一天,边肖刚买了一套新房,正在一个爱心家庭群里聊装修的事。突然,电脑卡住了。
挖矿木马的潜伏技巧越来越深。其中一些隐藏在插件助手、浏览器,甚至广告短链中。最近捕获到一个挖矿木马,其实就藏在‘装修视频’里。
经分析,这个挖矿木马伪装成‘装修视频’,其首页软件在某软件下载网站传播。该挖掘木马基于xmrig开源挖掘程序进行了修改,目前已检测到三种同源变种。挖矿木马会将22款主流杀毒软件的数字签名加入不可信名单,使杀毒软件具有异常杀毒功能,无法升级重装。
挖矿木马设计精巧,伪装复活能力强,目前已知功能有:多路传播、多入口复活、相似拒绝、远程控制、挖矿、破坏杀毒软件。
挖矿木马的执行过程:
1.样本分析:木马图标和文件名混淆不清,甚至带有虚假后缀,试图伪装成装修视频,但其真实身份是一个可执行应用。
挖矿木马以setup factory 7.0格式打包,内置5个文件。
首先将run.bat、fang.wmv发布到C:\\Windows\\debug目录下。fang.wmv是室内装修视频。为了不引起怀疑,木马会在启动后播放这段视频。
Run.bat执行安装动作,负责安装木马守护服务svchost.exe,传输相关挖掘参数。挖矿木马的CPU利用率限制在50%,这样挖矿木马工作时机器不会卡死,也不容易被检测出来。
Svchost.exe是一个基于nssm的开源服务打包程序。通过对比逆向入口代码和开源项目的主函数,可以看出开源nssm服务入口代码段:
挖掘木马携带的svchost条目的代码段:
服务助手会监控挖矿木马的进程,如果终止,会立即复活挖矿木马。
挖矿木马将conhosts.exe、sd.reg释放到C:\\ProgramData\\Temp目录下,Sd.reg是从拼音缩写上与杀毒软件有关,其目的是破坏杀毒软件功能。其原理是通过在注册表中写入的方式,将每个杀毒软件证书设置为不可信(被吊销),直接导致杀毒软件自身数字签名验证失败,破坏杀毒功能。
Sd.reg内容:
目前该木马禁止22款安全软件的数字签名。
Conhosts.exe是基于xmrig开源挖掘程序编译的,从字符串可以看出是XMRIG 2 . 3 . 1版。
该版本于2017年8月提交。
但是这个挖矿代码的MD5值和github版本并不一致,因为挖矿木马自己编译了XMRIG 2 . 3 . 1版本,同时修改了版本信息,伪装成文件对比工具。
木马向开始菜单目录释放三个lnk,诱导用户点击,达到复活的目的。
二、相关性分析
基于xmrig 2.3.1内核,对机器进行了修改,定制了版本信息,并追溯到这个特殊版本。基于此版本,有几个变体:
变式1:
比如本文的技术分析部分,用setup factory 7.0打包了矿机、视频等文件,解包后可以知道投毒者的绰号是skydragon。
这种变种不仅会伪装成‘装修视频’,还会隐藏在一些锁定首页的软件中,而这些软件放在云服务器上,最后放在依平推送软件的平台上。
E推软件平台主要是一些自研的黑灰软件,包括外部辅助和一些数据保护工具,如:E推射击游戏九开软件多开辅助工具、E推专业防黑客软件防黑客神器、会员账号获取器等。
这些软件会附带无声推广模块,比如富媒体弹窗、软件推送和导流等。促销模块根据促销列表执行动作。此变体的传输过程:
挖矿木马被传到国内某云服务器,然后出现在依平推送的锁头推荐位置。的url
通过依平对域名的反向搜索,我们找到了与投毒者的云会员ID相同的网址。这些网站都托管在一个国内的云服务器上。
因此,这个名叫skydragon的人是依平网站的所有者,他开发各种黑灰产品,并在自己的软件平台上安装木马。这个平台没有正式的主页。打开首页后会直接跳转到国内导航网站。目前随机跳转的导航地址有4个。
矿池地址:
皮皮矿池的Mine.ppxxmr.com和碧池钱包的get.bi-chi.com:5555地址:
46
u 8 uuw 1 ekbc 8 qeu 2 hvqgsjfkzq 9 qg vah 2 WRC 1 NX 51 er 2 sxdspqtimd 3 gyg 2g yzcd 5 wzukt 56 dwtsann
KtMGFuBZ4egVagc
钱包已经交易了76枚门罗币,按目前均价1200人民币计算,总价值约95000人民币。
根据钱包支付记录,skydragon在2017年8月左右开始使用这款钱包。
两个品种:
杀死其他挖矿木马,复活自己。
Loaderxmr.exe属于监控服务程序,负责调度复活脚本,查杀其他挖矿木马。复活的过程主要是通过
AutoRunApp.vbs脚本,调用wmi接口完成进程复活。
挖矿木马有专门的生成器,价值200人民币,在各种黑客技术论坛传播。
但是这个变种并不是单独放在受害者的机器上,而是让黑客下载修改后放在其他载体上。钱包地址是:
48 MP 62 rjw 2g FZ 7 dupzgm 3d D6 BC i3 pnfdcfzgybtieicqcmh 1 fbzfkjbq 4 ushdzx 5 dmfnm 1 clxenwlewu 4
PxVSGsbVYoRnMM
总交易量是20门罗币。
品种三:
在变式2的基础上,增加了后门功能。这种变种甚至被默默投入到一些黑客工具中,比如某DDoS黑客工具,出现了“黑吃黑”的现象。
010,020在目录中被悄悄地放了后门。经过分析,这是一个灰鸽子遥控器。后门C2使用f3322动态域名。连接后会下载挖矿木马。使用这种工具的小白在攻击他人的同时被他人控制。
但这类变种提取的钱包地址与变种2相同,因此可以确定变种2的开发者也是变种3的发布者。
基于此挖掘木马的变体版本的开发:
最后,虽然目前国外电子货币发展势头凶猛,但不容忽视的是,便捷灵活的全平台挖矿脚本也为沉寂多年的移动平台挖矿木马注入了新的‘活力’。
这种全新的盈利模式还处于起步阶段,需要更多的管控和监督。就像最初广告的出现一样,初衷是在不影响体验的情况下,实现开发者、网站所有者、用户的共赢。但由于管控不严,广告滥用用户设备资源,大量恶意广告出现,不仅严重影响用户体验,还往往伴随着恶意扣费、隐私窃取等恶意行为。矿业和广告业的发展有很多相似之处。虽然可以替代扰民广告,但如果不加控制,会在用户不知情的情况下滥用用户设备进行挖矿,造成用户机器的过度消耗。面对这种情况,普通人尽量不要转载。