警惕:大量知名軟體安裝包被植入“安裝幽靈”挖礦病毒
作者: ofollow,noindex" target="_blank">啟明星辰ADLab
一、背景
啟明星辰ADLab近日發現了大量知名軟體的安裝程式被植入挖礦病毒,該病毒背後的黑客試圖通過軟體共享論壇等社交渠道來發布受感染的軟體安裝包,我們稱該惡意軟體為“安裝幽靈”挖礦病毒。
攻擊者在多個論壇“共享”了捆綁有“安裝幽靈”挖礦病毒的各類流行應用的破解版本,其中包括“Malwarebytes”、“CCleaner Professional”和“Windows 10 Manager”等知名應用共計26種,連同不同的版本共釋出有99個之多,功能涵蓋系統優化、軟體解除安裝、光碟燒錄、防毒、系統啟用、資源下載等。這些應用不乏來自知名公司,如Google、Piriform和Malwarebytes等,尤其像“CCleaner Professional”、“Speccy Professional Business Technician”等知名應用已被數百萬計的家庭和商業使用者使用,並已安裝在世界各地的多個國家。
因為這些應用絕大多數為付費軟體,所以網際網路上存在有大量該類應用的破解版本,這也正好滿足了一部分使用者的使用需求。不過天下沒有免費的午餐,使用者在享受“免費”實惠的同時,殊不知這份實惠早已在暗中標好了價格。
二、感染流程
“安裝幽靈”挖礦病毒的感染流程如圖1所示,攻擊者先將包含有“安裝幽靈”的破解安裝包上傳到“mega”、“clicknupload”、“fileupload”等多個雲盤,然後將檔案的下載連結通過“NITROWAR”、“MEWAREZ”等論壇進行“分享”傳播,相應的軟體被受害者下載安裝執行後,“安裝幽靈”就會啟動執行。首先,“安裝幽靈”將系統檔案 “%Windows%\Microsoft.NET\Framework\v3.5\vbc.exe” 拷貝到系統的%temp%目錄命名為svhost.exe並啟動它,然後將惡意程式碼注入到svhost.exe程序空間。注入到svhost.exe程序空間中的惡意程式碼一方面建立挖礦配置檔案,一方面將挖礦病毒注入到 "%Windows%\System32\wuapp.exe" 傀儡程序,最後以配置檔案作為引數進行挖礦作業,隱蔽性很強。
三、傳播途徑
我們的研究人員最初捕獲到的是“Internet Download Manager”下載管理器的一個破解安裝包程式(後文簡稱IDM),安裝完該IDM後,我們發現計算機對某遠端伺服器4444埠有異常連線。經過進一步分析,我們最終發現了捆綁在IDM破解安裝包裡面的“安裝幽靈”挖礦病毒。“安裝幽靈”被捆綁到破解版IDM下載器安裝程式中,使用者在安裝IDM的過程中,它即被釋放到使用者的計算機上進行挖礦作業,為攻擊者賺取利益。
通過溯源追蹤,我們最終找到了該IDM植入版本的傳播來源,該版本的下載連結被公佈在國外論壇“NITRO WAR”上供使用者下載。“NITRO WAR”論壇是一個以分享“電影”、“音樂”、“遊戲”、“電子書”和“應用程式”等資源為主的資源共享平臺。該IDM植入版本的下載連結即被髮布在該論壇的“Windows Applications”板塊下,如圖2所示。
我們對該IDM植入版本的下載連結統計如表1。從表1中我們可以看到,該植入版本的有效變種一共有4個,分別被上傳到了“userscloud”、“mega”、“clicknupload”、“openload”和“file-upload”等多個流行的雲端儲存空間上供使用者下載。
釋出該植入版本的使用者一共有2個賬號,使用者名稱分別為“CrackKilla”和“hefu2”,如圖3。賬戶註冊時間分別為2018年1月和2018年3月,從釋出的內容和註冊時間以及填寫的生日來看,這兩個賬戶很有可能是由同一個人維護。
除了該IDM植入版本外,還有“Malwarebytes”、“Advanced SystemCare Pro”、“Windows 10 Manager”、“CCleaner Professional”和“CyberGhost”等知名應用的“啟用版本”被髮布。我們將這些應用統計到下表2中,應用種類共計26個,連同不同的版本共釋出了99個之多,涵蓋系統優化應用、軟體解除安裝應用、光碟燒錄應用、防毒軟體應用、系統啟用應用、資源下載應用等,其中包括知名公司如Google、Piriform、Malwarebytes的知名應用。尤其像“CCleaner Professional”、“Speccy Professional Business Technician”等知名應用已被數百萬計的家庭和商業使用者使用,並已安裝在世界各地的多個國家。
我們隨機下載了“CyberGhost 6.5.0.3180 Setup + Crack”應用,同樣發現了植入在其安裝包內的“安裝幽靈”挖礦病毒。不難推斷,這些應用程式很有可能都被植入了惡意的不限於挖礦病毒的惡意功能。
隨後,我們的研究人員分別在“MEWAREZ”和“MechoPirate”兩個論壇上也追蹤到了CrackKilla釋出的多個帖子,同樣向網友“分享”了若干Windows應用程式的破解版本,如圖4。
四、挖礦病毒剖析
安裝破解軟體的過程中,“安裝程式”在“正常安裝”的同時,會先將 “%Windows%\Microsoft.NET\Framework\v3.5\vbc.exe” 拷貝到Windows系統的%temp%目錄,並命名為svhost.exe(如圖5),啟動svhost.exe後再將惡意程式碼注入到其程序空間。
惡意程式碼一方面在 “%Users%\ThinkPad\AppData\Local” 目錄建立“KeAgPGdPeF”資料夾,並且在“KeAgPGdPeF”目錄下新建配置檔案cfgi和cig,再將“安裝幽靈”挖礦病毒需要的配置資訊寫入到配置檔案如圖6。
寫入結果見圖7,配置檔案內容是以json格式儲存的“安裝幽靈”挖礦病毒執行需要用到的引數,從圖7中我們可以看到,礦池地址為 "pool.minexmr.com:4444" ,錢包地址為 "41yPyJBBpN3BAMP5C4bYJe7MRdoWLXsiJWPrsZ2ZcERWecu1hAnFjqUgXzVvs8wJqKioKrNEWqdT2B6GBY2yA9tU9mZ5u4e" ,配置檔案除了包含有礦池的地址和門羅幣錢包地址等資料外還包含有重試次數、重試間隔、執行緒數、CPU優先順序等其他配置資料。
惡意程式碼另一方面執行挖礦傀儡程序 "%Windows%\System32\wuapp.exe" ,通過-c "%Users%\ThinkPad\AppData\Local\KeAgPGdPeF\cfg" 傳入cfg挖礦配置檔案作為引數(見圖8),目的是利用注入到傀儡程序記憶體空間的挖礦程式XMRig 2.5.0進行挖礦作業,如圖9。
五、挖礦賬戶
“安裝幽靈”挖礦病毒對應的錢包地址查詢結果見圖10,從圖10中我們可以看到,該賬戶最近90天的算力分佈圖,其算力分別為:(24h) 342.97 H/s、(12h) 340.20 H/s、(1h) 482.60 H/s、(10m) 429.00 H/s,並且截止到目前,該挖礦行為依然活躍。
圖10 攻擊者賬戶的算力和收益
六、總結與安全建議
由於比特幣和以太幣等虛擬貨幣價格的快速增長,圍繞著虛擬貨幣的網路攻擊也逐年增加,這已經發展成為一個不可忽略的重大問題。據 BleepingComputer 統計,傳播門羅幣挖礦機的惡意病毒已達到幾十餘種,2018年,情況更加糟糕。如果使用者發現自己的CPU使用量暴增,膝上型電腦突然耗電量加快,那麼你的電腦很有可能被用來進行虛擬貨幣的挖礦行為。之前已經有不少流氓軟體通過將使用者電腦變成門羅幣挖礦肉雞來盈利,比如“ThePirateBay”就利用其網頁中嵌入的JS程式碼讓訪問其網站的電腦使用CPU資源為它進行門羅幣的挖礦行為。
使用者可以在 "%SYSTEMROOT%\Users\[username]\AppData\Local\" 目錄下檢視是否存在"KeAgPGdPeF"目錄,並且該目錄下是否存在"cfg"檔案來確定自己是否感染“安裝幽靈”。從其門羅幣錢包對應的挖礦資料來看,其挖礦行為正處於活躍階段並且在以後的較長時間仍然會持續保持活躍狀態。提醒使用者不要輕易下載破解軟體,使用破解軟體不但不合法而且還可能給使用者帶來安全風險。建議使用者儘量從官網下載所需應用,在不得不從第三方下載站點下載軟體時,需保持高度警惕,認真甄別,防止誤下惡意應用,給自己造成不必要的麻煩和損失。