从过去一年来看,快速治疗安全实验室一直在观察矿山恶意软件的数量。如今恶意软件作者正在使用挖掘作为勒索赚钱的替代品。
最近快速的Heal Security Labs遇到了Monero(XMR)的恶意软件。这个矿工在其中有许多不同的组件。这个采矿恶意软件的感染载体仍未被证实,但基于归因,该矿工通过矛网络钓鱼,恶性等到达系统。
技术的 分析 :
分析的矿工是一种自我提取的可执行文件( SFX. )。它提取了“C:\ Program Files \ Windriverhost“如下所示:
- VBS(VBScript)
- EXE(提取效用)
- RAR(密码保护档案)
- 蝙蝠(批量文件)
在提取组件之后,它启动VBScript(JSnel.vbs),如图2所示。
jsnel.vbs. 包含一个启动的简单代码 chax.bat. .
Rar.exe. 是要解压缩档案的命令行实用程序。在这里它用于解压缩密码保护 db.rar. .
chax.bat. 文件包含命令,以删除密码受保护的存档和恶意软件的旧版本组件,如图4所示。
Chax.bat的重要任务是提取以下组成部分 db.rar. 在当前位置并启动ouyk.vbs。
- VBS(VBScript)
- 蝙蝠(批量文件)
- JSON(配置文件)
- Driverhost.exe(采矿工具)
类似于以前的VBScript(JSnel.vbs),这个脚本(ouyk.vbs)也只是推出批处理文件(xvvq.bat)。
xvvq.bat. 有两种主要目的:
- 保持系统始终使用P oW. CFG. 命令,以便挖掘不会中断。
“powercfg -change -standby-timeout-ac 0”
- 要从分析工具中隐藏驱动程序。
它枚举流程使用 任务列表 要检查以下列出的任何流程是否正在运行的命令,如果找到任何这些进程正在运行,则会终止驱动程序。
“ taskmgr.exe. ”
“ perfmon.exe. ”
“processhacker.exe.”
“ procexp.exe. ”
“procexp64.exe.”
“dumpcap.exe.”
“wireshark.exe.”
“ Anvir.exe. ”
但xvvq.bat中存在一个错误,它只检查taskmgr.exe并杀死dirverhost.exe,如图7所示。并且如果像procexp.exe这样的任何其他进程运行它不杀死striderhost.exe。
如果上述进程都没有运行,则开始driverhost.exe.这是一个核心挖掘工具。它在使用XVVQ.bat中使用无限循环继续持续检查所有这些过程,并相应行动。
config.json. 是一个配置文件,它存储诸如用户名,密码,最大CPU使用等的数据,如图8所示。
执行,driverhost.exe.从config.json读取矿工配置并连接到“XMR [。]池[。] ic鱼[。] com “, 并将来自Config.json的用户名和密码发送到服务器,并开始使用端口挖掘45560 (用于采矿的端口)。如图9和图10所示。
如图11所示,它将CPU使用率限制为35%的矿物。
对于持久性,恶意软件在启动文件夹中添加了一个快捷方式 ouyk. .vbs. 用名字驱动程序.lnk。
矿工的执行流程:
I OC. :
SHA256:B4EA81958403F717C1A20F18731220CBC6F45BD2F5166C7C940
URL:HXXP:// XMR [。]池[。] icicerate [。] Com:45560
快速愈合 检测这个矿工是“Trojan.occamy. “。
结论 :
随着数字货币的价格和升值呈指数级增长,矿业恶意软件在去年也增加了。事实上,矿工很常见,数以千计的计算机已经被感染了。挖掘恶意软件的数量增加,它们也在上面博客帖子中讨论的复杂。
主题专家
ravi gidwani,pratik pachpor |快速治疗安全实验室
暂无评论