【2018/3/28 資策會資安科技研究所撰文】
VirtualDVD 是個免費的「虛擬光碟」軟體,主要功能為在電腦模擬光碟機裝置,讓使用者無需安裝實體光碟機、插入光碟片,也能直接掛載儲存在硬碟或隨身儲存裝置中的映像檔,進而存取映像檔中的資料,其運作方式就如同光碟機在讀取光碟片的行為。
此類型的軟體在電腦開機時具有自動啟動的機制或預設選項,而VirtualDVD的開發公司Ohsoft卻光明正大的在使用者電腦偷渡安裝BRTSvc.exe惡意程式,並利用電腦資源進行挖礦行為。本文將進一步分析BRTSvc.exe惡意程式,並研究其功能與行為。
- 異常程序發現
VirtualDVD於2017/12/20發布的更新版本7.8.0.0會造成異常連線與產生未知的程序(process),並持續於受害電腦中運作,而此程序為造成大量連線之來源。當受害主機在安裝更新VirtualDVD至7.8.0.0版本後,透過Process Explorer執行畫面如圖1所示。
 |
| 資料來源:資安所自行整理 |
| 圖1、受害主機異常連線執行程序 |
發現異常程序BRTSvc.exe並非Windows作業系統預設運作的程序,進一步分析其特性,發現以下異常值得分析的特點,詳見圖2:
- Build Time: 2017/12/15 16:49:47
無論在何時安裝VirtualDVD 7.8版本,Build Time皆會顯示在2017/12/15。
- Start Time: 2018/3/9
真實安裝VirtualDVD的日期。
- Autostart Location: Task Scheduler \BlockchainResearchToolsSvc
維持可以在系統上運作的方式,即為使用工作排程器並產生排程名稱為「BlockchainResearchToolsSvc」的工作排程。
 |
| 資料來源:資安所自行整理 |
| 圖2、BRTSvc.exe 程序的properties |
- VirtualDVD安裝與動態分析
Process 1:官網下載VirtualDVD 7.8安裝程式
原始安裝檔來源:https://virtualdvd.informer.com/7.8/,下載畫面如圖3。
 |
| 資料來源:資安所自行整理 |
| 圖3、VirtualDVD官網下載畫面 |
Process 2:VirtualDVD 7.8.0.0安裝檔,如圖4所示。
 |
| 資料來源:資安所自行整理 |
| 圖4、VirtualDVD 7.8.0.0安裝檔 |
Process 3:安裝VirtualDVD 7.8.0.0,如圖5所示。
 |
| 資料來源:資安所自行整理 |
| 圖5、安裝VirtualDVD 7.8.0.0 |
- 偷渡安裝的挖礦程式exe
Process 4:在使用者授權頁面中,發現Install BRTSvc的閱讀視窗,並且預設安裝至使用者電腦,在安裝時的使用者授權合約內文有一段文字:
| Sponsored program BRTSvc.exe is a monero cpu miner and is a sponsor program that utilizes system resources only when the PC is idle and the CPU usage is low to minimize user inconvenience. If the user is not comfortable with the sponsor program, delete BRTSvc from Add / Remove Programs in the Windows Control Panel. |
若使用者未仔細閱讀授權合約,在安裝VirtualDVD的同時,亦會同意安裝門羅幣挖礦軟體(BRTSvc.exe)進行贊助,但只有在電腦處於低消耗或是閒置的時候才會進行挖礦動作。倘若使用者對於該贊助程式不滿意,可隨時移除挖礦軟體BRTSvc.exe,使用者安裝授權合約如圖6所示。
 |
| 資料來源:資安所自行整理 |
| 圖6、使用者授權頁面 |
Process 5:安裝完成後,透過Autoruns檢查Task Scheduler,發現新增一個名為「BlockChain Research Tools」的工作排程。該工作排程執行的檔案絕對路徑為「C:\program files (x86)\brtsvc\brtsvc.exe」,即為挖礦程式BRTSvc.exe於受害電腦的位置,timestamp停留在2017/12/15,Autoruns分析畫面如圖7所示。
 |
| 資料來源:資安所自行整理 |
| 圖7、Autoruns分析畫面 |
Process 6:在工作排程器裡亦可發現有二個工作排程名稱皆為BlockChain Research Tools,但觸發程序分別為「在系統啟動時」與「當任何使用者登入時執行」皆持續執行中,如圖8所示。
 |
| 資料來源:資安所自行整理 |
| 圖8、工作排程器 |
Process 7:檢測之異常程式或服務相關附屬資訊,挖礦程式主要檔案SHA1資訊如表1所示。
- 、挖礦程式主要檔案SHA1資訊
| 檔名 | SHA1 |
| VirtualDVD.exe | c82842ff001f2b085282f89218f652f97f131bff |
| unins000.dat | 290e585d87521013951fba04f2491bd090748817 |
| SmartInstaller.exe | 5644ec8328d0907df030a8c53720677b841ac96d |
| BRTSvc.exe | 084d7e07c187291b419c65a688a91f599a153794 |
| brt.exe | bba3d6192194b26ee33f69cb85adbbf4912ce0ff |
| unins000.exe | 3a333181fddbbf9d0d6f48a7c901103fba49a8b6 |
挖礦程式異動登錄檔位置資訊如表2所示。
- 、登錄檔異動列表
| # | REGISTRY path |
| 1 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ |
| 2 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BlockchainResearchTools |
| 3 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BlockchainResearchToolsSvc |
| 4 | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\BRTSvc_is1 |
Process 8:在受害電腦具有網路連線之狀態下進行異常連線調查,檢視所有連線程序的本地端與目的端之關聯性,發現至少有3個外部可疑位址並透過TCP/6666埠進行連線,可疑位址為:176.31.117.82、176.9.50.126以及78.46.89.102,詳如圖9所示。
 |
| 資料來源:資安所自行整理 |
| 圖9、網路連線分析圖 |
- 執行檔靜態分析
由Brt.exe與BRTSvc.exe的靜態逆向程式分析,可觀察出工作排程的建立的
原始程式碼如圖10所示。
 |
| 資料來源:資安所自行整理 |
| 圖10、工作排程建立 |
建立HTTP連線的程式碼如圖11所示。
 |
| 資料來源:資安所自行整理 |
| 圖11、HTTP連線 |
Brt.exe亦包含了許多功能函式與參數,如options、put、delete、trace、
patch、connect…etc,如圖12所示。
 |
| 資料來源:資安所自行整理 |
| 圖12、Brt.exe功能參數 |
- 入侵流程與管道
結合以上調查結果,整理出受害主機的入侵流程與行為表列,共分為5步驟,相關說明如下:
Step1:使用者事先安裝VirtualDVD於該電腦中。
Step2:VirtualDVD於2017年12月19日更新至7.8.0.0版本。
Step3:並於2017年12月20日當天被連帶安裝挖礦程式BRTSvc.exe。
Step4:其中BRTSvc.exe 為挖礦程式之排程設定,於系統開機時自動執行。
Step5:Brt.exe 為挖礦主程式,運行時有大量目的連接埠TCP/6666異常連線。
入侵流程與管道流程圖如圖13所示。
 |
| 資料來源:資安所自行整理 |
| 圖13、入侵管道流程圖 |
- 分析結論
(1) 通報之異常大量連線主因為挖礦程式導致。
(2) 挖礦程式來源為VirtualDVD 7.8.0.0版本附屬安裝。
(3) 挖礦程式BRTSvc建立排程工作達到持續挖礦目的。
資安最前線 