在我们博客系列的第一部分剖析完的层次后，我们认为没有其他选择，只能进一步深入研究 Meh密码窃取者的有效载荷及其所有功能，这些功能包括键盘记录、剪贴簿内容窃取、加密货币挖矿和窃取加密货币钱包，以及一个高度多功能的远程访问工具
(RAT)，可执行各种任务，如网络广告欺诈或为受害者的电脑准备潜在的勒索软件攻击。

研究人员对从西班牙 torrent 网站下载的 VBE启动器进行了，该启动器包含旧版本的 Meh 0.7.9e。在本篇博文中，我们将分析用 Delphi 语言编写的 Meh 版本 1.0.0a。

活动概述

Meh 密码窃取者主要针对西班牙用户，自 2020 年 6 月以来在该国发生了超过 88,000次感染尝试。第二受影响最大的国家是阿根廷，遭到攻击的用户超过 2,000 名。

地图显示在 2020 年 6 月至 11 月期间 Meh针对的国家

分析

Meh 密码窃取者 – pe.bin

在
完成准备工作后，Meh 密码窃取者 PE 会被加载，并执行间接跳转到解密后的 Meh 负载，该负载是用 Borland Delphi写的。这种有效载荷是某种最终阶段，因为该恶意软件实际上通过多个注入到 Windows 进程（例如 notepad.exe 或
regasm.exe）的大规模并行化执行其任务，还包含大量的多线程。因此，Meh 始终通过合法进程来损害其受害者。如果 Meh进程检测到它并未在合法进程中运行，它会通过创建新的注入子线程并将负载注入合法进程来试图修正这一点。

字符串加密

可执行文件中的几乎所有字符串都是加密的。与中 pe.bin
解密部分中的子部分描述的一样，字符串加密使用了相同的密码。唯一的例外是密钥字符串序列在使用之前没有被修改。

首先，对 Base64 编码的字符串进行解码，然后将其传递给 xor_decrypt 函数，并附上 XOR 密钥字符串。

字符串解密函数的代码

为了进一步说明解密过程并简化其他研究人员及有兴趣者的工作，我们将解密所有字符串的 IDAPython 脚本添加到我们的。

文件夹结构

首先，让我们看看恶意软件运行的文件夹结构。为了简化解释，我们将使用从我们的测试 VirtualBox机器中提取的示例来展示这个过程。在这台机器上，完整的文件夹路径看起来像这样：
C:\ProgramData\Intel\Wireless\7ec8d64\22b226e\

可以看到，路径有两部分。第一部分是硬编码的，包含虚构的 Intel 和 Wireless 目录。但是，第二部分是从文件夹 “purpose” 和 HWID哈希的前七个字符生成的，每个子文件夹使用不同的哈希。我们稍后将介绍这一点。这部分是动态生成的，会因电脑而异。

创建个人计算机 HWID 哈希

为了能够重建上述动态路径，Meh 创建了一个被感染计算机的唯一标识符，该标识符在几个恶意功能中经常使用。要生成 HWID哈希，该恶意软件获取计算机的几个值，将它们串联在一起，并使用 MD5 对这个字符串进行哈希。这些值的获取、串联顺序以及哈希过程如下：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId
HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString
HARDWARE\DESCRIPTION\System\SystemBiosVersion
Username (GetUserNameW)
Computer name (GetComputerNameA)

创建子文件夹

在计算 HWID 后，恶意软件将该哈希附加到两个不同的字符串常量上，分别对应于每个特定的子文件夹：

botsfolder
logsfolder

这些附加哈希的子文件夹再次被哈希。结果哈希如下面所示：

botsfolder – 7ec8d648ccf5fc2c28dfb98e1ef45101
logsfolder – 22b226ea2f14c1ed4806becf5d5c7fb8

注意，仅取哈希的前七个字符来形成目录名称。

与旧版本的 Meh 的兼容性

我们发现了文件夹创建过程中的一个有趣方面：计算和检查其他文件夹结构。一般来说，检查的目的是为了清除系统中的旧版本 Meh，只保留具有新文件夹结构的新版本。

据我们所见，Meh 在生成其自身存储到磁碟上的文件系统位置的算法和 HWID生成过程上变化了很多次。尽管我们意识到一些人不愿意上历史课，但我们决定简要描述一下有关 HWID 后处理的一种方法。

该恶意软件最初仅从感染计算机获取三个系统信息值，而不是五个。该恶意软件通过一个知名的 API 函数来执行，并读取两个注册表键：

GetVolumeInformationA - 获取 VolumeSerialNumber 值
HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier
HARDWARE\DESCRIPTION\System\SystemBiosVersion

这些系统值以此精确顺序串联在一起。在创建了系统信息的字符串后，它被使用 MD5 哈希化：
15a58f851468959538c67e43b78b7485

但是，在计算出哈希之后，输出使用简单的位移和循环演算法进行修改，每个字节的字符串转换为不同的字节。

这是通过将字节高半部右移一位来完成的，并将低四位保持不变。因此，哈希结果为：
05554f450438454518663e23574b3445

该变换循环可在下面找到。细心的读者也可以注意到地址 0x004240FE 上的编译错误。

哈希变换循环的组合

为什么作者决定在 Meh 的新版本中省略这一变换对我们来说仍然是个谜，但这可能与该算法从安全角度的无用性有关。

更有趣的是的是，即便在最近的版本中，这种位移变换仍然存在！然而，位移值更改为四，有效地什么都不做，仅仅保留 MD5 哈希的有效性。Meh…？

设置备份

该恶意软件可以将其设置储存到日志文件夹中的专用文件。此文件名是通过将 HWID 与字符串 “settings” 串联并使用 MD5哈希生成的（在哈希中仅取前七个字符）：
C:\ProgramData\Intel\Wireless\7ec8d64\22b226e\055c0c3

这些设置可以通过以下几种方式由恶意软件设置：

内置于恶意软件中的默认设置
从先前执行的设置文件中加载的设置，或者是已在磁碟上存在的旧版本恶意软件的设置
从 C&C 伺服器接收的设置（有关 RAT 模块的更多详情）

这些设置有几个值：

所有设置以逗号分隔方式进行串联。

AES 加密

此外，设置文件的内容使用 AES-192 在 CFB8 位模式下进行加密（EncryptCFB8bit）。密钥短语是一个字符串
“keysettings”，将其经过 SHA-1 哈希后使用零填充到 24 字节长：
548aea3eb3e62ff420ae9f7e6d9f1de66559692600000000

加密后的内容还使用 base64 进行编码。

多线程、窃取和其他功能

正如之前提到的，Meh使用多个线程，每个线程都有其专用功能。以下是这些工作线程的详细列表。请注意，这些线程中的几个还使用其他方式进行并行化，使整个分析变得更加复杂。

注入线程
安装和持久化线程
反病毒检查和反 IObit Malware Fighter 线程
加密货币挖矿线程
Torrent 下载线程
剪贴簿窃取和键盘记录线程
加密货币钱包窃取线程
广告欺诈线程

注入线程

注入始终是从专用子线程执行，并会创建新的合法进程作为注入的目标。为此，根据默认设置使用以下其中一个进程进行注入：

notepad.exe
WerFault.exe
regasm.exe
systeminfo.exe
vbc.exe

不过，根据 RAT 模块的请求，注入的目标可以是任何任意进程。

默认设置下，恶意软件会列举当前的进程路径并检查是否包含字符串
“windows”（不区分大小写）。如果不存在，则执行注入。使用动态分叉的方式来空洞化该进程。

系统调用使用和 API 解决

我们想进一步提到注入过程中使用的一种方法——某些 API 函数的实际调用方式。该恶意软件通常通过解析系统 DLL 的导入表来解析所需的函数。然而，Meh的作者并没有这么做。

该恶意软件检查 C:\Windows\SysWOW64\ntdll.dll 文件是否存在以检测操作系统的位数。根据操作系统是 x64 还是
x86，将使用不同的方法执行系统调用。

决策过程的代码，决定应该使用哪种系统调用

如果操作系统是 x64，则 FS 0xC0 参考 FastSysCall 在 Wow64 中，它将 x86 处理器切换为 x64 模式并调用本地
x64 系统调用，如下图所示：

x64系统调用的代码

如果操作系统是 x86，则直接使用 sysenter 指令执行系统调用。

安装和持久化线程

在此线程中，检查是否存在三个文件，这些文件位于
C:\ProgramData\Intel\Wireless\7ec8d64
目录（即 botsfolder）：

生成的 .au3 脚本名称
生成的 .exe 名称
pe.bin

首先，常量 testau3 和 autoitexe 被用于 .au3 和 .exe 文件，分别。然后将这些常量附加上 HWID 并使用
MD5 进行哈希。到目前为止，一切都是正常的。

.au3 脚本和 .exe 文件的名称是使用与文件夹结构中展示的相同算法生成的，唯一的例外是。

不过，.exe 文件名被进一步修改，使得哈希中每个数字字符（< 0xA）都被翻译为英文字母开头的字符，不包括字母 “e”。因此，替换发生在数字
0-9 和字母 a-d 和 f-k 之间。我们推测作者其实是打算包含字母 “e”，但忘记了它在字母表中。

这有效地将哈希转换：
9a5afe4 -> kagafef

在我们的虚拟机器上，这些文件名被生成并检查其是否存在：

kagafef.exe
e30db2f.au3

如果这些文件中的任何一个缺失，恶意软件将在当前进程文件夹中查找任何带有 .exe、.au3 扩展名和 pe.bin
文件的文件。第一个符合此扩展的文件将被复制到该目录。如果 pe.bin 文件缺失，则整个线程终止。请注意，这些文件应代表 AutoIt 解释器和 Meh密码窃取者的有效载荷。

pe.bin 文件的内容被解密并使用一个仅包含英文字母的随机生成的密钥重新加密，且长度为 10 字节。

此外，AutoIt 脚本和 pe.bin 文件的开头和结尾都附加了随机生成的字符串，反映了

的外观。然而，在此阶段，我们最终可以了解到这种混淆是如何生成的。这些字符串的长度随机选择，范围从 1,000 到 10,000 字节。

最后，如果这些文件是从与 ProgramData\Intel 不同的文件夹树复制而来，则会删除原始文件夹。

持久性抗病毒检查

上述所有安装和持久化步骤完成后，恶意软件会通过检查以下进程来检测系统中是否存在多个反病毒软件：

imf.exe (IObit Malware Fighter)
monitor.exe (IObit Malware Fighter)
totalav.exe (Total AV)
qhsafetray.exe (360 Total Security)
avpui.exe (Kaspersky)

然而，该功能根据所用反病毒软件的不同而异，下面将详细描述。

IObit Malware Fighter 和 Total AV

如果上面列出的前两个反病毒存在，则该恶意软件会尝试将自身注入到列出的进程中。这是通过获取进程的句柄、在该进程内部分配适当的空间和权限并调用
CreateRemoteThread API 函数来完成的。

如果由于某种原因无法获得句柄（例如，执行期间恶意软件的权限不足），则该恶意软件将尝试将自身注入到以下进程之一：

utorrent.exe
bittorrent.exe
lightshot.exe
razer central.exe
skype.exe
discord.exe
steam.exe
spotify.exe
vmware-tray.exe

或任意找到的一个 x86 进程。

360 Total Security

如果已安装 360 Total Security，则该恶意软件仅尝试注入到进程列表中，并且不会攻击这个反病毒。

Kaspersky

如果 Kaspersky 已安装（通过运行 avpui.exe 检测），则该恶意软件不会注入任何内容。相反，它会创建两个文件。第一个文件是 VBS文件，存放在以 prepending tmpvbsstartdir 和 tmpvbsstart 字符串与 HWID 的 MD5 哈希生成的目录中：
C:\714edf2\1665f18.vbs

其内容如下：

1665f18.vbs脚本的内容_

这意味著该恶意软件创建了一个 VBS 脚本来解释 AU3 恶意载荷。

一个名为 “IGWcKodqHa” 的字符串被随机生成，这个字符串只能包含来自英文字母表的字母，并且长度为 10 字节。

第二个文件的名称基于对 “tmpau3”（附加 HWID）进行哈希计算，并存储在本地 Temp 目录中：
C:\Users\<user>\AppData\Local\Temp\2940974.au3

该脚本的内容如下：

2940974.au3脚本的内容_

这个 autohotkey 脚本创建了一个指向上述 VBS 脚本的快捷方式，并将其放置在用户的启动目录中，使用的是合法的 Mycomput.dll
文件图标，然后在完成后自己删除。这有效地确保了持久性。

注意 <user> 是本地用户名（由恶意软件适当填充）。此外，随机生成的字符串 “ydOGzq” 始终为六字节。

还会创建一个额外的文件 tmplnk.txt。该文件的内容是上面 LNK 文件的绝对路径。该文件将在随即随之而来的重启后被读取，我们将在下面描述。

在完成持久性和准备后，该恶意软件会显示一个有关 uTorrent 程序更新的假对话框（不管该程序是否实际出现在 PC 上）。

uTorrent程序更新的假对话框

这个对话框在 2.5 秒后自动关闭。然后，该恶意软件使用 kagafef.exe AutoIt 解释器执行 2940974.au3 文件，并使用：
cmd.exe /C shutdown -f -r -t 0 重新启动电脑。

因此，在重启后，恶意软件会在启动文件夹中执行 ydOGzq.lnk，并重新执行 1665f18.vbs，从而混淆其执行过程树。

持久性监控工具检查

如果不存在来自上一小节的任何运行中的反病毒软件，或者在 Kaspersky 下成功重启执行 Meh，则该恶意软件会对运行中的监控工具进行彻底检查：

ccleaner
system config
malwarebytes
farbar recovery
startup scan
anti rootkit
anti-rootkit
startup manager
autoruns
editor de registro
editor del registro
registry editor
gerenciador de tarefas
zhpcleaner
process hacker
task manager
junkware removal
administrador de tareas
hijackthis
process explorer
tcpview
process monitor
wireshark

该检查会定期通过将当前活动窗口的文本与上面所有字符串进行比较来执行。

如果没有找到上述工具中的任何窗口，则该恶意软件会创建一个注册表键，位置为
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

注册表键的名称是根据 HWID 派生的，从 HWID 的第二个位置中取出八个字母。

该键包含使用 AutoIt 解释器执行 AutoIt 脚本的持久性：
C:\ProgramData\Intel\Wireless\7ec8d64\kagafef.exeC:\ProgramData\Intel\Wireless\7ec8d64\e30db2f.au3

如果有任何来自上述列表的窗口处于活动状态，则该恶意软件会删除此注册表键以隐藏其持久性。此外，如果窗口名称包含
“Malwarebytes”，则该恶意软件还会清除 Wireless 文件夹结构中的所有文件。

最后，这个子线程会定期检查整个 Wireless 文件夹结构，如果发现任何文件缺失和/或为空，则该恶意软件将从进程记忆体中恢复这些文件并将它们写入磁碟。

反病毒检查和反 IObit Malware Fighter 线程

Meh 还包含对反病毒的额外彻底检查，特别是针对 IObit Malware Fighter。该检查与上述安装和持久性线程是分开的。

该检查通过监控运行中的进程进行（而不是主动窗口，如之前所述）。完整的检查列表如下，以字母顺序排列：

avastui.exe (Avast)
avguard.exe (Avira)
avgui.exe (AVG)
avpui.exe (Kaspersky)
bdagent (Bitdefender)
bytefence.exe (ByteFence)
cis.exe (Comodo)
egui (ESET Nod32)
imf.exe (IObit Malware Fighter)
mbam (Malwarebytes)
mcshield.exe (McAfee)
mcuicnt.exe (McAfee)
mpcmdrun.exe (Windows Defender)
msascuil.exe (Windows Defender)
nis.exe (Norton)
nortonsecurity.exe (Norton)
ns.exe (Norton)
psuaservice.exe (Panda Security)
qhsafetray.exe (360 Total Security)
sdscan.exe (Spybot – Search & Destroy)
smc.exe (Symantec)
superantispyware.exe (SUPERAntiSpyware)
totalav.exe (Total AV)
uiseagnt.exe (Trend Micro)
vkise.exe (Comodo)

此外，还检查以下两个位置是否存在：

C:\Program Files\Bitdefender
C:\Program Files (x86)\IObit

关于运行中反病毒的资讯会影响到恶意软件流程的不同部分，并且也可以通过 RAT 模块报告给 C&C 伺服器。

IObit Malware Fighter 线程

如果检测到 IObit Malware Fighter 资料夹，Meh 会创建一个带有无限循环的子线程，唯一的目的是反复终止 monitor.exe 和
smBootTime.exe 进程。

加密货币挖矿线程

加密货币挖矿是 Meh 的一个附加功能，仅在系统中不存在 Norton、Nod32 或 Bitdefender时执行。由于其设计并不新颖，我们决定使用简单的图表来描述它：

加密货币挖矿线程示意图

下载挖矿程序的 URL 是（根据操作系统是 64 位还是 32 位）：
http[:]//124.red-79-152-243.dynamicip.fina-tdl.io/s/cpux[86|64].bin

在有效载荷被解码和解压缩后，我们立刻看到它是常见的 XMRig：
722502b7302fd6bae93c57212fcafad2767c5f869e37bd00487b946f76251c8de96403de3807ccb740f9ca6cade9ebd85696485590f51a4eb1c308de9875dfaa

该恶意软件还生成一个随机 AES 密钥，用于在将 XMRig 写入其目录时对其进行加密，名称是由 HWID 和字符串 “minercpu2”
生成的，与之前多次做法一致：
C:\ProgramData\Intel\Wireless\7ec8d64\22b226e\ecef9c8

挖矿线程也可以被 RAT 模块影响。如果 RAT 模块收到终止挖矿的命令，它会将挖矿文件填充为字符串 nominear，从而禁用挖矿。

Torrent 下载线程

在该恶意软件的这部分中，Meh 尝试使用本地安装的 torrent 客户端下载其他文件到被感染的机器。这是通过读取一个文件
C:\Users\<user>\AppData\Local\Temp\test.txt
来实现的（通常）该文件由原始 AutoIt 负载创建。在不同版本的 Meh 密码窃取者中，我们还看到该文件称为 torrent.txt。

该文本文件的内容可以找到一个 VBE 脚本文件的名称。该恶意软件将扩展名附加为 .torrent，以反映要下载的 BitTorrent 协议的名称。

然后，该恶意软件联系几个 torrent 网站，通过 POST 请求搜索文件。

http[:]//www.mejortorrentt.net/ips/download_torrent.php
http[:]//mejortorrent1.net/downloads/download_torrent.php
http[:]//grantorrent.eu/download/download_torrent.php
http[:]//www.divxtotal.la/downloads/download_torrent.php

该恶意软件使用数据参数 nombre=，并将文件名传递给请求特定文件。

该功能在不同版本的 Meh 中的实现方式不同。在其他版本中，它将 torrent 文件名附加到一组 URL中，并可选择将请求结构化为网站的子文件夹（用西班牙语表示）：

peliculas
series
documentales
musica
juegos
variados

然后，URL 会在子文件夹中组合出包含 torrent 名称的网址：
http[:]//www.mejortorrentt.org/uploads/torrents/%s/%s

当文件成功下载且其包含字符串 udp://tracker，这表明这是要下载的 BitTorrent 文件，它将立即执行。

剪贴簿窃取和键盘记录线程

当特定按键被按下后，便会窃取剪贴簿内容（参见下面的列表）。在窃取剪贴簿后，该恶意软件将禁用剪贴簿窃取功能 30秒。被窃取的剪贴簿内容和按下的键，将与当前活动窗口文本以十六进制格式存储。

监控和触发键盘记录和剪贴簿窃取的按键：

Backspace 键
DEL 键
Home 键
Start 键
End 键
空格键
Enter 键
数字小键盘的数字键
加号键
减号键
小数点键
每一个单字母键

被窃取信息的输出保存在一个文件中：
C:\ProgramData\Intel\Wireless\7ec8d64\22b226e\DD-MM-YYYY.log
以文件创建的日期命名。被窃取的信息会进行格式化和加密。为了更好地说明被窃取内容的格式，下面提供了一个明文示例：

被窃取内容的示例

日志文件的内容使用 AES 加密，以密钥 “masteroflog” 加密，并使用 base64 编码输出。

加密货币钱包窃取线程

Meh 也能够窃取受感染 PC 上的加密货币钱包。该线程检查常见的加密货币钱包位置，如果发现其中一个，则会立即将其发送到 C&C伺服器，并附上包含受害者的用户名和计算机名称的讯息（以 “@” 分隔）以及特定加密货币的调试消息。

已检测到的加密货币钱包调试信息的代码

所有检查的路径均在下表中列出。但请注意，并非所有这些钱包都会被窃取。表格的最后一列显示恶意软件作者用于在加密货币窃取期间区分加密货币的标记。

加密货币 | 检查路径 | 标记
—|—|—
比特币| C:\Users\<username>\AppData\Roaming\Bitcoin Bitcoin\wallet.datBitcoin\wallets\wallet.dat| 0
Electrum| C:\Users\<username>\AppData\Roaming\Electrum C:\Program Files (x86)\Electrum Electrum\wallets\default_wallet Electrum\wallets\*| 4
Electrum-LTC| C:\Users\<username>\AppData\Roaming\Electrum-LTC|
ElectronCash| C:\Users\<username>\AppData\Roaming\ElectronCashElectronCash\wallets\default_wallet ElectronCash\wallets\*| 5
莱特币| C:\Users\<username>\AppData\Roaming\Litecoin Litecoin\wallet.dat| 1
jaxx| C:\Users\<username>\AppData\Roaming\jaxx|
Exodus| C:\Users\<username>\AppData\Roaming\ExodusExodus\exodus.wallet\seed.seco Exodus\exodus.wallet\info.secoExodus\exodus.wallet\passphrase.json Exodus\exodus.wallet\twofactor.secoExodus\exodus.wallet\twofactor-secret.seco| 2-3
6-8

加密货币钱包的内容会串联在一起。作为它们之间的分隔符，使用的字符串是：
____padoru____XXX____padoru____
其中 XXX 代表上表中的标记。

该字符串然后使用 zlib 进行压缩，并用 Base64 编码，发送到以下 C&C 伺服器：

http[:]//193-22-92-35.intesre.com
http[:]//0.le4net00.net
http[:]//83.171.237.231
http[:]//deploy.static.blazingtechnologies.io
http[:]//0.weathdata.nu

广告欺诈线程

在此子线程中，恶意软件专注于利用受害者的计算机进行广告欺诈，通过使其点击任意网站上的广告来实现。这是通过向受感染的计算机传递三种类型的资讯来进行的（我们稍微提到过这些资讯在设置备份部分），并且将在稍后描述它们的功能：

googleclickdate – 影响欺诈发生的时间戳
googleclickdatas – 应该被搜寻的网站
googleclickdelimitador – 应该被点击的内容（广告）

首先，在分析的版本 1.0.0a 中，恶意软件仅支持 Google Chrome 浏览器。

其次，该恶意软件需要主动接收有关以上 “google” 参数的信息。默认情况下，这些信息不在恶意软件中。它可以从先前版本的 Meh 获取，或者通过 RAT模块获取。不幸的是，由于在我们分析期间 C&C伺服器不再运作，我们无法获取有关实际攻击过哪些网站和广告公司的资讯。根据恶意软件中实现的通用设计，我们推测可能是任何它们。

当 googleclickdate 满足执行条件（该日期必须早于当前时间）时，该恶意软件还检查用户是否处于活跃状态，通过获取用户与 PC最后互动的秒数。如果用户当前处于非活动状态，它将再次检查 Chrome 浏览器未使用的时间。如果长时间未使用，则进行恶性操作。

该恶意软件会通过将所有十二个浏览器扩展程序禁用来进行此操作（见下文），通过重命名它们的文件夹（附加下划线 “_”）。这些扩展程序的文件夹通常位于本地
AppData 的位置：
C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\Extensions\

若存在的扩展程序（若安装），如下表：

Delphi 密码窃取器？呵呵… (2/2) – Avast