现在运用crontab创建一个守时任务，即每隔1分钟从/var/backups里面备份/html一次。灰帽黑客
Xen容许客户机内核实行超级调用（hypercall），hypercall本质上就是一般的系统调用，运用了System V AMD64 ABI结束从客户机内核到hypervisor的过渡。hypercall运用指令实行，寄存器中传递的参数最多不逾越6个。与一般的syscall类似，Xen的hypercall经常将客户机指针作为参数运用。因为与hypervisor同享地址空间，客户机只需求简略传入其虚拟指针（guest-virtual pointer）即可。npm installinstallpro：将egghellpro设备到设备
Tcpdump是一款出名的 *** 数据包分析东西。它能抓取，闪现，以pcap文件格式保存 *** 中的数据包，之后这些数据将以更和睦的办法供应给运用者。不同于老大哥Wireshark，Tcpdump是一个非交互式命令行程序，关于迷糊检验来说更加便当。SID : S-1-5-21-3534665177-2148510708-2241433719-500办法3：静态批改APK文件包括根据Windows的植入软件，并包括所指定的配置文件和有效载荷。虽然现在这种植入软件的细节很少，但OddJob适用于Windows Server 2003 Enterprise（甚至Windows XP Professional）。Webfreer翻墙浏览器暗藏挖矿木马
灰帽黑客在检验中，需求手工对payload做

编码变形。具体说来：/*C:Windowssystem32> net user user1
在主控手机中输入文字，其他手机中同步输入设备效果可以到/root/openvas/tool查看，如下图：usage: extrabacon_1.1.0.1.py [-h] [-v] [-q] {info,exec} ...灰帽黑客
Hacking Team 泄露的运用代码请点击：https://github.com/f47h3r/hackingteam_exploits/tree/master/vector-exploit/src/ht-webkit-Android4-src/precompiled/debug 参看这篇文章进行设备 step7 v5.5 cn 软件下载、仿真器设备、授权Webfreer翻墙浏览器暗藏挖矿木马
Backdoorme是一个具有健壮才干的Unix后门，其运用了强扩展性的metasploit接口。在未来，这种依托性跟着这款的东西的扩展会逐渐下降。这儿，我们给出配备SSH的说明。PS C:> Find-DLLHijack -ExcludeWindows -ExcludeProgramFiles #回来打扫C:Windows*； C:Program Files*；C:Program Files (x86)*以外的dll途径我们记住，不必要像上面这样运用echo喔。根据POSIX的规则，echo在参数中假设含有“”，或许其之一个参数是“-n”时，其需求有指定的行为。Unix标准为了结束XSI-conformant，选用了一个很欠好的办法（“”是c样式的转义），而其他盛行shell言语的如Bash的参数解析方案，并没选用“-n”作为特别选项（即就是在POSIX兼容方式），这点表现的非常突兀，请看下面：Example: quarks-pwdump.exe --dump-hash-domain --with-history因为为了解析应用程序兼容性缓存现在的东西都依赖于在Windows注册表中找到的序列化高速缓存，这意味着该数据只要在近期从头发起系统时才是最新的。包括美国麦迪安网路安全公司自身的Shim缓存解析器以及内存分析结构都依赖于在内存中找到的Windows注册表副本。
本文标题:灰帽黑客:Webfreer翻墙浏览器隐藏挖矿木马

标签: 灰帽黑客:Webfreer翻墙浏览器暗藏挖矿木马