F-Scrack-mimikatz – 一套工具包 – Avast

最近在分析试图绕过各种应用锁定技术的样本时，我们重新检视了一组旧工具，这些工具的唯一目的是为操作人员赚取金钱。尽管这个活动似乎已经长期不活跃，但它展示了创造能够赚钱的恶意软体几乎不需要编写原始代码，只需将现有工具通过公开可用的代码片段进行整合即可。

这个链条始于一个自解压档案，其中包含两个档案——Xagent.exe 和 depszip。Depszip 是一个 ZIP档案，里面包含各种辅助档案。Xagent.exe 是使用 PyInstaller 创建的二进位档，设置为在解压 SFX 档案后自动运行。原始 Python脚本名为 F-Scrack-mimikatz.py，这 suggests 这段代码是来自
工具。

功能

执行时，它会从 lazagne.cacheoffer[.]tk/Windows.zip 下载并运行
。我们无法确认这是否实际是 LaZagne 工具，因为该
URL 已经不活跃，这只是根据使用的类名、URL 和预期结果的猜测，此外，它符合这组工具的总体目的。收集到的凭证会上传到
u.swb[.]one/upload/win。

接下来，会运行 。档案 depszip 包含 x86 和
x64 版本的 mimi32.exe 和 mimi64.exe。Mimikatz 找到的凭证会上传到
u.swb[.]one/upload/win，并用来建立攻击列表。然后，这个攻击列表会用于使用
工具和称为

的技术在本地计算机上运行脚本。这种技术可能通过使用 regsvr32.exe 作为执行代码的“代理”来绕过安全工具和应用程序白名单检测。执行的代码托管于
xmr.enjoytopic[.]tk/d/regxmr222.sct。

Squiblydoo技术

相同的攻击列表和 Squiblydoo 技术会用在连接到相同 LAN 的其他计算机上。下面的片段显示了如何生成 IP地址。然而，这次收集到的用户名被忽略，而是使用了用户名“administrator”。如果身份验证成功，则在远端机器上执行的脚本与本地机器上的相同。除了在远端机器上运行脚本之外，这种方式找到的所有
IP 都会按照以下端口进行端口扫描：

• 445 (SMB),
• 3306 (MySQL),
• 6379 (Redis),
• 5432 (PostgreSQL),
• 9200 (Elasticsearch),
• 27017 (MongoDB)。

排定的任务队列在其他执行绪中处理。这个执行绪将继续执行无限回圈，从 u.swb[.]one/cidir 检索一系列 IP地址并使用相同的机制为端口扫描排队。

生成 IP 地址列表

ThreadNum

ThreadNum是一个负责处理排队任务的类。它从队列中提取任务，并根据任务类型执行适当的函数。支持的任务包括端口扫描、eternalblue、mysql、postgresql、redis、elasticsearch和 mongodb。

端口扫描任务尝试连接到指定的 IP 和端口。如果接收到任何数据，则根据正则表达式猜测服务类型，如果成功，则将该任务排队，并附上服务名称（SMB除外，该任务排作 eternalblue）。其他任务则根据其类型进行处理。

这段代码中包含了即使不会通过之前的扫描发现的服务的正则表达式。如果被排定为任务，这些任务将无法处理。这可能是另一个表明现有代码被重新利用的迹象。

确定服务类型的正则表达式

eternalblue

检查目标是否易受攻击，然后尝试利用 MS17-010，并使用 DoublePulsar 注入有效负载。使用 Shadow Brokers 团体泄漏的
Eternalblue-2.2.0.exe 和 Doublepulsar-1.3.1.exe。注入的 eternal11.dll（x86）或
eternal22.dll（x64）都运行相同的命令，并使用 Squiblydoo 技术执行，执行的代码托管于
xmr.enjoytopic[.]tk/d/regxmr888.sct。IP 地址和端口会回传到 u.swb[.]one/crack。

elasticsearch, mongodb, mysql, postgresql

该恶意软体试图访问服务，利用配置不当（无身份验证）或使用默认用户名和弱密码。恶意脚本中包含了一份密码列表。如果成功访问资料库，它会寻找感兴趣的资料库（关键字：trade、vip、bitcoin、monero、coin、ethereum、card、game、sms、mobile、creditcard）。如果资料库名称包含其中一个关键字，则会连同用于访问资料库的凭证一起发送到
u.swb[.]one/crack（此操作针对除 MongoDB 以外的每个服务进行）。其他资料库则会被丢弃，并创建一个新的条目，其中包含赎金请求。

每个服务使用的默认用户名

以下两张图片显示了处理 MongoDB 的函数片段。第一张显示数据在未备份的情况下被删除。第二个片段显示随后插入到资料库中的赎金通知。

MongoDB资料库在未进行任何备份的情况下被删除 赎金通知

其他资料库服务的行为类似。即使在支付赎金后，受害者也不会回收到任何数据，因为操作人员在资料库被删除后并不能再访问这些数据。

redis

在 Redis 伺服器的情况下，该恶意软体寻找无需身份验证或使用弱密码的实例。如果成功访问服务，则密码会发送到
u.swb[.]one/crack，并试图创建 cron 任务。有三种变体的任务。Python 和 Shell 变体从
lnk0[.]com/BtoUt4 下载数据并交给 shell 执行。很不幸，我们无法获取内容。第三种变体针对 Windows，仍然使用
Squiblydoo 技术，代码托管于 xmr.enjoytopic[.]tk/d/regxmr888.sct，并且是一个启动任务。

有效载荷

在 VirusTotal 上搜索时，发现了一些可能的缺失部分：

b78eafa8b397933d61bcd5f797f2cbcd4a411c138d2808673ddef7e1ef1236f8

这个文件可能是托管在以下网站的有效载荷之一：

• xmr.enjoytopic[.]tk/d/regxmr888.sct,
• xmr.enjoytopic[.]tk/d/regxmr999.sct。

这是一个 VBScript。它使用 wmic.exe 设置持久性，正如泄漏的 中所描述。这种方式执行的代码托管于
xmr.enjoytopic[.]tk/d/regxmr999.sct，并使用 Squiblydoo 技术执行。该脚本还使用
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 注册表设置持久性。它创建两个键。其一使用
mshta.exe 从 xmr.enjoytopic[.]tk/d/ps3.txt 运行代码。不幸的是，我们无法访问该文件，但根据
urlquery.net 的
，这似乎是一个
VBS 下载器。另一个键使用 Squiblydoo 从 xmr.enjoytopic[.]tk/d/regxmr999.sct 运行代码。

除了设置持久性，该脚本还在受感染的机器上下载并运行 XMRig。有多个版本的 XMRig 二进位档。这些二进位档是定制的——除了运行
XMRig，它们还创建一个排定任务，执行以下代码：

• xmr.enjoytopic[.]tk/d/regxmr222.sct,
• down.cacheoffer[.]tk/d2/reg9.sct,
• xmr.enjoytopic[.]tk/d/regxmr999.sct

使用 Squiblydoo 并设置持久性，利用 wmic.exe。

725efd0f5310763bc5375e7b72dbb2e883ad90ec32d6177c578a1c04c1b62054

这个文件可能是托管在以下网站的有效载荷之一：

• down.cacheoffer[.]tk/d2/reg9.sct,
• xmr.enjoytopic[.]tk/d/regxmr222.sct,
• xmr.enjoytopic[.]tk/d/regxmr888.sct。

这是一个 PowerShell 脚本，它从 png.realtimenews[.]tk/m.png 下载并运行 XMRig矿工，并通过名为“更新”的排定任务每分钟写入和执行自己。我们已经看到过类似的脚本，名称和 URL 不同的排定任务。

工具重用和代码相似性

之前已经提到这个工具与 F-Scrack 的相似性。F-Scrack 是一个弱密码扫描器。F-Scrack 的功能扩展了 LaZagne 和
Mimikatz 的偷取密码能力，wmiexec.vbs用于本地和远程执行命令，还有简单的功能用于删除数据并将赎金通知插入各种资料库。另一个新增的功能是在配置不当的 Redis 伺服器上创建 cron任务，并利用 Squiblydoo 执行代码。SMB 服务的利用是通过使用 Shadow Brokers 团体泄漏的二进位档达成的。额外下载的脚本使用了从
Vault 7 泄漏获知的持久性设置技术，运行的有效载荷是公开可用的 。

还有更多工具与这组和 F-Scrack 共享代码，例如
或 。The Patrol 看起来是一个漏洞测试框架，而
xunscan 更或多或少是 F-Scrack 的克隆版。一些代码还与 Xwo 恶意软体共享，这在今年四月和五月曾是几个部落格文章的主题。

与 Xbash 的相似性

代码中有相当大一部分与
恶意软体相似。共享代码的主要部分来自 F-Scrack工具，此外执行勒索行为的函数也类似，但在实现的能力上有所不同。该恶意软体将感兴趣的资料库表上传回操作人员，而 Xbash 则没有。这里存在的另一个特点是利用
EternalBlue 漏洞攻击其他机器的能力，Xbash 缺乏这一点。另一方面，像 Xbash知道使用的各种利用功能则未出现在这里，因为被针对的服务列表比 Xbash 少。

赚钱的方式

这篇文章的目的是不是对整个活动进行详细分析，因此无法估算操作人员实际获得的金额。然而，我们可以看看各部分的收集。从 XMRig二进位档中提取了挖矿池和相应的钱包，而 BTC 钱包则来自写给被入侵资料库的赎金通知。

目的/服务| 地址| 金额| 美元金额
—|—|—|—
赎金通知中的 BTC 钱包| 1Kss6v4eSUgP4WrYtfYGZGDoRsf74M7CMr| 0.68813072 BTC| 5,400 美元
pool.minexmr.com| 45JymPWP1DeQxxMZNJv9w2bTQ2WJDAmw18wUSryDQa3RPrymPJoUSVcFEDv3bhiMJGWaCD4a3KrFCorJHCMqXJUKApSKDV| 1.01672719 XMR| 90 美元
pool.supportxmr.com|
46TCcaaDn4LXkWZ1EGKBkzcWsTm32Mmy8a2VWqL8pGhRPf65GmUdkZWbrLVYNhFaucWXjU5aJqMraLMEoXq53GHYJPv3LP6|
4.5212024077 XMR| 385 美元
pool.supportxmr.com|
49qeKq167YUAJaEcwyF1sB11ExuZwQTy2MQ9QeADcaNEWEMfvbyN2jr8gAhj1JLSpzLDSjETfWxrwLvACXuFadeQ8tRZWy8|
1.7762915474 XMR| 150 美元

这组有限的钱包为操作人员带来了约 6,000美元。最大的一部分似乎来自赎金支付，这也许是可以预期的，尽管该勒索软件部分缺乏任何数据恢复的实现。这很可能只是「冰山一角」，该活动规模更大，透过简单地将现有工具和技术整合来为操作人员赚取更多金钱。

破坏指标（IoC）

样本

文件| SHA-256
—|—
SFX 档案| fd5a462016f5a5c3afd0a642cebea42837edd3dc0c446c413770aaa70467c612
depszip| f6c3a8dafb12df7aee0b00a5e0f4201a5fe963c890332c68284ba1d728055230
Xagent.exe| 02d720a97b5496550c22a5adffcb6b17a2dde3e191fda46c9e05dd3182ae186d
eternal11.dll|
3d2d8fd2c15da7ac4d03436a717613316f5e6a371618d4a386d968e3ea0fc267
eternal22.dll|
6818f885162fc5449571b8a21f28ed3505e43a226f33cb0540f97a7277ae902d
XMRig (x86)| 1d9fc5a423bd778769729c1d5c75c8b9dd694a9b8026bafa8cb18a93cbacb4aa
XMRig (x86)| f38c4cfddf62ce50310b6bb65db3bf14b07c053724e01d8ddf492e38264562c3
XMRig (x64)| 0de09fae50bcb810943cff3d9882fd01766e85c94a2299e6d3f1f6205622f3a6
XMRig (x64)| 9464e66c0a666ea86194bf80afd9dbc3e303d120b687dba14a02914c0a804845
XMRig (x64)| 9ce588c9e3765232e56b41db86f10632659ee2eb68615c4f926d2ee31cdfa418
XMRig (x64)| d7fbd2a4db44d86b4cf5fa4202203dacfefd6ffca6a0615dca5bc2a200ad56b6

• https://github.com/avast/ioc/blob/master/F-Scrack-mimikatz/samples.sha256
• https://github.com/avast/ioc/blob/master/F-Scrack-mimikatz/samples.sha1
• https://github.com/avast/ioc/blob/master/F-Scrack-mimikatz/samples.md5

网路

URL

myip.dnsomatic[.]com
down.cacheoffer[.]tk/d2/reg9.sct
lazagne.cacheoffer[.]tk/Windows.zip
png.realtimenews[.]tk/m.png
png.realtimenews[.]tk/q.png
u.swb[.]one/cidir
u.swb[.]one/crack
u.swb[.]one/upload/win
xmr.enjoytopic[.]tk/d/ps3.txt
xmr.enjoytopic[.]tk/d/regxmr222.sct
xmr.enjoytopic[.]tk/d/regxmr888.sct
xmr.enjoytopic[.]tk/d/regxmr999.sct
xmr.enjoytopic[.]tk/d/rigd32.txt
xmr.enjoytopic[.]tk/d/rigd64.txt
lnk0[.]com/BtoUt4

• https://github.com/avast/ioc/blob/master/F-Scrack-mimikatz/network.txt

其他

使用者代理

Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/29.0.1547.2 Safari/537.36
赎金通知

Send 0.02 BTC to this address and contact this email with your ip or db_nameof your server to recover your database! Your DB is Backed up to our servers!
1Kss6v4eSUgP4WrYtfYGZGDoRsf74M7CMr
[email protected]

标签为
、、

分享:XFacebook