NoiseMe：针对加密货币交易机器人的新型恶意软件攻击分析

当Dropper模块完成在线模块和核心窃取模块的下载和执行后，其核心功能使命已经完成，下一步就是清理痕迹，避免安全分析师追查。 痕迹清理功能是使用上面解密的Remove.bat批处理脚本程序实现的，具体由Dropper模块中的“SystemDataDataRowBuilder”函数实现。 相关代码如图7所示。

图7 自删代码 3.2 在线模块 “在线模块”由Dropper模块下载，名为Justmine.exe，伪装成WinRAR应用程序迷惑攻击目标，获取被感染主机的国家、城市和系统版本、时区等信息，然后将这些信息上传到C&C服务器。 黑客可以根据攻击要求向被感染主机投递并执行任意攻击模块。 3.2.1 获取设备信息

“在线模块”通过Replace函数过滤掉垃圾数据，得到真正的C&C服务器地址“45.67.231.23:53623”。 获取C&C地址的代码如图8所示。

图8 C&C地址获取

获取到C&C服务器后，“在线模块”开始收集被感染主机的设备信息，包括硬件ID、操作系统、公网IP、国家、CPU信息、显卡信息等。 这些信息会暂时存储在内存中，并作为在线信息上传至C&C服务器。 获取设备信息的代码如图9所示。

图9 获取设备信息

3.2.2 安装和持久化

获取到设备信息后，“在线模块”会自行安装，并使用定时任务实现持久化。 它会先判断当前的执行路径是否和它预设的“%USERPROFILE%\\Video\\Junker”路径相同，为了描述方便，以下将该路径称为“安装目录”。

如果没有，“在线模块”会先创建“安装目录”btc模拟交易软件，然后遍历进程杀掉“安装目录”下的PHPmyAdmin.exe进程，然后将自己复制到“安装目录”下，并命名为PHPmyAdmin。 exe，然后执行“安装目录”下的PHPmyAdmin.exe，最后退出执行。 相关代码如图10所示。

图10 安装目录

同理，“在线模块”会判断是否已经安装，如果已经安装则退出执行，否则调用“Junk”函数将定时任务安装到被感染主机以达到持久性。 恶意代码使用Windows系统自带的schtasks程序执行安装计划任务。 反编译后显示安装计划任务使用的命令串已经被混淆，如图11所示。

图 11 定时任务

从图11可以看出，定时任务安装在“\\Microsoft”路径下。 任务名称以字符串“Php-”开头，后面是被感染主机硬件信息的HASH值（由机器名、当前登录用户名、用户域、操作系统版本信息组成的字符串）。 安装的定时任务如图12所示。

图12 电脑中安装的计划任务

3.2.3 下载并执行扩展模块

“在线模块”实现持久化后，利用之前解析的C&C服务器和感染主机的设备信息构造在线请求，每60秒使用SOAP协议与C&C服务器通信。 C&C服务器收到上线请求后，会向被感染主机发送配置信息。 配置信息包括扩展模块的下载地址和扩展模块的启动方式（显示执行、隐藏执行）等配置信息。 “在线模块”会根据配置信息下载并执行扩展模块。 黑客利用配置信息下发控制指令，可以灵活控制被感染主机执行任意攻击程序，从而达到其攻击目的。 解析控制指令代码如图13所示。

图 13 分析控制命令

从图13可以看出，“在线模块”会调用“Drop”函数下载并执行扩展模块。 该函数会判断“%USERPROFILE%\\Video\\Junker\\Lock”目录是否存在，如果不存在则先创建该目录，然后根据配置信息下载并执行扩展模块。 相关代码如图14所示。

图 14 下载并执行代码

抓取到的在线请求包如图15所示。

图15 在线请求包

在线请求数据各字段含义如表2所示。

上传字段

意义

建筑编号

黑客定义的身份

国家

国家

硬件ID

硬件ID信息

知识产权

公共IP

最后登录

最后一次露面

操作系统

操作系统

处理器

中央处理器信息

显卡

显卡信息

表2 在线请求字段含义

C&C服务器返回的控制指令包内容如图16所示。

图 16 控制指令包

图16中各个字段的含义如表3所示。

字段名称

字段含义

行动

命令含义，目前只支持Execute

当前的

未知，未对样本做出判断

执行隐藏

是否隐藏执行

终点

未知

ID

任务编号

地位

状态是否活跃

目标

存储扩展模块的URL

可见的

是否可见

表3 在线响应字段含义 分析“Target”字段中的扩展模块，我们发现它是一个类似于Dropper模块的功能模块，用于下载核心窃取模块，这里不再过多介绍很多。

3.3 盗芯模块

“Core Stealing Module”由Dropper模块下载并命名为11111111.exe。 其核心代码在内存中解密执行，达到绕过杀毒软件的效果。

3.3.1 自解密执行

反编译“盗芯模块”，结果显示该模块只有两个类，一个是入口函数类（入口点“_0x_u1632184666.Main”），一个是加解密类（_0x_u1005254334），类名和函数名都混淆了，如图17所示。

图17 入口类和加解密类

“窃芯模块”执行后，首先调用“_0x_u1005254334”函数对内置字符串进行解密。 解密过程是先将字符串转换为十六进制，然后使用硬编码密钥“QDAWDfskVf”与十六进制数据进行异或，将异或结果进行base64解码，得到最终的可执行程序（Holivar.exe）。 相关代码如下图18所示。

图 18 解密代码

“盗芯模块”通过调用“_0x_u956374591”函数实现内存加载并执行Holivar.exe，并向Holivar.exe传递两个参数，存储服务器（“195.161.62.146”）和BuildID（“MERCEDES”）。 代码如图 19 所示。

图 19 内存加载执行

3.3.2 窃取功能分析 “核心窃取模块”在内存中加载并执行Holivar.exe，Holivar.exe负责窃取受害者的加密财产和隐私数据。 为了描述方便，我们在分析窃取功能时称其为“Holivar模块”。 (1)下载窃取配置“Holivar模块”启动后会尝试使用websocket协议和2012端口与存储服务器（“195.161.62.146”）建立连接。 如果无法建立连接，它将永远等待； 如果连接成功，将从存储服务器下载。 配置信息。 通过修改配置信息，黑客可以指定要窃取的数据类型。 图20是下载并解析被盗配置信息的代码。

图20 下载并解析配置信息

图20中各个字段的含义如表4所示。

字段名称

字段含义

GrabBrowser 凭据

窃取浏览器凭据

抢冷钱包

窃取数字货币钱包

抓取桌面文件

窃取文件

抓取FTP

窃取 FTP 凭据

抓取RDP

窃取 Rdp 凭据

抢不和谐

窃取 Discord 凭证

抢电报

窃取电报凭证

扩展

窃取文件类型

表4 窃取配置信息字段含义 在分析窃取配置信息后，“Holivar模块”开始根据配置信息收集感染主机的隐私数据。 (2) 获取客户端信息 “Holivar模块”会收集被感染主机的客户端信息，包括窃取软件的BuildID、监控屏幕分辨率、被感染主机的时间、时区、用户名、公网IP、国家、城市、操作系统、硬件信息、杀毒软件、操作系统语言信息。 利用这些客户端信息，黑客可以区分不同的感染主机，通过筛选后攻击特定的目标。 信息采集相关代码如图21所示。

图21 获取客户端信息 通过对“Holivar模块”进行二进制分析，我们发现黑客可能利用GitHub上的一个开源项目()获取了设备的硬件信息和杀毒软件信息。 开源代码与“Holivar模块”的代码片段对比如图22所示。

图22 GitHub开源代码与Holivar模块代码对比（三）窃取浏览器数据

反汇编代码揭示了一个“Holivar 模块”，它能够从基于 Chromium 和 Firefox 的浏览器中窃取数据。 “Holivar模块”通过遍历搜索“%USERPROFILE%\\AppData\\Local”和“%USERPROFILE%\\AppData\\Roaming”文件夹两个目录下的LoginData、Web Data、Cookies文件获取符合条件的浏览器。 相关代码如图 23 所示。

图23 获取Profile目录 获取浏览器安装路径后，“Holivar模块”通过目录拼接获取Cookies、autofill、Credit Cards、Credentials的全路径，获取浏览器存储的隐私数据。 反编译代码如图 24 所示。

图24 读取Cookies (4) 窃取加密货币钱包 “Holivar模块”可以窃取10种加密货币客户端软件的钱包文件，包括6种加密货币的官方客户端钱包，如：Bitcoin、Litecoin、Byte Bitcoin、Dash、Ethereum、门罗币，以及比特币的轻量级钱包客户端 Electrum 和加密货币交易软件 Exodus。 表5显示了恶意软件在受感染主机中获取的数字钱包信息。

货币名称

钱包信息

比特币

读取%AppData%\Bitcoin\wallet.dat文件获取钱包信息

比特币-Qt

首先查询注册表“HKCU\Software\Bitcoin-Qt\strDataDir”得到安装路径，然后读取该路径下的“wallet.dat”文件

字节币

读取“%AppData%\bytecoin\”路径下后缀为“*.wallet”的文件，获取钱包信息

Dash-Qt

首先查询注册表“HKCU\Software\Dash-Qt\strDataDir”得到安装路径，然后读取该路径下的“wallet.dat”文件

金银合金

遍历“%AppData%\Electrum\wallets\”路径下的文件获取钱包信息

以太坊

遍历“%AppData%\Ethereum\wallets\”路径下的文件，获取钱包信息

出埃及记

遍历“%AppData%\Exodus\exodus.wallet\”路径下的文件，获取钱包信息

莱特币

读取“%AppData%\Litecoin\wallet.dat”文件获取钱包信息

莱特币-Qt

首先查询注册表“HKCU\Software\Litecoin-Qt\strDataDir”得到安装路径，然后读取该路径下的“wallet.dat”文件

门罗币

恶意代码通过查询注册表“HKCU\Software\monero-core\wallet_path”获取门罗币钱包文件路径

表5 获取钱包文件位置信息的方法

(5) 窃取文件

“Holivar模块”具有从感染主机窃取任意文件的功能，窃取的文件路径和文件后缀是从上面的“下载窃取配置”中获取的。 黑客可以根据攻击需要灵活配置被盗文件的目录和文件扩展名。 通过逆向分析，我们发现“Holivar模块”只上传小于等于2097152字节的文件。 代码如图 25 所示。

图25 窃取文件大小（六）Discord凭证窃取

Discord是一款专门为游戏玩家服务的即时通讯软件btc模拟交易软件，提供短信、语音和视频通话等功能。 此外，它具有高度的匿名性，吸引了很多罪犯（例如：“右翼分子”、“非自愿独身者”、“性至上主义者”）使用此应用程序进行线上和线下聚会的交流。

逆向分析表明，“Holivar 模块”也对 Discord 凭证感兴趣。 获取Discord凭证的大致流程如下：首先找到Discord进程，然后dump其进程数据，最后解析dump文件获取登录凭证。 相关代码如图 26 所示。

图26 找到Discord进程（7）窃取Ftp凭证

“Holivar 模块”可以窃取 FileZilla 软件的登录凭据。 FileZilla 是一款免费开源的 FTP 软件。 其快捷连接密码保存在%userprofile%\AppData\Roaming\FileZilla\recentservers.xml中。 文件格式如图27所示。

图27 recentservers配置文件

保存的站点密码存放在%userprofile%\AppData\Roaming\FileZilla\sitemanager.xml中，文件格式如图28所示。

图28 sitemanager配置文件

“Holivar模块”只需读取以上两个文件即可轻松获取FileZilla登录凭证。 图 29 是用于解析 FileZilla 登录凭据的恶意软件部分代码的屏幕截图。

图29 解析配置信息（八）窃取RDP凭证

RDP（远程桌面协议）登录凭据通常是各种黑客软件的目标之一，在暗网上以 3 到 15 美元的价格出售。 逆向分析可知，“Holivar模块”还窃取了RDP凭证数据，它使用CredEnumerateW API读取被感染主机的RDP凭证，然后提取每个RDP凭证保存的主机名、用户名和密码。 解析 RDP 凭据代码，如图 30 所示。

图 30 窃取 RDP 凭证（九）窃取 Telegram 凭证

“Holivar模块”通过读取“%AppData%\TelegramDesktop\tdata\D877F783D5D3EF8C\map*”和“%AppData%\TelegramDesktop\tdata\D877F783D5D3EF8*”获取桌面版Telegram登录凭证，从而劫持Telegram会话。 相关代码如图 31 所示。

图31 Stealing Telegram数据（十）获取流程信息

“Holivar模块”收集被感染主机上运行的进程名称和启动参数，并上传到存储服务器。 黑客通过筛选这些数据来判断目标设备是否存在可以被攻击的进程，从而发起后续攻击。 相关代码如图 32 所示。

图32 遍历进程信息（十一）获取已安装应用列表

除了窃取当前正在运行的进程列表外，“Holivar 模块”还窃取受感染主机安装的应用程序列表。 它通过遍历注册表“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall”名称的内容来获取已安装应用程序的信息。 相关代码如图 33 所示。

图33 获取应用列表（十二）获取截图

“Holivar模块”会将被感染主机的截图发送到存储服务器。 它首先获取被感染主机的屏幕大小，然后创建一个与屏幕大小相同的Bitmap，最后使用Graphice.CopyFromScreen函数获取当前屏幕的位图信息。 截图实现代码如图34所示。

图34 截图（十三）上传凭证数据

“Holivar模块”完成隐私数据采集后，使用websocket协议将数据上传到存储服务器，请求路径为“Credentials”。 上传数据请求代码如图35所示。

图 35 返回数据

数据上传成功后，“Holivar模块”会创建一个“%USERPROFILE%\\AppData\\Local\\Temp\\Remove.bat”批处理文件，并使用该脚本实现自删除功能。

四、总结与建议

从以上分析可以看出，“NoiseMe”窃取软件具有同时窃取加密货币钱包和主机凭证信息的功能。 从其变相的攻击向量来看，主要针对那些期望进行自动化交易的人。 这些人具有交易频繁、交易量大的特点，其中不乏持有大量加密货币的大户。 这些人一旦感染了“NoiseMe”，其损失将无法估量。 此外，黑客窃取的凭据信息也将成为黑客实施相关攻击的重要依据，这将大大拓宽黑客的攻击路径，实现攻击利益最大化。

从本次攻击的过程来看，“NoiseMe”恶意代码主要通过伪装的方式进行传播，并在一定程度上利用社会工程学诱骗目标下载恶意代码并执行。 由于目标的安全意识薄弱，这种看似简单的攻击方式依然有效，至今仍被黑客广泛使用。 随着数字货币的应用场景越来越多，我们仍然需要做好基础安全工作，包括安全意识的培养、基础安全设置的管理等。 因此，基于对本次攻击的分析，提出以下防范“NoiseMe”恶意代码入侵的建议：

IOC注：以下是收集到的部分NoiseMe家族域名信息

0qe.pdofan.ru

44jx.seraph15.ru

4t5zk1.anri44til.ru

51b6ru.anri44til.ru

57qy.perfdom.ru

5fui.anri44til.ru

5xbv.pdofan.ru

7xf3z.ogritefit.ru

9z2f.brizy5.ru

c.anri44til.ru

c.chernovik55.ru

d.seraph15.ru

e.j990981.ru

e.pdofan.ru

g.pdofan.ru

h.j990981.ru

jf.perfdom.ru

k1ristri.ru

mh.owak-kmyt.ru

n3.pdofan.ru

ow.chernovik55.ru

p6.k1ristri.ru

pe.pdofan.ru

ro.pdofan.ru

s8n.j990981.ru

u3w.chernovik55.ru

uhavebullet.ru

v69.pdofan.ru

vdd9.ogritefit.ru

xm6.naabeteru.ru

ycl.k1ristri.ru

zvsk.ogritefit.ru

金星主动防御实验室（ADLab）

ADLab成立于1999年，是中国安全行业最早的攻防技术研究实验室之一，是微软MAPP计划的核心成员，也是“黑麻雀攻击”概念的最早提出者。 截至目前，ADLab通过CVE发布安全漏洞1000余个，通过CNVD/CNNVD发布安全漏洞800余个，保持国际网络安全领域一流水平。 实验室的研究方向涵盖操作系统及应用系统安全研究、移动智能终端安全研究、物联网智能设备安全研究、Web安全研究、工控系统安全研究、云安全研究。 研究成果应用于产品核心技术研究、国家重点科技项目研究、专业安全服务等。