近日，360威脅情報中心捕獲了一批功能強大的遠控木馬，其不僅能盜取用戶的郵箱、即時通訊軟件、瀏覽器等等的相關隱私信息，更重要的是木馬還會主動盜取用戶的虛擬貨幣錢包文件，以竊取用戶的數字貨幣資產。

并且該木馬樣本同時利用了多個Office最新的漏洞進行捆綁投遞（CVE-2017-8570、CVE-2017-11882、CVE-2018-0802），以提升漏洞利用成功的幾率，并通過極具誘惑性的文檔進行偽裝，主要是數字貨幣相關的介紹文檔。很顯然，這批遠控木馬正是為了用戶的比特幣錢包而來。
360威脅情報中心通過溯源關聯分析，發現這批樣本都是使用一款較新的，名為ThreadKit的文件漏洞利用工具包所生成，具有較強的針對性。
樣本分析
被捕獲的用于盜取虛擬貨幣的樣本執行流程如下：

惡意文檔分析
360威脅情報中心詳細分析整個惡意代碼執行過程，分析過程如下：
被捕獲的樣本都以極具誘惑性的RTF文檔進行偽裝，主要是介紹數字貨幣相關的咨詢信息，比如預測虛擬貨幣未來的走勢：

比如區塊鏈的相關技術介紹：

探針
該RTF樣本中通過INCLUDEPICTURE的方式插入了一張遠程圖片，當樣本打開后，Word會請求讀取互聯網上的這張圖片，通過這種方式，黑客可以統計哪些來源的IP打開過該誘餌文檔，不過分析的樣本使用的是一個不存在的網絡地址：

捆綁了多個最新的Office漏洞利用
首先，樣本通過插入Package的方式分別插入了以下文件，這些文件在文檔打開后會自動釋放到%temp%目錄：
文件名 
描述 
iNteldriVerupd1.sCt 
用于執行TasK.BaT 
TasK.BaT 
用于執行2nd.bat 
2nd.bat 
加載執行dll.dll 
dll.dll 
Payload 
decoy.doc 
釋放的正常文檔 
分析發現，樣本中插入了公式編輯器漏洞和CVE-2017-8570這兩種最新的漏洞利用代碼來執行最終的惡意代碼：
使用公式編輯器漏洞（CVE-2017-11882and CVE2018-0802）

使用CVE-2017-8570

漏洞利用成功都會去執行釋放的%temp%\task.bat，task.bat的批處理內容如下：

Loader
task.bat隨即會執行2nd.bat批處理文件，2nd.bat批處理文件內容如下：

2nd.bat執行后會首先判斷C:\Windows\SysWOW64\odbcconf.exe文件是否存在，如果存在則執行C:\Windows\SysWOW64\odbcconf.exe/S /A {REGSVR “%TMp%\DlL.DlL”} 實現加載執行釋放的%temp%\dll.dll。
如果不存在該文件就直接執行odbcconf.exe/S /A {REGSVR “%TMp%\DlL.DlL”}。上述判斷的意義在于確保運行32位的odbcconf.exe程序加載DIL.DIL。
接著打開%tmp%\decoy.doc，這是一個正常的Word文檔，最后利用bitsadmin下載http://94.250.248.105/task.bat到%userprofile%\appdata\local\temp\task.scr并執行。
Payload（包含盜取數字貨幣錢包功能）
dll.dll
被2nd.bat加載執行的dll.dll為主功能木馬，其不僅能盜取用戶的郵箱、即時通訊軟件、瀏覽器等等的相關隱私信息，更重要的是木馬還會主動盜取用戶比特幣錢包，以竊取用戶的數字貨幣資產。詳細分析如下：
該dll被加載后，首先解密自身代碼， 然后復制一份自己的內存鏡像，然后跳轉到新的內存鏡像里繼續執行：

接著會解密內置的一個dll文件，然后內存加載該dll文件，并調用該dll文件的入口函數：

進入該內置DLL的入口函數后，首先動態獲取自身所要使用的API函數地址：

接著創建一個互斥體，防止重復啟動：

然后通過注冊表獲取自身設備的GUID，接著獲取用戶、計算機名后分別算出一個HASH值，再把算出來的3個HASH值拼接起來，接著把拼接起來的值URL編碼并加密，然后把加密后的數據向C&C地址lorentok.beget.tech/index.php發送POST請求：

接著判斷返回的數據的大小是否大于0×2710個字節，如果不是則結束運行：

代碼中還會比較返回數據值是否為“exit”字符串，如果是，也結束運行，如果不是，則解析返回回來的數據，并釋放數據中包含的運行庫文件到%TEMP%\1Mo\目錄，如果在該目錄釋放失敗，則嘗試釋放到%appdata%\1Mo\目錄，接著設置當前的運行目錄為%TEMP%\1Mo\，然后加載釋放的庫文件初始化要使用的API：

釋放的庫文件：

接著根據返回的配置信息選擇性的偷取以下信息：
1、 Outlook保存的郵箱賬號密碼和郵件服務器地址、FileZila保存的帳號密碼、WinSCP 2保存的賬號密碼、PSI+、purple。
2、 瀏覽器里保存的cookie和瀏覽器里保存的賬號密碼
3、 盜取門羅幣和比特幣錢包
4、 Skype、Telegram、Steam等聊天工具信息
5、 屏幕截圖
6、 獲取指定規則的文件內容
7、 獲取當前ip地址和區域信息
8、 下載指定文件執行
相關木馬功能代碼結構：

盜取數字貨幣錢包（比特幣and門羅幣）
木馬中的一個最重要的功能便是偷取數字貨幣錢包的錢包文件，主要盜取比特幣錢包和門羅幣錢包，相關分析如下：
首先遍歷%appdata%目錄里的所有文件，查找wallet.dat、.wallet、electrum.dat文件，如果查找到這些文件則把該文件拷貝到%temp%/tempbuffer.dat，然后讀取tempbuffer.dat文件的內容，讀取完成后，刪除tempbuffer.dat文件：


接著查找%appdata%/MultiBitHD/下的錢包文件，如果存在，也同樣把這些錢包文件拷貝到%temp%/tempbuffer.dat，接著讀取tempbuffer.dat文件內容，然后刪除該文件：

接著繼續偷取門羅幣錢包文件，首先查找注冊表Software\monero-project\monero-core的wallet_path項的值，得到錢包路徑，然后同樣去查找錢包文件是否存在，如果存在也復制到%temp%/tempbuffer.dat，然后讀取內容，最后刪除%temp%/tempbuffer.dat文件：

還會查找注冊表Software\Bitcoin\Bitcoin-Qt的strDataDir項的值，得到錢包文件的路徑，然后查找該路徑下的錢包文件，也同樣的復制到到%temp%/tempbuffer.dat，然后讀取內容，最后刪除%temp%/tempbuffer.dat文件：

最后查找%appdata%\Electrum\wallets\下的所有文件，如果存在則讀取全部讀取：

當獲取完所有的信息后，繼續獲取當前運行進程名，系統里所有運行的進程列表等系統信息，并把上述獲取的信息加密編碼后上傳到C&C地址，接著刪除自己是否的運行庫文件，然后根據配置選擇是否自刪除：

清理自身釋放的運行庫文件：

持久性
task.scr
task.scr主要實現木馬的持久性以及加載修改后的gdi32.dll（執行遠程插件），該文件通過http://94.250.248.105/task.bat下載回來，樣本運行首先通過HASH值來動態獲取自身所使用的API，這些API都是較底層的API函數：

接著讀取系統目錄下的gdi32.dll到內存，并在內存里修改該DLL的入口函數，改為自身的一段ShellCode，接著把修改后的DLL寫入到%appdata%\Microsoft\Graphics\gdi32.dll：

接著加密自身另一段ShellCode，加密的密鑰為注冊表保存的當前這個設備的GUID的HASH值，然后把加密后的數據寫入到%appdata%\Microsoft\Installer{設備GUID的值}\AppCache\container.dat：

接著利用regsvr32.exe加載修改后的gdi32.dll：

向注冊表SOFTWARE\Microsoft\Windows\CurrentVersion\Run寫入項為HD Graphics Driver，值為”C:\WINDOWS\system32\regsvr32.exe” /s “C:\Documentsand Settings\Administrator\Application Data\Microsoft\Graphics\gdi32.dll” 來實現開機自啟動，實現木馬的持久化：

最后向%temp%目錄寫入一個批處理文件，然后利用ShellExecute API運行該BAT實現自刪除：

執行遠程插件
gdi32.dll
task.scr負責將修改后的gdi32.dll執行起來，而gdi32.dll最終的目的是等待執行攻擊者下發的遠控插件。
該文件被加載執行后會解密自身的一段ShellCode，然后執行該ShellCode：

執行該ShellCode，首先會傳參數為0，用于初始化該ShellCode里面要使用的API，接著傳入0x3e8參數，開始執行具體的功能：

當進入0x3e8分支后，該ShellCode會嘗試把自身注入當前計算機上的所有進程：

當嘗試打開進程成功時，會把自身注入到打開的進程去，然后HOOK注入進程的ZwClose函數，從而實現通過ZwClose來調用自身注入的ShellCode：

注入自身到進程



HookZwclose
當ZwClose被調用時，進入HOOK的代碼部分，進行調用自身ShellCode的入口部分，也是和gdi32.dll的調用入口一樣，只是傳的參數不一樣，第一次也是傳入參數0，初始化ShellCode的一些API等信息，接著傳入參數1，進入1的分支，實現對應功能：

進入參數1的分支后，該分支嘗試讀取%appdata%\Microsoft\Installer{設備的GUID}\AppCache\container.dat文件，如果該文件不存在，則結束線程運行，如果存在則讀取該文件內容，解密執行：

container.dat的ShellCode入口有4個分支，調用時，也是先調用初始化的分支，然后再進入實際的分支：

最終，該ShellCode的作用便是向https://python-distr.com/modules/ 發送請求，等待下載該鏈接的文件加密存儲到本地，然后加載到內存執行，以實現執行攻擊者下發的遠程插件：
下載文件

加密寫入到本地

映射到內存執行
循環請求下載，直到加載到本地并成功執行，才退出線程：

生成器（ThreadKit）
360威脅情報中心通過分析大量該類樣本后發現，其前期投遞的帶有漏洞的Word文檔等樣本，都有一定的規律性，比如有打開文檔時，會有一個探針鏈接，用于統計有多少個電腦中招：

在漏洞利用的時候，都會有幾個名字的的文件來調用(TasK.BaT，2nd.bat)，且內容都大致一致：

都會使用一個空的block.txt來檢測是否二次運行，同樣的相似的sct文件用來啟動task.bat：

相似的方法來啟動偽裝文檔：

最終我們發現，這批針對性的樣本和一個名為ThreadKit的文件漏洞工具包生成的樣本基本一致，因此可以推斷這些樣本都是使用ThreadKit工具包來批量生成的。
ThreadKit是一個相對較新且流行的文件漏洞利用工具包，從2017年6月起，很多攻擊者利用該工具包做針對性的攻擊。該工具包也讓技術水平不高的攻擊者輕松的使用最新的Office漏洞來實施攻擊，極大的降低了攻擊門檻。
結論
近年來，數字貨幣的瘋狂上漲吸引了越來越多人的目光，正在催生越來越多的網絡犯罪，可以說全球黑客都在瞄準虛擬貨幣，而相關的熱點信息（比如區塊鏈技術）則正好被黑客用來作為誘餌吸引受害者上鉤。而越來越多的傻瓜式漏洞利用生成工具也極大的降低了攻擊者技術門檻。
360威脅情報中心提醒各單位/企業用戶，謹慎打開來源不明的文檔，并盡快修復及升級微軟Office軟件，也可以安裝360安全衛士/天擎等防病毒軟件工具以盡可能降低風險。
IOC
URL 
python-distr.com 
http://lorentok.beget.tech/index.php
http://maksssnd.beget.tech/index.php 
http://keyar12f.beget.tech/updateazor.php 
http://expdoczh.beget.tech/panel/gate.php 
MD5 
54b6f058a85fdb6bc7827e96cf73a59b 
9df5ec509ffd296d7e447eaa5287cc33 
a82d46ab49f58c9b12c9f02cf2b22f26 
655f743484692071a6a63f1993176f9c 
5eeb307ac56e202466abd4af7831145a 
0b3243bc565778218ab272ccd78bad37 
4447c534b4b30cfe2d591e398b80eee5