某网吧管理软件生财有道：非法控制上万台终端挖矿

0x1 背景

腾讯御见威胁情报中心在7月份监控到一例利用某网吧管理系统挖矿的木马，该挖矿木马通过某网吧管理软件“coinserver.exe”植入计算机，非法控制上万台计算机进行挖矿操作，在2个月时间内通过挖矿获得价值26万多元的BCD（比特币钻石）。因其在扩散挖矿木马时使用了域名aiyun8.top，腾讯御见威胁情报中心将其命名为AiyunMiner。根据最新的监测结果，该挖矿木马已经下线。

AiyunMiner每日收益：4-5月收入较低，进入6月后逐渐接近高峰，收益变化也反映了受控制网吧的机器活跃情况。

AiyunMiner每日收益从几个到一百多个BCD（比特币钻石）不等，从2018.4.24至2018.7.10短短两个月已获得收益超过26万元人民币。

0x2 传播渠道

AiyunMiner木马以网管软件为源头，经过多次下载释放得到最终的木马文件。该网吧管理软件程序coinserver.exe启动推广组件bartnoc.exe从网管软件服务器地址下载了木马sdyjs.exe,木马sdyjs.exe从C2地址aiyun8.top下载了木马807b*.exe，最终木马807b*.exe又从yunwang521.top下载了挖矿木马。

木马传播流程图

网吧管理软件程序coinserver.exe组件bartnoc.exe

保存在\coinserver\files\目录。bartnoc.exe签名与某网吧管理软件的签名一致。

组件bartnoc.exe运行时进行大量推广下载，在从其官网的下载地址download.u7pk.com及地址218.28.137.168下载了多个文件，其中包括传播挖矿木马的木马文件sdyjs.exe

sdyjs.exe从aiyun8.top下载了807b*.txt并以807b*.exe执行 

然后807b*.exe从yunwang521.top下载用于生成挖矿木马的807.sm 

挖矿木马将自身拷贝到windows目录，释放dllhost.exe（ccminer）、msvcr120.dll(需要的系统文件)、svchost.exe(木马主体)。

0x3 挖矿

检测进程字符串,检测到存在以下进程则将自身退出

procexp.exe、procexp64.exe、ComputerZ_CN.exe、WindowsMonitor.exe、ProcessHacker.exe、IceSword.exe、PCHunter.exe、PCHunter64.exe、ProcessE.exe、FileMon.exe、RegMon.exe、ProcessExplorer.exe、DbgView.exe、Procmon.exe、Process、Explorer.exe、GPU.exe、GPU-Z.exe、CPU-Z.exe、ComputerZ.exe、ETHSC.exe、btcClient.exe、miner.exe、ETH.exe、ccminer.exe、sgminer.exe、MSIAfterburner.exe

结束nvvsvc.exe、dllhost.exe进程进行自更新

挖矿时木马主体svchost.exe设置挖矿参数并启动dllhost.exe，dllhost.exe使用开源挖矿代码ccminer编译，目前支持50余种数字加密货币的挖掘。

挖矿代码

矿池：bcd.vvpool.com:5610 

钱包：1EQusbRbjCo1Qpei7nTZPMAmqZxfdSFMG6

从网站查询BCD目前价格78.67元/个

截至2018.7.11获得总收益3364.9078942个比特币钻石BCD，当前BCD价格78.67元/个，矿池获得收益折合人民币：3364.9078942*78.67约264717元。几个月后的今天，BCD已下跌到0.95美元一个，值2.2万元人民币。幸亏这个病毒作者提现早。

0x4 溯源

0x4.1 软件服务器

存放此网管软件更新包的地址download.u7pk.com也存在大量的木马文件，包括传播挖矿木马的sdyjs.exe，鉴于该公司签名文件的代码中直接下载了这些木马，因此木马植入行为是内部人员或与该公司相关人员的可能性较高。

0x4.2 C2地址

此次传播挖矿木马的C2地址yunwang521.top、aiyun8.top的IP为222.175.54.186、222.175.60.150，地址位于山东省枣庄市。

经腾讯御见威胁情报中心分析，得到相互关联的位于山东枣庄市的多个IP以及域名，这些域名下存在大量木马文件，且木马文件命名方式相似，推测可能存在团伙作案的可能。

注册使用邮箱：

liang3619@126.com

angchengsh@126.com

注册者：Chang Sheng Liang

ybyc.club

pinco.click

ohmyga.shop

pinco.shop

pintrest.store

pintrest.shop

yuni.store

pintrest.top

touchfuture.tech

touchmodern.tech

安全建议

1、建议网吧管理人员使用来源可靠的网管软件，时刻关注网吧电脑出现的CPU异常占用情况。

2、保持杀毒软件实时开启。

IOCs

222.175.54.186

218.59.239.34

222.175.51.26

222.175.60.150

222.175.49.6

60.214.132.174

222.175.58.58

218.59.228.122

域名：

aiqq8.top

yunwang521.top

aiyun8.top

liang666.top

52wawa.top

sygycb.com

ybyc.club

yjs666.top

touchme.tech

wabi8.top

92wa.top

52ysj.top

pinco.click

sygycb.com

ybyc.club

codifund.com

next.91xiaba.com

download.u7pk.cn

download.u7pk.com

邮箱：

liang3619@126.com

angchengsh@126.com

URL：

hxxp://aiqq8.top:8888/cs/807x/807.txt

hxxp://aiqq8.top:8888/cs/807x/807.sm

hxxp://aiqq8.top/cs/807x/807.txt

hxxp://aiqq8.top/cs/807x/807.sm

hxxp://yunwang521.top:8888/cs/807/807.txt

hxxp://yunwang521.top:8888/cs/807/807.sm

hxxp://yunwang521.top:8888/cs/607/607.txt

hxxp://yunwang521.top:8888/cs/807y/807.sm

hxxp://yunwang521.top:8888/cs/807y/807.txt

hxxp://aiyun8.top:8888/cs/807b.txt

hxxp://aiyun8.top:8888/cs/csq1/eee.exe

hxxp://aiyun8.top:8888/cs/807bb.txt

hxxp://aiyun8.top/cs/807b.exe

hxxp://aiyun8.top/cs/807bb.txt

hxxp://aiyun8.top:8888/cs/csq1/eee.txt

hxxp://liang666.top:8888/se/cp.sm

hxxp://liang666.top:8888/se/11.sm

hxxp://liang666.top:8888/se/bh.sm

hxxp://liang666.top:8888/se/dnf.sm

hxxp://liang666.top:8888/se/gh.zc

hxxp://52wawa.top:8888/cs/610/610.exe

hxxp://52wawa.top:8888/CS/610/610.EXE

hxxp://52wawa.top/cs/610/610.exe

hxxp://52wawa.top:8888/cs/hx610.txt

hxxp://52wawa.top:8888/cs/hx600.exe

hxxp://52wawa.top:8888/cs/csqq.exe

hxxp://52wawa.top:8888/cs/hx609.txt

hxxp://52wawa.top:8888/cs/svchost.exe

md5:

9f13659e70c12ab0a5e8cac6436b8c1f

7bfb050941350bcee080179a9af2bf7c

db6b6d7a773d0608bdb6056b71ad6e5e

9f0ac4e920ff1c077996230b84b82e82

c5e830abeb59563a789e0e63be7c3126

0f417ee94a4f17188f16eeed5f4b3cbe

b53721cc1b65de0a96b813dcc796ced1

930217fed26f820d74f6281606515709

6f912a5a3d89d2f48328823085f6fa9b

cfbd1137511437498fb1e20e138cc250

ac528accf671fe5dd1033c45e3e838e0

659910b56f2fb8f3d23220312acf312d

91e39f3e873b31b507f827b33d0438a7

f1d18374363325884efb1f2a269f2aad

5b619c70f38780647df79729bdd88de2

62c94a03c6f00c577235303625241398

22b0efdafbbe48bdbf028db15ed32839

1ed6b26a849953a1c0a2f14d87bbad54

b085b347c7fbd6d7c0da35d955a9e690

fd7f988e9db21173f210881e0a3bf6b6

a2a0e91969e777853cb0512192b8f972

104a57768be9e3b2311bf75100038bb3

4169eb814da21e5c3ef98b43924f928c

0a058a9174e910a5195969277d5a8bfa

8e43752eed3c5c3783ba8b50915bb398

3bd0977b2848caff56c76de4b3bdc4a1

08bfd8f2d82199cdbd76b907efd70730

900a0143477a44d0df50fedf3ffc982a

e833e1ecbe0b78b37bd5ce6be271e483

46cb1b355fd58b898d8823833f3c2ef8

3f431b36ae6300621eaa3b40a385b1e1

be7cc42fe202a4d3e6ad10381e5b173a

ec3c1976457189ef664455e37e0d8ad8

7aaf9d9153771585f7af01328138ed93

bb6e22f1d27301746ad34606d52e8e0d

a14542867af6fa5fa81e10a525135312

f25f011998c4d78713b12bdd4a978d25

75e7daf690c7621d8d452164c32ca77c

bd02224731cefa93b8c5a05ac469d37d

声明：本文来自腾讯御见威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。