一天,小编刚买了新房子,正在相亲相爱一家人群里聊装修的事,忽然电脑卡了起来。挖矿木马潜伏技巧越来越高深,一些藏在外挂辅助、浏览器中,甚至可以藏在广告短链中,近期捕获到一款挖矿木马,该挖矿木马竟藏在"装修视频"中。经分析,此挖矿木马伪装成"装修视频"及锁主页软件在某软件下载网站传播,挖矿木马基于xmrig开源挖矿程序修改,已监测到三个同源变种。该挖矿木马会将22款主流杀毒软件的数字签名添加到不受信任的列表,使杀毒软件杀毒功能异常,且无法升级更新和重新安装。该挖矿木马设计精巧,伪装及复活能力强,目前已知功能:多渠道传播、多入口复活,同类排斥、远控、挖矿、破坏杀毒软件。挖矿木马执行流程:一、样本分析木马图标及文件名具有迷惑性,甚至加上了伪后缀,极力把自己伪装成装修视频,但其真实身份是一个可执行的应用程序。挖矿木马采用setup factory 7.0格式打包,共内置5个文件首先释放run.bat、svchost.exe、fang.wmv到C:\Windows\debug 目录,fang.wmv是一段室内精装修视频,为了不引起怀疑,木马在启动后就会播放这段。run.bat执行安装动作,负责安装木马守护服务svchost.exe,并传递相关挖矿参数、该挖矿木马对CPU 使用率限制为50%,不至于在挖矿木马工作时机器卡死,进而不易被察觉。Svchost.exe是基于nssm的开源服务封装程序,通过比对逆向入口代码与开源项目main函数可看出来,开源nssm服务入口代码段:挖矿木马携带的svchost入口代码段:该服务助手会监视挖矿木马进程,如果被终止会立即复活挖矿木马。挖矿木马释放conhosts.exe、sd.reg到C:\ProgramData\Temp目录下,Sd.reg从拼音简写看与杀毒软件有关,其目的是破坏杀毒软件功能,原理是通过注册表写入把各杀毒软件证书设置为不受信任(吊销),可直接导致杀毒软件自身数字签名校验失败,破坏杀毒功能。Sd.reg内容:目前该木马共禁止22家安全软件的数字签名conhosts.exe则是基于xmrig开源挖矿程序编译的,从字符串可以看出是xmrig2.3.1版本该版本是2017年8月提交的但该矿码MD5值与github版本并不一致,原因是挖矿木马对xmrig2.3.1版本进行自编译,同时修改了版本信息,伪装成一款文件对比工具。木马释放三个lnk到开始菜单目录,诱导用户点击,达到复活目的。二、关联分析矿机基于xmrig 2.3.1内核做了修改,定制了版本信息,对此特殊版本进行追溯,基于此版本有多个变种:变种一:如本篇技术分析部分,矿机和视频等文件用setup factory 7.0进行了封装,解包后可知投毒者昵称为 skydragon该变种不仅会伪装成"装修视频",也会藏在某些锁首页的软件中,且这些软件被放置在某云服务器上,并 终上架到易平推软件平台。易平推软件平台主要是一些自主开发的黑灰产类软件,包括外挂辅助及一些数据保护工具,如:易平推射击游戏九开软件多开辅助工具、易平推专业版反盗号软件反盗号神器、会员账号获取器等。这些软件都会附带静默推广模块,如富媒体弹窗、软件推装、导流等,推广模块根据推广列表执行动作。该变种传播流程:该挖矿木马被传至国内某云服务器,而后出现在易平推的锁首推荐位,锁首url指向某云服务器上的文件 server.exe,文件同样用setup factory 7.0打包,解包后可看到是一个门罗币静默挖矿木马,并且可以确定这个木马也是skydragon投放,某云会员ID:1080180通过易平推域名反查,发现与投毒者的某云会员ID一样的网址,这些网站都托管在国内某云服务器上。由此可知,网名为skydragon的人是易平推网站的所有者,开发多款黑灰产软件,并在自身软件平台上投放木马。这个平台并没有正规的首页,打开首页后会直接跳转到国内各导航网站,目前共有4个导航地址作随机跳转。矿池地址:皮皮虾矿池 mine.ppxxmr.com、碧池 get.bi-chi.com:5555 钱包地址:46U8UUW1ekBc8qEu2hVqgsJfkZq9QGVah2wrc1nx51ER2sXdsPQtimD3Gyg2yzcDY5WzuKT56dwtSaNnKtMGFuBZ4egVagc该钱包已交易76枚门罗币,按目前均价1200人民币计算,总值约9.5万人民币从钱包支付记录下,skydragon大致在在2017年8月左右启用这个钱包变种二:干掉其他挖矿木马,复活自身Loaderxmr.exe属于监视服务程序,负责调度复活脚本以及干掉其他挖矿木马,进程复活主要通过AutoRunApp.vbs脚本,调用wmi接口完成进程复活该挖矿木马有专门的生成器,价值200人民币,在各黑客技术论坛传播但该变种并不单独投放到受害者机器上,而是供各黑客下载修改后通过其他载体投放,钱包地址:48mP62rjw2GfZ7DUPzgm3dD6bci3PnfdCFZGYbtiEicqCMh1fBzFKJBQ4UsHDZX5dmfNM1CLxeNwLWEu4PxVSGsbVYoRnMM总交易量有20个门罗币。变种三:在变种二基础上加入了后门功能,这个变种甚至被静默投放到一些黑客工具中,如某DDoS黑客工具中,出现了黑吃黑的现象。目录中010、020是被静默安放后门,经分析这是一款灰鸽子远控,后门C2都使用f3322动态域名,连接后会下载挖矿木马,使用这类工具的"小白"在攻击别人的同时也被别人控制着。但从这类变种提取的钱包地址却和变种二的钱包地址相同,由此可以确定,变种二的开发者也即是变种三的投放者。基于该挖矿木马的变种版本发展:最后尽管当前国外电子货币发展势头较猛,但是不可忽视的是方便灵活的全平台化的挖矿脚本,也让沉寂多年的移动平台挖矿木马注入了新的"活力"。这种全新的盈利模式,还处在起步阶段,还需要更多的控制和监管。正如 初广告的出现,初衷是为了在不影响体验的情况下,又能达到开发者、网站主和用户的共赢的目的。但是由于管控不严,广告滥用用户的设备资源,出现了大量的恶意广告,不仅严重影响用户体验,还经常伴随着恶意扣费、隐私窃取等恶意行为。挖矿与广告产业的发展会有很多相似之处,虽然能够替代了扰人的广告,但是如果不加以控制,在用户不知情的情况下肆意滥用用户设备进行挖矿,造成用户机器过度损耗。普通人面对这个情况,还是尽量做到不转载为好。
本文出自快速备案,转载时请注明出处及相应链接。