最近在分析试图绕过各种应用锁定技术的样本时，我们重新检视了一组旧工具，这些工具的唯一目的是为操作人员赚取金钱。尽管这个活动似乎已经长期不活跃，但它展示了创造能够赚钱的恶意软体几乎不需要编写原始代码，只需将现有工具通过公开可用的代码片段进行整合即可。

这个链条始于一个自解压档案，其中包含两个档案Xagentexe 和 depszip。Depszip 是一个 ZIP 档案，里面包含各种辅助档案。Xagentexe 是使用 PyInstaller 创建的二进位档，设置为在解压 SFX 档案后自动运行。原始 Python 脚本名为 FScrackmimikatzpy，这 suggests 这段代码是来自 FScrack 工具。

功能

执行时，它会从 lazagnecacheoffer[]tk/Windowszip 下载并运行 LaZagne。我们无法确认这是否实际是 LaZagne 工具，因为该 URL 已经不活跃，这只是根据使用的类名、URL 和预期结果的猜测，此外，它符合这组工具的总体目的。收集到的凭证会上传到 uswb[]one/upload/win。

接下来，会运行 Mimikatz。档案 depszip 包含 x86 和 x64 版本的 mimi32exe 和 mimi64exe。Mimikatz 找到的凭证会上传到 uswb[]one/upload/win，并用来建立攻击列表。然后，这个攻击列表会用于使用 wmiexecvbs 工具和称为 Squiblydoo 的技术在本地计算机上运行脚本。这种技术可能通过使用 regsvr32exe 作为执行代码的“代理”来绕过安全工具和应用程序白名单检测。执行的代码托管于 xmrenjoytopic[]tk/d/regxmr222sct。

Squiblydoo技术

相同的攻击列表和 Squiblydoo 技术会用在连接到相同 LAN 的其他计算机上。下面的片段显示了如何生成 IP 地址。然而，这次收集到的用户名被忽略，而是使用了用户名“administrator”。如果身份验证成功，则在远端机器上执行的脚本与本地机器上的相同。除了在远端机器上运行脚本之外，这种方式找到的所有 IP 都会按照以下端口进行端口扫描：

445 (SMB)3306 (MySQL)6379 (Redis)5432 (PostgreSQL)9200 (Elasticsearch)27017 (MongoDB)。

排定的任务队列在其他执行绪中处理。这个执行绪将继续执行无限回圈，从 uswb[]one/cidir 检索一系列 IP 地址并使用相同的机制为端口扫描排队。

生成 IP 地址列表

ThreadNum

ThreadNum 是一个负责处理排队任务的类。它从队列中提取任务，并根据任务类型执行适当的函数。支持的任务包括端口扫描、eternalblue、mysql、postgresql、redis、elasticsearch 和 mongodb。

端口扫描任务尝试连接到指定的 IP 和端口。如果接收到任何数据，则根据正则表达式猜测服务类型，如果成功，则将该任务排队，并附上服务名称SMB 除外，该任务排作 eternalblue。其他任务则根据其类型进行处理。

这段代码中包含了即使不会通过之前的扫描发现的服务的正则表达式。如果被排定为任务，这些任务将无法处理。这可能是另一个表明现有代码被重新利用的迹象。

确定服务类型的正则表达式

eternalblue

检查目标是否易受攻击，然后尝试利用 MS17010，并使用 DoublePulsar 注入有效负载。使用 Shadow Brokers 团体泄漏的 Eternalblue220exe 和 Doublepulsar131exe。注入的 eternal11dllx86或 eternal22dllx64都运行相同的命令，并使用 Squiblydoo 技术执行，执行的代码托管于 xmrenjoytopic[]tk/d/regxmr888sct。IP 地址和端口会回传到 uswb[]one/crack。

elasticsearch mongodb mysql postgresql

该恶意软体试图访问服务，利用配置不当无身份验证或使用默认用户名和弱密码。恶意脚本中包含了一份密码列表。如果成功访问资料库，它会寻找感兴趣的资料库关键字：trade、vip、bitcoin、monero、coin、ethereum、card、game、sms、mobile、creditcard。如果资料库名称包含其中一个关键字，则会连同用于访问资料库的凭证一起发送到 uswb[]one/crack此操作针对除 MongoDB 以外的每个服务进行。其他资料库则会被丢弃，并创建一个新的条目，其中包含赎金请求。

每个服务使用的默认用户名

以下两张图片显示了处理 MongoDB 的函数片段。第一张显示数据在未备份的情况下被删除。第二个片段显示随后插入到资料库中的赎金通知。

MongoDB 资料库在未进行任何备份的情况下被删除 赎金通知

其他资料库服务的行为类似。即使在支付赎金后，受害者也不会回收到任何数据，因为操作人员在资料库被删除后并不能再访问这些数据。

redis

在 Redis 伺服器的情况下，该恶意软体寻找无需身份验证或使用弱密码的实例。如果成功访问服务，则密码会发送到 uswb[]one/crack，并试图创建 cron 任务。有三种变体的任务。Python 和 Shell 变体从 lnk0[]com/BtoUt4 下载数据并交给 shell 执行。很不幸，我们无法获取内容。第三种变体针对 Windows，仍然使用 Squiblydoo 技术，代码托管于 xmrenjoytopic[]tk/d/regxmr888sct，并且是一个启动任务。

黑豹加速器官方

有效载荷

在 VirusTotal 上搜索时，发现了一些可能的缺失部分：

b78eafa8b397933d61bcd5f797f2cbcd4a411c138d2808673ddef7e1ef1236f8

这个文件可能是托管在以下网站的有效载荷之一：

xmrenjoytopic[]tk/d/regxmr888sctxmrenjoytopic[]tk/d/regxmr999sct。

这是一个 VBScript。它使用 wmicexe 设置持久性，正如泄漏的 Vault 7 文档 中所描述。这种方式执行的代码托管于 xmrenjoytopic[]tk/d/regxmr999sct，并使用 Squiblydoo 技术执行。该脚本还使用 HKCUSoftwareMicrosoftWindowsCurrentVersionRun 注册表设置持久性。它创建两个键。其一使用 mshtaexe 从 xmrenjoytopic[]tk/d/ps3txt 运行代码。不幸的是，我们无法访问该文件，但根据 urlquerynet 的 报告，这似乎是一个 VBS 下载器。另一个键使用 Squiblydoo 从 xmrenjoytopic[]tk/d/regxmr999sct 运行代码。

除了设置持久性，该脚本还在受感染的机器上下载并运行 XMRig。有多个版本的 XMRig 二进位档。这些二进位档是定制的除了运行 XMRig，它们还创建一个排定任务，执行以下代码：

xmrenjoytopic[]tk/d/regxmr222sctdowncacheoffer[]tk/d2/reg9sctxmrenjoytopic[]tk/d/regxmr999sct

使用 Squiblydoo 并设置持久性，利用 wmicexe。

725efd0f5310763bc5375e7b72dbb2e883ad90ec32d6177c578a1c04c1b62054

这个文件可能是托管在以下网站的有效载荷之一：

downcacheoffer[]tk/d2/reg9sctxmrenjoytopic[]tk/d/regxmr222sctxmrenjoytopic[]tk/d/regxmr888sct。

这是一个 PowerShell 脚本，它从 pngrealtimenews[]tk/mpng 下载并运行 XMRig 矿工，并通过名为“更新”的排定任务每分钟写入和执行自己。我们已经看到过类似的脚本，名称和 URL 不同的排定任务。

工具重用和代码相似性

之前已经提到这个工具与 FScrack 的相似性。FScrack 是一个弱密码扫描器。FScrack 的功能扩展了 LaZagne 和 Mimikatz 的偷取密码能力，wmiexecvbs 用于本地和远程执行命令，还有简单的功能用于删除数据并将赎金通知插入各种资料库。另一个新增的功能是在配置不当的 Redis 伺服器上创建 cron 任务，并利用 Squiblydoo 执行代码。SMB 服务的利用是通过使用 Shadow Brokers 团体泄漏的二进位档达成的。额外下载的脚本使用了从 Vault 7 泄漏获知的持久性设置技术，运行的有效载荷是公开可用的 XMRig 矿工。

还有更多工具与这组和 FScrack 共享代码，例如 The Patrol (巡风) 或 xunscan。The Patrol 看起来是一个漏洞测试框架，而 xunscan 更或多或少是 FScrack 的克隆版。一些代码还与 Xwo 恶意软体共享，这在今年四月和五月曾是几个部落格文章的主题。

与 Xbash 的相似性

代码中有相当大一部分与 Xbash 恶意软体相似。共享代码的主要部分来自 FScrack 工具，此外执行勒索行为的函数也类似，但在实现的能力上有所不同。该恶意软体将感兴趣的资料库表上传回操作人员，而 Xbash 则没有。这里存在的另一个特点是利用 EternalBlue 漏洞攻击其他机器的能力，Xbash 缺乏这一点。另一方面，像 Xbash 知道使用的各种利用功能则未出现在这里，因为被针对的服务列表比 Xbash 少。

赚钱的方式

这篇文章的目的是不是对整个活动进行详细分析，因此无法估算操作人员实际获得的金额。然而，我们可以看看各部分的收集。从 XMRig 二进位档中提取了挖矿池和相应的钱包，而 BTC 钱包则来自写给被入侵资料库的赎金通知。

目的/服务 地址 金额 美元金额赎金通知中的 BTC 钱包 1Kss6v4eSUgP4WrYtfYGZGDoRsf74M7CMr 068813072 BTC 5400 美元poolminexmrcom 45JymPWP1DeQxxMZNJv9w2bTQ2WJDAmw18wUSryDQa3RPr ymPJoUSVcFEDv3bhiMJGWaCD4a3KrFCorJHCMqXJUKApSKDV 101672719 XMR 90 美元poolsupportxmrcom 46TCcaaDn4LXkWZ1EGKBkzcWsTm32Mmy8a2VWqL8pGhRPf65GmUdkZWbrLVYNhFaucWXjU5aJqMraLMEoXq53GHYJPv3LP6 45212024077 XMR 385 美元poolsupportxmrcom 49qeKq167YUAJaEcwyF1sB11ExuZwQTy2MQ9QeADcaNEWEMfvbyN2jr8gAhj1JLSpzLDSjETfWxrwLvACXuFadeQ8tRZWy8 17762915474 XMR 150 美元

这组有限的钱包为操作人员带来了约 6000 美元。最大的一部分似乎来自赎金支付，这也许是可以预期的，尽管该勒索软件部分缺乏任何数据恢复的实现。这很可能只是冰山一角，该活动规模更大，透过简单地将现有工具和技术整合来为操作人员赚取更多金钱。

破坏指标IoC

样本

文件 SHA256SFX 档案 fd5a462016f5a5c3afd0a642cebea42837edd3dc0c446c413770aaa70467c612depszip f6c3a8dafb12df7aee0b00a5e0f4201a5fe963c890332c68284ba1d728055230Xagentexe 02d720a97b5496550c22a5adffcb6b17a2dde3e191fda46c9e05dd3182ae186deternal11dll 3d2d8fd2c15da7ac4d03436a717613316f5e6a371618d4a386d968e3ea0fc267eternal22dll 6818f885162fc5449571b8a21f28ed3505e43a226f33cb0540f97a7277ae902dXMRig (x86) 1d9fc5a423bd778769729c1d5c75c8b9dd694a9b8026bafa8cb18a93cbacb4aaXMRig (x86) f38c4cfddf62ce50310b6bb65db3bf14b07c053724e01d8ddf492e38264562c3XMRig (x64) 0de09fae50bcb810943cff3d9882fd01766e85c94a2299e6d3f1f6205622f3a6XMRig (x64) 9464e66c0a666ea86194bf80afd9dbc3e303d120b687dba14a02914c0a804845XMRig (x64) 9ce588c9e3765232e56b41db86f10632659ee2eb68615c4f926d2ee31cdfa418XMRig (x64) d7fbd2a4db44d86b4cf5fa4202203dacfefd6ffca6a0615dca5bc2a200ad56b6

https//githubcom/avast/ioc/blob/master/FScrackmimikatz/samplessha256https//githubcom/avast/ioc/blob/master/FScrackmimikatz/samplessha1https//githubcom/avast/ioc/blob/master/FScrackmimikatz/samplesmd5

网路

URL

myipdnsomatic[]comdowncacheoffer[]tk/d2/reg9sctlazagnecacheoffer[]tk/Windowszippngrealtimenews[]tk/mpngpngrealtimenews[]tk/qpnguswb[]one/cidiruswb[]one/crackuswb[]one/upload/winxmrenjoytopic[]tk/d/ps3txtxmrenjoytopic[]tk/d/regxmr222sctxmrenjoytopic[]tk/d/regxmr888sctxmrenjoytopic[]tk/d/regxmr999sctxmrenjoytopic[]tk/d/rigd32txtxmrenjoytopic[]tk/d/rigd64txtlnk0[]com/BtoUt4

https//githubcom/avast/ioc/blob/master/FScrackmimikatz/networktxt

其他

使用者代理

Mozilla/50 (Windows NT 62 WOW64) AppleWebKit/53736 (KHTML like Gecko) Chrome/29015472 Safari/53736赎金通知

Send 002 BTC to this address and contact this email with your ip or dbname of your server to recover your database! Your DB is Backed up to our servers!1Kss6v4eSUgP4WrYtfYGZGDoRsf74M7CMrbackupsql@mail2torcom

标签为 cryptomining、malware、ransomware

分享XFacebook