windbg调试看看影音恶意挖矿行为分析
rbc.task.lua
RbcEntry.dll封装了LUA引擎,加载后首先解析Rbc.xar,然后调用其中的onload.lua,启动整个脚本。Rbc.xar是任务调度模块,核心功能是从云端下载任务控制脚本并加载运行。
rbc.setting.lua
[rbc.scheduler.lua调度脚本]
整理所有任务URL,如下:
rbc.version.lua
kkp.curl.lua
参数/src指定了要加载的lua脚本模块(已打包成xar格式),通过lua脚本来控制任务;参数/bkwndlist指定要查找的窗口标题,参数/bkprocesslist指定要查找的进程名,一旦枚举到指定的窗口或进程名,立刻结束进程,防止被用户发现。
[%APP_DATA%/VideoLegend/RBC/Task成的各任务目录]
完整命令行如下:
[看看影音挖矿行为整体流程简图]
该组件是一个商业功能模块,RBC是RemoteBussinessControl的缩写。顾名思义,这个模块可以通过远程配置来控制用户电脑上运行不同的模块,比如升级、修复、广告弹窗、推广安装等,也包括挖矿。
rbc.lua
rbc.eventsource.lua
└─layout
rbc.filter.lua
└─luacode
其中link就是该任务模块的下载地址,通常是xar包;frequency是执行频率;googleid和cnzzid是活跃统计标识。configurl是脚本里面使用的远程配置,主要是挖矿DLL模块的下载地址和MD5,具体内容请看下文。
rbc.helper.lua
Rbc.xar
最后加载rbc.scheduler.lua里面包含了远程配置的任务脚本url:/rbc/taskschedule_v1.2.dat
[看看影音的版本和公司信息]
rbc.scheduler.lua
rundll32.exe%APP_DATA%/VideoLegend/RBC/Program/RbcEntry.dll,Control_RunDLL/thread/src..//..//Xar//Rbc.xar/killex/priority0/checktime/delay1/idle%d/busy%d/debug/bkwndlistMicrosoftVisual;HTTPAnalyzer;WinDBG;OllyDebug;fiddler;SmartSniff;/t/t/t/t/t/t/t/tSpy++;Spy;ATL/MFC;任务管理器;DebugView;ProcessExplorer;FileMonitor;RegistryMonitor;Wireshark;OllyICE;OllyDBG;Sysinternals/bkprocesslistfiddler.exe;windbg.exe;devenv.exe;taskmgr.exe;wireshark.exe;/t/t/t/t/t/t/t/t/thttpanalyzer.exe;smsniff.exe;filemon.exe;regmon.exe;procmon.exe;ollydbg.exe;softice.exe;cis.exe;/t/t/t/t/t/t/t/t/ttasklist.exe;procexp.exe;ollyice.exe;processspy.exe;spyxx.exe;winspy.exe;cv.exe
│onload.lua
[onLoad.lua加载脚本]
近日,部分用户出现电脑GPU占用率高,电脑温度升高,风扇噪声增大等问题。具体现象为电脑中C盘可使用空间骤降,且在C盘Ethash文件夹内,发现存在大量的1G左右的垃圾文件;电脑闲置状态时,风扇转速增快,电脑发热增加,GPU使用率达到100%。非闲置状态时,恢复正常。经过远程调试分析发现是看看影音在后台偷偷利用用户电脑的运算资源进行以太币(一种类似比特币的数字货币)挖矿导致。
onload.lua主要功能是加载各个脚本,代码如下:
│
Rbc.xar解包后目录树如下:
RBCShellExternal.dll会通过rundll32.exe来加载模块RBCEntry.dll,并通过命令行参数来检测调试工具。
[加载RBCEntry.dll的命令行]
taskschedule_v1.2.dat中配置了各种任务的参数,其中挖矿任务的参数配置块如下:
从各个函数名称可以看出,该脚本是主要功能是调度任务的运行。而脚本taskschedule_v1.2.dat则是真正的任务脚本。
│
rbc.base.lua
[挖矿任务脚本的参数配置块]
任务模块下载后保存在%APP_DATA%/VideoLegend/RBC/Task目录下:
安装看看影音后,会注册组件%APP_DATA%/VideoLegend/RBC/Program/RBCShellExternal.dll到注册表的explorer加载项,从而开机即可加载运行,然后通过lua脚本控制,下载挖矿模块到本地利用GPU挖矿,整个流程如下图所示: