2018年,加密货币价格一度下跌,但今年似乎再次触底。随着加密货币的价值和价格再次增加,我们观察到今年恶意加密货币挖掘活动的数量也有所增加,尤其是在门罗币的挖掘方面。
最近,我们发现了一种新的加密货币挖矿病毒,它使用了“冷注入”技术和滴管组件,结果是不会留下任何痕迹,很难发现恶意的加密货币挖矿活动。
上个月初,与之相关的活动开始增多。11月20日,我们的遥测数据显示,在科威特、泰国、印度、孟加拉、阿联酋、巴西和巴基斯坦,感染企图是最多的。
什么是“冷注射”技术?冷注入,英文名“Process Hollowing”,是一种古老的代码注入技术。一般来说,利用进程空洞技术创建的进程,用任务管理器等工具看起来很正常,但这类进程中包含的代码其实是恶意代码。
该技术可以动态修改正在运行的进程,整个进程不需要挂起进程或者调用额外的Windows API,即不需要调用WriteProcessMemory、QueueUserApc、CreateRemoteThread和SetThreadContext。
新型加密货币挖矿病毒的感染链Dropper是一个64位二进制文件,其中包含打包的恶意代码。我们发现这个可执行文件会检查传递给它的参数,并在解压缩时进行验证。
图一。解压缩的64位二进制文档
解密分为两个阶段:第一阶段,对参数的字母数字字符进行特定的算术运算(这里的示例参数为“vTMsx7t7MZ==”)。
图二。对字母数字字符执行算术运算
得到的字符串是“eGNhc2g2NA==”,解密过程中包含了大量来自参数的信息,包括用于触发恶意文件和进行加密货币挖掘活动的加密货币钱包的地址:
xcash 64捐赠-Level 1-O0uxca 1 NWS q 2 hue 8 glawiqdcqble 5 fjlxucaq 48 blazndkiifhnyddwi 9 zqxhdwvbfp 5 pizgtfar 6 jhoux 7 cteuq 5 dbsle 71VG-Pmeer _ m-A CN/doublek以下是发布文件的文件名:
除了具体参数,uakekobs。exeuekekobse。exedakecobs。exewakekobse。锻炼身体。exe还会混淆将用于恶意操作的函数名。
图3。混乱的字符串(部分)
在使用正确的参数执行后,滴管会释放并执行wakecobs.exe(一个将在挂起状态下创建的子进程),它的内存会被取消映射,然后滴管会向其中注入恶意代码,Monroe coin mining病毒会在后台运行。
结论总体来说,今年恶意的加密货币挖矿活动数量较往年有所下降,但这并不意味着网络犯罪分子放弃了这一领域。
此次发现的加密货币挖矿病毒Dropper可以通过在发布的文件中注入恶意代码来规避安全检测。——发布的文件本身并不是恶意文件,只有收到特定参数才会触发恶意行为,因此可以绕过黑盒、白盒和沙盒的分析。
除了加密挖财病毒,这样的技术还可以传播任何其他恶意软件。因此,为了避免成为受害者,我们建议企业采用多层防护方案来应对可能到来的各种威胁。