攻防最前線:挖礦木馬KingMiner使用多種逃避技術繞過檢測
Crypto-Mining(加密貨幣挖礦)攻擊在2018年不斷髮展和演變。由於加密貨幣的價值和普及程度的提高,黑客越來越傾向於利用受害者裝置的CPU資源來進行加密貨幣挖礦操作。網路安全公司Check Point表示,在整個一年中,他們看到了相關報告和攻擊數量的大幅增加。儘管最近加密貨幣的價值趨於平穩,但這種攻擊方法和技術仍然在獨創性和有效性方面不斷改進。
KingMiner是一種針對Windows伺服器的Monero-Mining(門羅幣挖礦)惡意軟體。該惡意軟體於2018年6月中旬首次出現,並在隨後迅速釋出了兩個改進版本。由於攻擊者採用了多種逃避技術來繞過模擬環境和安全檢測,因此一些反病毒引擎針對該惡意軟體的檢測率都普遍變現為很低。根據Check Point對其感測器日誌的分析,KingMiner攻擊嘗試的數量一直都在穩步上升。
攻擊流程
Check Point表示,根據他們的調查結果,他們可以肯定該惡意軟體的目標是Microsoft伺服器(主要是IIS\SQL),涉及到嘗試猜測其密碼。
一個Windows Scriptlet檔案(.sct)會在受害者的裝置上被下載並執行。
在執行過程中,該檔案執行了以下幾個步驟:
- 檢測裝置的相關CPU架構。
- 如果存在舊版本的攻擊檔案,則會殺死相關的exe檔案程序,並刪除這些檔案。
- 根據檢測到的CPU架構下載一個payload ZIP檔案(zip\64p.zip)。請注意,這並不是一個真正的ZIP檔案,而是一個XML檔案,被用來嘗試繞過模擬環境。
圖1.HTTP響應中的“zip”payload
- XML payload包括一個二進位制大物件(blob),一旦經過Base64編碼,將生成預期的“ZIP”檔案。
如上所示,這個ZIP檔案包含五個檔案:
- json-XMRig CPU miner配置檔案。
- txt -僅包含字串“zzz”的文字檔案。
- exe (在舊版本中被命名為fix.exe)-主要的可執行檔案。
- dll/soundbox.dll-包含一些函式的DLL檔案,這些函式將由powered.exe匯出。
- txt/y.png-二進位制blob檔案。注意,這不是一個真正的PNG檔案。
圖2.攻擊的第一階段
圖3. config.json-一個XMRig配置檔案,包含錢包地址和私有采礦池
在模擬環境中,可執行檔案不會執行任何操作。
在提取所有檔案之後,md5.txt檔案(“zzz”)的內容將附加到相關的DLL檔案(sandbox.dll\active_desktop_render_x64.dll,兩者中的內容相同)。不過,Check Point表示他們還沒有看到這種行為對惡意軟體活動產生任何影響。
powered.exe/fix.exe檔案被呼叫並執行,以建立XMRig miner檔案和幾個值為“Test”的新登錄檔項。
圖4. DLL檔案中包含的函式
可執行檔案會從DLL檔案中呼叫以下函式:
- ClearDesktopMonitorHook-該函式返回值1。可能會在未來的版本中使用。
- King1-建立一個執行緒並解碼相關二進位制blob檔案(txt/y.png)的內容。結果是一個可執行檔案,它是XMRig CPU miner的一個精簡版本,只保留了主函式。
DLL檔案包含四個附加函式,可能會在未來的版本中使用:
- King2-返回值1。
- King3-返回值1。
- King4-返回值1。
- SetDesktopMonitorHook-呼叫King1。
圖5.函式“king1”,建立一個執行緒並將二進位制blob y.png/x.txt作為引數。
圖6.攻擊的第二階段
XMRig CPU Miner執行,並耗盡受害者裝置的全部CPU資源
雖然被配置為佔用75%的CPU資源,但它實際佔用的是100%。
圖7:惡意powered.exe檔案佔用了100%的CPU資源
KingMiner的演變
Check Point的研究人員在KingMiner過去6個月的整個演變過程中,一直在監控它的活動。自首次出現以來,KingMiner已經發布了兩個新版本。該惡意軟體一直在不斷地新增新的功能和逃避技術,以繞過模擬環境。
此外,作為該惡意軟體不斷髮展的一部分,Check Point發現許多佔位符被用於未來的操作或即將釋出的更新,這將使得這種惡意軟體更加難以檢測。
逃避技術
逃避技術的使用是一次成功攻擊的重要組成部分。幾種相對簡單的機制使得該惡意軟體能夠繞過常見的模擬環境和安全檢測方法:
- 對zip/64p.zip檔案進行混淆處理-ZIP檔案包含基本的XML格式資料。在解析後,可以看到預期的ZIP檔案。
- 主要的可執行檔案,exe (在舊版本中被命名為fix.exe),從DLL檔案(sandbox.dll/active_desktop_render_x64.dll)匯出函式。僅執行可執行檔案,確保任何活動不被發現。
- 將txt的內容附加到DLL檔案(sandbox.dll/active_desktop_render_x64.dll)。
- 將txt/y.png的內容解碼為可執行檔案XMRig CPU miner。
這些逃避技術似乎大大降低了檢測率,以下是在VirusTotal中的檢測結果:
威脅情報
KingMiner的運營者使用了私有采礦池來阻止對其活動的任何監視。目前,採礦池的API已經被關閉,所涉及的錢包也沒有在任何公共採礦池中使用。Check Point表示,他們尚沒有能夠明確KingMiner使用了哪些域名,因為攻擊者採用的是私有域名。然而,與之相關的攻擊目前正在大範圍蔓延,從墨西哥到印度,以及挪威和以色列。
總結
KingMiner是一種仍在不斷髮展的Crypto-Mining惡意軟體,它可以繞過常見的安全檢測和模擬環境。通過實施簡單的逃避技術,攻擊者能夠增加攻擊成功的概率。Check Point預測,這樣的逃避技術將在2019年繼續發展,併成為Crypto-Mining攻擊的主要(以及更常見的)組成部分。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。