一、背景概述近日,新华三态势感知平台检测到一台机器发起了挖掘域名(xmr-eu2.nanopool.org)的解析请求。客户发现异常事件后,启动中毒机器上的杀毒软件进行全面扫描,但未检测到挖矿木马。带着客户的疑问,新华三安全攻防实验室立即介入分析。
经验证,该样本确实可以避免被国内外众多主流杀毒软件查杀。通过对样本的深入分析,我们发现挖矿木马在文件末尾附加了大量的空字节,使得自身大小达到了100 MB的级别,从而达到了在沙盒中查杀软肋和检测逃逸的目的。根据挖矿木马的这一特点,我们将其命名为‘虚拟矿工’。
二、前期调查使用ProcessMonitor监控样本动态行为,发现挖掘网络请求由exe进程发起:命令行有明显的挖掘程序相关参数:-cinit-find-x-b-algo=rx/0-ASM=auto-CPU-memory-pool=1-randomx-mode=auto-randomx-no-rdmsr-cuda-BF actor-hint=12-cuda-bsleep-hint=100-URL=randomxmonero . eu-west . nicelakys-pass=-CPU-max-threads-hint=30-nice hash-cinit-stealth
在sysmon记录中搜索父进程id,定位到父进程对应的文件为:% %APPDATA%\\gamelauncher.exe文件大小为672M,可以初步推测未检测到杀毒软件的原因是文件大小过大。
在sysmon中,exe发布的一个驱动文件也位于:% appdata% \\ libs \\ wr64.sys,根据gamelauncher.exe的线索,发现开机时会有一个预定任务启动gamelauncher.exe。
根据可以定位挖矿木马并实现持久化的方法,调用关系如下:
三。样本分析1。样本的基本信息
2.示例逻辑图
3.根据gamelauncher.exe的分析,gamelauncher.exe的大小是672米,压缩后只有8.42米。用工具查看的时候发现有效内容很少,因为实际有效载荷后面加了大量的空字节。
删除空字节填充后,文件大小为8.35 MB (8,759,474字节)。经查块信息,初步确认为地美达脱壳。
启动时,它将检测监控工具并进行调试:
使用ExtremeDumper和AssemblyRebuilder获取原件。net程序game.exe。game.exe启动时会休眠一分钟,然后资源数据会被AES解密:
段数据的解密结果是新的。net程序,文件名是game-miner.dll,但实际上是exe。
4.game-miner.dll分析说,game-miner.dll变量函数名称混乱。这里,只需重命名列出的函数。
如果有管理员权限,创建一个计划任务实现持久化;如果失败,请设置注册表项以实现持久性:
B.如果当前路径不是%appdata%/gamelauncher.exe,则杀死sihost64进程,删除%appdata%/libs/path中的log和sihost64-2.log,将自身复制为%appdata%/gamelauncher.exe并启动,然后退出自身(实际操作中,只要文件名不是gamelauncher.exe,就会执行上述操作。
碳(carbon的缩写)读取kumhcdkzhbym资源,将其解密并写入% appdata%/libs/wr64.sys。
D.遍历所有exe进程的命令行,判断是否已经开始挖掘,如果有对应的参数,直接退出。
E.解密挖掘参数,解密资源段数据并从压缩包中提取exe文件,开始创建新的explorer进程并注入恶意代码执行。
氟(fluorine的缩写)以挂起方式创建explorer进程,第六个参数为4,即CREATE_SUSPENDED表示挂起状态,
将挖掘程序写入explorer进程的相应内存中,然后恢复操作,开始挖掘。
G.写入explorer进程的挖矿程序进行外壳化,单独运行调试,使用Scylla dump并修复导入表,使用IDA查看main函数。
从https://github.com/xmrig/xmrig下载挖掘程序与从dump下载的挖掘程序相比,主要功能基本相同。
game-miner.dll发布的WR64.sys pdb路径是:
\’ d:\\ hot project \\ winring 0 \\ source \\ dll \\ sys \\ lib \\ amd64 \\ winring 0 . pdb \’
证书也与下载的xmrig中包含的WinRing0x64.sys和IDA比较str一致
当恶意程序使用xmrig时,默认情况下会贡献1%的计算能力给xmrig项目,相关域名为状态感知平台监控的xmr-eu2.nanopool.org。
根据样本分析,可以确认挖矿木马执行的全过程与心境监控记录一致。
四。同源性分析根据样本的特点,我们链接到github的开源项目SilentXMRMiner:
https://github.com/UnamSanctam/SilentXMRMiner
这个项目提供了高度可定制的挖掘程序生成能力。根据时间关系,我们取SilentXMRMiner v1.4.4按照相同的配置生成挖矿程序new_game.exe,并与game.exe进行对比:
game-miner.dll是通过解密资源段得到的,主要函数比较如下:
另外,通过查看项目代码,确定样本分析中提到的sihost64进程是一个守护进程,可以在挖掘程序异常时尝试恢复运行。
通过以上对比和关联,可以确定‘虚拟矿工’在本项目生成的程序基础上,进行了空字节的外壳和追加。
动词(verb的缩写)国际奥委会域名:xmr-eu2.nanopool.org
randomxmonero.eu-west.nicehash.com:3380
MD5:974 df 47 a 259 b9d 5477d 768871 F3 CB 5a 8
六。新华三处置和辩护建议【处置建议】
1.清除注册表中与gamelauncher和自启动项相关的计划任务;
2.删除% appdata %/game launcher . exe % appdata %/libs/wr64 . sys;
3.重启操作系统。
[辩护建议]
1.尽量官方下载软件,谨慎使用各大下载站;
2.不要点击来历不明的邮件和附件;
3.新华三威胁情报和特征数据库已经过测试,建议升级到最新版本。