doubl3dbag/windows-cryptominer-infostealer-ir

GitHub: doubl3dbag/windows-cryptominer-infostealer-ir

一份针对 Windows 平台加密挖矿木马与 Phemedrone 信息窃取程序的全面应急响应与恶意软件分析报告,包含家族归因、MITRE ATT&CK 映射、威胁行为者画像和完整 IOC。

Stars: 0 | Forks: 0

# Windows 挖矿木马 + 信息窃取程序,应急响应与恶意软件分析 这是一份针对真实世界 Windows 11 入侵事件的全面防御性应急响应与恶意软件分析报告:一个 **挖掘 Monero + 窃取浏览器凭据的套件**。该套件持续潜伏了约 4 个月,通过木马化的“重打包” / 按安装付费 (PPI) 加载器进行分发。 ## 事件经过 来自 `repack4u.pro` 的木马化安装程序释放了一个 **定制的 .NET 加载器**("process2.3",以 VS2017 **Debug** 构建版本发布,这是一个导致 PDB 路径泄露的 OPSEC 失误),该加载器随后运行了 **原生的 XMRig 6.x**(通过签名的 OpenLibSys `WinRing0` 驱动程序进行 BYOVD)以及一个 **Phemedrone 家族的 .NET 窃取程序**,并通过 Telegram Bot API 进行数据外传。 其所使用的唯一一种规避技术也是观察到最有效的一种:恶意软件将其自身目录添加到了 **Microsoft Defender 的排除列表**(`T1562.001`)中,随后在 Defender 实时保护保持完全开启的情况下,在整个潜伏期内明目张胆地运行。之所以还能留存部分取证记录,仅仅是因为一个次要组件在排除路径 *之外* 释放了 `.bat` 文件,从而被 Defender 捕获并隔离了全部 18 个文件。 ## 关键发现 - **家族:** 定制的 .NET 加载器 + 原生 XMRig + Phemedrone 窃取程序(轻量级 + 重量级组件),通过 `repack4u.pro` PPI 服务分发。 - **持久化:** 三个计划任务伪装在 Microsoft 命名空间下(`FamilySafetyRefreshingTask` 每 20 分钟执行一次;包含两个登录触发器)。Run 键、启动文件夹和 WMI 订阅均保持干净。 - **防御规避:** Defender 排除路径滥用(`T1562.001`),两次注册表写入构成了其 *全部* 的规避手段,并由 Defender 自身的 EventID 5007 日志精确到秒地予以证实。 - **数据外传:** 在一个同步时间窗口内读取了所有的 Edge 凭据存储文件(铁证);Credential Manager 中的开发者服务 OAuth token 以及 Phemedrone 文档中记录的目标集合(钱包、会话、FTP/VPN 凭据)均被认定为已遭泄露。 - **归因:** 没有西里尔文字符串(排除了常见的俄语窃取程序家族);可能是两名开发者的工作流(`X:\still\...` 加载器开发 对比 `X:\ILMerge\...` 窃取程序开发);Monero 钱包 + Telegram bot 提供了公开归因的切入点。 ## 攻陷指标 (IOC) (攻击者) **样本 SHA-256** | 文件 | SHA-256 | |---|---| | `update.exe` (加载器, .NET x86) | `2C66BC3B612385326FB8D2BA2A1A3CEB012266D1C388153D2593E6CEBE9ECD8D` | | `updater.exe` (XMRig 6.x, x64) | `E199D88569FB54346D5FA20EE7B59B2EA6F16F4ECCA3EA1E1C937B11AAB7B2B0` | | `SearchUI.exe` (Phemedrone, 轻量) | `23264EEEB23476532A018F8ED7077A450758F2BC5909B293F9CD77615758DD03` | | `taskhostupdate.exe` (Phemedrone, 重量) | `5DA72A806C3E7EB77F267D9BECFDB21256426B4936CA014301C83FABC997FD21` | | `WinRing0x64.sys` (签名的 BYOVD 驱动) | `11BD2C9F9E2397C9A16E0990E4ED2CF0679498FE0FD418A3DFDAC60B5C160EE5` | | `FF21EFCA_update.exe` (InnoSetup 封装器) | `FF21EFCAFE084F555A3DD150FA147B4F93AE19DA1B683CE5563F75A1CD198019` | **网络 / 基础设施** - 加载器 C2 心跳包:`http://87.249.49.208:5000/update-ping` - 分发 + payload 刷新:`repack4u.pro` (`/cert/SearchUI.exe`, `/uk1.ads`) - 窃取程序数据外传:Telegram Bot API (`api.telegram.org`) - 挖矿:`pool.supportxmr.com:3333`,worker `K-work`,Monero 钱包 `84xU65QVUGfaXKCsjLxYWjQViCYgEf9REda9WThET1UEXRiLGmHYyjA5F2FguyWhb3ZHJd25QEJXW5qnzUc2gwAmBfNLkft` ## 文档 - **[REPORT.md](REPORT.md)**,总结报告(执行摘要、家族归因、能力矩阵、攻击链、持久化、Defender 规避、威胁行为者归因、IOC 以及事件日志时间线)。 - **[REPORT-detailed.md](REPORT-detailed.md)**,完整的技术深入分析(PE 静态分析、MITRE ATT&CK 映射、各阶段证据、完整的计划任务 XML、Defender 规避分析、威胁行为者画像、扩展的 IOC 以及公开报告参考书目)。 ## 方法论 对只写 USB 进行实时取证收集(捕获时计算哈希)、针对恶意软件进程树的针对性进程内存转储、PE 静态分析、内存字符串 IOC 提取、Windows 事件日志时间线重建以及公开语料库哈希查询。 ## 补救措施与更多细节 本报告侧重于攻击者归因和指标。为了保护受影响的环境,针对特定事件的补救措施和凭据轮换指导未包含在公开版本中。如果您正在应对类似的感染并发现这些细节对您有帮助,请在本仓库中开启一个 issue,我很乐意为您提供帮助。
标签:Burp Suite 替代, DAST, DNS 反向解析, HTTP工具, 信息窃取木马, 多人体追踪, 威胁情报, 库, 应急响应, 开发者工具, 恶意软件分析, 数字货币挖矿木马, 网络信息收集