原文地址:https://securingtomorrow.mcafee.com/mcafee-labs/webcobra-malware-uses-victims-computers-to-mine-cryptocurrency/

前言

迈克菲实验室的研究人员发现了一种名为WebCobra的恶意软件,它利用受害机器的算力挖掘加密货币。

挖矿恶意软件很难被检测到。一旦计算机遭到入侵,恶意软件就会在后台静默运行,机器只有一个特征:性能下降。挖矿软件会增加功耗,降低运行速度,留给拥有者的只有头疼和账单。根据最近的一份报告,挖出一个比特币可能需要花费531美元到26,170美元的能源成本。

加密货币价值的增加刺激了网络犯罪分子,他们利用恶意软件窃取机器资源,并在未经受害者同意的情况下挖矿。

下图显示了挖矿恶意软件的流行程度与Monero加密货币价格的变化走向,可见两者的相关性。

图**1 :加密货币Monero的价格在2018年初达到顶峰。挖矿恶意软件的总样本继续增长。资料来源:https://coinmarketcap.com/currencies/monero/。

McAfee Labs 此前曾分析过挖矿病毒CoinMiner;。在迈克菲的大力协助下,网络威胁联盟发布了一份报告“非法加密货币采矿威胁”。最近,我们检查了俄罗斯的一款应用程序WebCobra,该应用程序会静默地删除并安装Cryptonight miner或Claymore's Zcash miner,具体是安装还是删除取决于WebCobra探测到的系统架构。McAfee产品可检测并防范此威胁。

这种威胁是通过流氓安装程序散播的。我们在全球范围内都能观察到它,其中巴西,南非和美国的感染数量最多。

图2:McAfee Labs 9月9日至13日发布的WebCobra感染热图。

这种挖矿软件并不常见,因为它会根据其感染的计算机配置舍弃一些不需要的矿工。我们将在本文后面讨论这个细节。

行为分析

主要的植入程序是一个Microsoft安装程序,用于检查运行环境。在x86系统上,它将Cryptonight miner代码注入正在运行的进程并启动进程监视器。在x64系统上,它检查GPU配置,然后从远程服务器下载并执行Claymore's Zcash miner。

图3:WebCobra的安装程序。

启动后,恶意软件会植入并使用以下命令解压一个带密码的Cabinet归档文件:

图4:解压缩已植入文件的命令。

CAB文件包含两个文件:

  • LOC:用于解密data.bin的DLL文件
  • bin:包含已加密的恶意payload

CAB文件使用以下脚本来执行ERDNT.LOC:

图5:加载DLL文件的脚本ERDNT.LOC。

ERDNT.LOC解密data.bin并使用以下例程将执行流传递给它:

[PlainText_Byte] = (([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E

图6:解密例程。

程序会检查运行环境以启动合适的miner,如下图所示:

图7:根据系统配置启动合适的miner。

解密并执行data.bin后,它会尝试进行一些反调试,反仿真和反沙箱技术,以及检查系统上运行的其他安全软件。这些步骤可以使恶意软件隐匿相当长一段时间。

大多数安全软件都会hook一些API来监控恶意软件的行为。为了避免被这种技术发现,WebCobra将ntdll.dll和user32.dll作为数据文件加载到内存中,并覆盖这些函数的前8个字节,这些函数可以unhook API。

unhooked ntdll.dll API列表

  • LdrLoadDll
  • ZwWriteVirtualMemory
  • ZwResumeThread
  • ZwQueryInformationProcess
  • ZwOpenSemaphore
  • ZwOpenMutant
  • ZwOpenEvent
  • ZwMapViewOfSection
  • ZwCreateUserProcess
  • ZwCreateSemaphore
  • ZwCreateMutant
  • ZwCreateEvent
  • RtlQueryEnvironmentVariable
  • RtlDecompressBuffer

unhooked user32.dll API列表

  • SetWindowsHookExW
  • SetWindowsHookExA

感染x86系统

恶意软件将恶意代码注入svchost.exe,并使用一个死循环检查所有打开的窗口,将每个窗口的标题栏文本与这些字符串进行比较。这是WebCobra的另一项检查,以确定它是否运行在一个专为恶意软件分析而设计的隔离环境中。

  • adw
  • emsi
  • avz
  • farbar
  • glax
  • delfix
  • rogue
  • exe
  • asw_av_popup_wndclass
  • snxhk_border_mywnd
  • AvastCefWindow
  • AlertWindow
  • UnHackMe
  • eset
  • hacker
  • AnVir
  • Rogue
  • uVS
  • malware

如果窗口栏名称有任何一个匹配上了,就会终止进程。

图8:如果窗口标题栏文本包含特定字符串,则终止进程。

执行进程监视器后,它将miner的配置文件作为参数,创建一个svchost.exe实例,并注入Cryptonight miner代码。

图9:创建svchost.exe实例并执行Cryptonight miner。

最后,恶意软件在后台静默运行Cryptonight miner,并且会消耗完几乎所有CPU资源。

图10:感染Cryptonight miner的x86机器。

感染x64系统

如果发现Wireshark正在运行,恶意软件会终止感染。

图11:检查Wireshark。

恶意软件会检查GPU品牌和型号。仅在安装以下其中一家的产品时才运行:

  • Radeon
  • Nvidia
  • Asus

图12:检查GPU型号。

检查完成之后,恶意软件会创建一个隐藏文件夹,并从远程服务器下载、执行Claymore's Zcash miner。

  • C:\Users\AppData\Local\WIX Toolset 11.2

图13:请求下载Claymore's Zcash miner。

图14:Claymore's miner。

图15:使用其配置文件执行挖矿软件。

最后,恶意软件植入一个批处理文件到%temp%\–xxxxx.cMD ,以从 [WindowsFolder]{DE03ECBA-2A77-438C-8243-0AF592BDBB20}*.*中删除主植入程序。

图16:删除dropper的批处理文件。

miner的配置文件如下。

图17:Cryptonight的配置文件。

此配置文件包含:

  • 矿池:5.149.254.170
  • 用户名:49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C
  • 密码:soft-net

图18:Claymore's Zcash miner配置文件。

此配置文件包含:

  • 矿池:eu.zec.slushpool.com
  • 用户名:pavelcom.nln
  • 密码:zzz

网络犯罪分子会继续利用这种相对容易的途径来窃取资源,挖矿恶意软件也在不断演变。和勒索软件相比,在其他人的系统上挖矿投资更少,风险更小。并且收入不依赖于同意汇款的受害者的百分比。直到用户发现他们的机器被用以挖矿之时,犯罪分子已经获得了不菲的收入。

MITER ATT和CK技术

  • 通过命令和控制通道进行渗透
  • 命令行界面
  • Hooking
  • 来自本地系统的数据
  • 文件和目录发现
  • 查询注册表
  • 系统信息发现
  • 进程发现
  • 系统时间发现
  • 进程注入
  • 数据加密
  • 数据混淆
  • 多层加密
  • 文件删除

感染指标

IP地址

  • 149.249.13:2224
  • 149.254.170:2223
  • 31.92.212

域名

  • fee.xmrig.com
  • fee.xmrig.com
  • ru
  • zec.slushpool.com

迈克菲检测

  • DAT版本8986中的CoinMiner版本2; DAT版本3437中的第3版
  • l DAT版本9001中的版本2; DAT版本3452中的第3版
  • DAT版本8996中的RDN / Generic PUP.x版本2; DAT版本3447中的第3版
  • DAT版本9011中的Trojan-FQBZ,Trojan-FQCB,Trojan-FQCR版本2; DAT版本3462中的版本3

哈希值(SHA-256)

  • 5E14478931E31CF804E08A09E8DFFD091DB9ABD684926792DBEBEA9B827C9F37
  • 2ED8448A833D5BBE72E667A4CB311A88F94143AA77C55FBDBD36EE235E2D9423
  • F4ED5C03766905F8206AA3130C0CDEDEC24B36AF47C2CE212036D6F904569350
  • 1BDFF1F068EB619803ECD65C4ACB2C742718B0EE2F462DF795208EA913F3353B
  • D4003E6978BCFEF44FDA3CB13D618EC89BF93DEBB75C0440C3AC4C1ED2472742
  • 06AD9DDC92869E989C1DF8E991B1BD18FB47BCEB8ECC9806756493BA3A1A17D6
  • 615BFE5A8AE7E0862A03D183E661C40A1D3D447EDDABF164FC5E6D4D183796E0
  • F31285AE705FF60007BF48AEFBC7AC75A3EA507C2E76B01BA5F478076FA5D1B3
  • AA0DBF77D5AA985EEA52DDDA522544CA0169DCA4AB8FB5141ED2BDD2A5EC16CE

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖