WebCobra:深入分析這款新型挖礦惡意軟體
前言
近期,McAfee Lab的研究人員發現了一款新型的俄羅斯惡意軟體,這款惡意軟體名叫“WebCobra”,它可以利用目標裝置的計算能力來挖加密貨幣。
實際上,惡意挖礦軟體是很難被檢測到的。當裝置被感染後,惡意軟體會在系統後臺悄悄執行,唯一可能暴露痕跡的就是裝置效能的下降。由於惡意軟體會增加裝置計算能力的消耗,裝置的執行速度會顯著降低,隨之而來的除了使用者使用過程中的反感,還有電費賬單上的“天文數字”,畢竟挖一個比特幣需要消耗的成本大約在531美元到26170美元之間…
毫無疑問,加密貨幣價值的增長正在吸引越來越多的網路犯罪分子投身於惡意挖礦的行列中。
下圖顯示的是門羅幣價格走勢與惡意挖礦軟體發展趨勢之間的關係對應圖:
在此之前,McAfee Lab曾對加密貨幣檔案注入工具CoinMiner進行了分析,感興趣的同學可以瀏覽【 ofollow,noindex" target="_blank">分析報告 】。
WebCobra這款惡意軟體在感染了目標裝置之後,會在後臺悄悄植入Cryptonight Miner或Claymore的Zcash Miner,具體需要根據WebCobra掃描到的目標裝置架構來確定。我們認為,這款惡意軟體主要通過PUP流氓安裝器來實現傳播,目前全球範圍都受到了影響,受感染使用者最多的地區分別是巴西、南非和美國。
與其他惡意挖礦軟體不同的是,WebCobra會根據受感染裝置的配置和架構來選擇植入不同的挖礦工具。
惡意行為分析
惡意軟體的Dropper是一個Windows安裝程式,它會檢測系統執行環境。在x86系統上,它會向正在執行的程序中注入Cryptonight Miner程式碼,然後啟用程序監控。在x64系統上,它會檢測GPU配置,然後從遠端伺服器下載並執行Claymore的Zcash Minner。
啟動之後,惡意軟體會使用下列命令下載並解壓一個受密碼保護的Cabinet壓縮檔案:
這個CAB檔案包含以下兩個檔案:
1、 LOC:用於解密data.bin的DLL檔案; 2、 bin:包含了經過加密處理的惡意Payload;
CAB檔案使用了下列指令碼來執行ERDNT.LOC:
ERDNT.LOC會解密data.bin,然後利用下列路徑將執行流傳遞給它:
[PlainText_Byte]= (([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E
程式會在檢測了當前執行環境之後啟動對應的Miner,整個過程如下圖所示:
當data.bin被解密並執行之後,它會嘗試執行一些反除錯、反模擬和反沙箱技術,並檢測當前系統上執行的其他安全產品,而這些都是這款惡意軟體保護自己不被檢測到的一些基本手段。
大多數安全產品都會通過掛鉤API函式來監控惡意軟體的行為,為了避免被檢測到,WebCobra會在記憶體中以資料檔案的形式載入ntdll.dll和user32.dll,然後重寫這些函式的前八個位元組(解除API hook)。
未設定hook的ntdll.dll API
LdrLoadDll ZwWriteVirtualMemory ZwResumeThread ZwQueryInformationProcess ZwOpenSemaphore ZwOpenMutant ZwOpenEvent ZwMapViewOfSection ZwCreateUserProcess ZwCreateSemaphore ZwCreateMutant ZwCreateEvent RtlQueryEnvironmentVariable RtlDecompressBuffer
未設定hook的user32.dll API
SetWindowsHookExW SetWindowsHookExA
感染x86系統
惡意軟體會向svchost.exe注入惡意程式碼,並利用無限迴圈來檢測所有開啟的視窗,然後使用下面列表中的字串來匹配視窗的標題欄。這也是WebCobra採用的另一種檢測機制,它會根據這個檢測結果來判斷當前環境是否是專門用來分析惡意軟體的隔離環境。
adw emsi avz farbar glax delfix rogue exe asw_av_popup_wndclass snxhk_border_mywnd AvastCefWindow AlertWindow UnHackMe eset hacker AnVir Rogue uVS malware
惡意軟體會根據開啟視窗的標題欄來判斷執行環境:
程序監控執行之後,它會使用Miner的配置檔案建立一個svchost.exe的例項,並注入Cryptonignt Miner程式碼:
最後,惡意軟體會讓Cryptonight Miner在後臺靜默執行,並利用目標主機的全部CPU資源來挖礦:
感染x64系統
惡意軟體首先會檢測是否運行了Wireshark:
然後檢測GPU品牌和型號,只有在檢測到下列GPU的時候它才會執行:
Radeon Nvidia Asus
如果檢測成功,惡意軟體會建立下面隱藏資料夾,然後從遠端伺服器下載並執行Zcash Miner:
C:\Users\AppData\Local\WIXToolset 11.2
最後,惡意軟體會在%temp%\–xxxxx.cMD中植入一個batch檔案來刪除Dropper([WindowsFolder]\{DE03ECBA-2A77-438C-8243-0AF592BDBB20}\*.*):
Miner的配置檔案如下:
配置檔案中包含:
礦池地址:5.149.254.170 使用者名稱:49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C 密碼:soft-net
這份配置檔案包含:
礦池地址:eu.zec.slushpool.com 使用者名稱:pavelcom.nln 密碼:zzz
總結
毫無疑問,惡意挖礦軟體還會不斷進化,因為網路犯罪分子肯定不會放過這種相對來說比較輕鬆的賺錢方式。而且跟勒索軟體相比,惡意挖礦軟體的風險會更低,並且不需要目標使用者直接性地“支付費用”。只要隱蔽性夠高,只要不被發現,網路犯罪分子就可以躺著把錢賺了。
入侵威脅指標
IP地址
5.149.249[.]13:2224 5.149.254[.]170:2223 104.31.92[.]212
域名
emergency.fee.xmrig[.]com miner.fee.xmrig[.]com saarnio[.]ru eu.zec.slushpool[.]com
雜湊(SHA-256)
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
* 參考來源: securingtomorrow ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM