McAfee安全研究人員發(fā)現(xiàn)一款新的俄羅斯惡意軟件WebCobra,該惡意軟件可以使用受害者機(jī)器的計(jì)算能力來進(jìn)行加密貨幣挖礦活動(dòng)。
加密貨幣挖礦惡意軟件很難檢測(cè)。因?yàn)橐坏C(jī)器被黑,惡意APP就會(huì)在后臺(tái)運(yùn)行,唯一的暗示就是性能降級(jí)。隨著惡意軟件消耗的計(jì)算力越來越多,機(jī)器運(yùn)行速度就會(huì)變慢。
研究人員最近發(fā)現(xiàn)一款俄羅斯的應(yīng)用程序WebCobra,會(huì)靜默地釋放和安裝Cryptonight加密貨幣挖礦機(jī)或Claymore的Zcash挖礦機(jī)。主要感染的區(qū)域有巴西、南非和美國(guó)。
該加密貨幣挖礦惡意軟件與其他加密貨幣軟件不同的是會(huì)根據(jù)受感染的機(jī)器配置不同釋放不同類型的挖礦機(jī)。
惡意軟件行為分析
主dropper是一個(gè)Microsoft安裝器,會(huì)檢查運(yùn)行環(huán)境。在x86系統(tǒng)中,惡意軟件會(huì)將Cryptonight挖礦機(jī)代碼注入到運(yùn)行的進(jìn)程中,并啟動(dòng)進(jìn)程監(jiān)控器。在x64系統(tǒng)中,會(huì)檢查GPU配置并從遠(yuǎn)程服務(wù)器下載和執(zhí)行Zcash挖礦機(jī)。
圖3: WebCobra安裝窗口
啟動(dòng)后,惡意軟件會(huì)用下面的命令釋放和解壓一個(gè)密碼保護(hù)的Cabinet文件:
圖4: 解壓釋放的文件的命令
CAB文件含有兩個(gè)文件:
- LOC: 解密data.bin的DLL文件
- bin: 含有加密的惡意payload
CAB文件會(huì)用下面的腳本來執(zhí)行ERDNT.LOC:
圖5: 加載ERDNT.LOC DLL文件的腳本
ERDNT.LOC會(huì)解密data.bin并傳遞執(zhí)行流到該路徑: [PlainText_Byte]=(([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E
圖6: 解密路徑
程序會(huì)檢查運(yùn)行環(huán)節(jié)來啟動(dòng)適當(dāng)?shù)耐诘V機(jī),如下圖所示:
圖7: 根據(jù)系統(tǒng)配置啟動(dòng)適當(dāng)?shù)耐诘V機(jī)
data.bin解密和執(zhí)行后,會(huì)嘗試一些反調(diào)試、反模擬、反沙箱技術(shù)以及檢查是否有其他安全產(chǎn)品運(yùn)行。這些步驟可以使惡意軟件潛伏的時(shí)間更長(zhǎng)。
大多數(shù)安全產(chǎn)品都使用hook API來監(jiān)控惡意軟件行為。為了避免被這類技術(shù)發(fā)現(xiàn),WebCobra以數(shù)據(jù)文件的形式在內(nèi)存中加載ntdll.dll和user32.dll,然后覆寫這些函數(shù)的前8個(gè)字節(jié),這是用來unhook API的。
- unhooked ntdll.dll APIs
- LdrLoadDll
- ZwWriteVirtualMemory
- ZwResumeThread
- ZwQueryInformationProcess
- ZwOpenSemaphore
- ZwOpenMutant
- ZwOpenEvent
- ZwMapViewOfSection
- ZwCreateUserProcess
- ZwCreateSemaphore
- ZwCreateMutant
- ZwCreateEvent
- RtlQueryEnvironmentVariable
- RtlDecompressBuffer
- unhooked user32.dll APIs
- SetWindowsHookExW
- SetWindowsHookExA
感染x86系統(tǒng)
惡意軟件會(huì)注入惡意代碼到svchost.exe,并用無限循環(huán)來檢查所有打開的窗口來比較每個(gè)窗口的標(biāo)題文本。這是WebCobra使用的另外一個(gè)檢查技術(shù)來確定是否運(yùn)行在用于惡意軟件分析的隔離環(huán)境中。
- adw
- emsi
- avz
- farbar
- glax
- delfix
- rogue
- exe
- asw_av_popup_wndclass
- snxhk_border_mywnd
- AvastCefWindow
- AlertWindow
- UnHackMe
- eset
- hacker
- AnVir
- Rogue
- uVS
- malware
如果有以上字符串在標(biāo)題欄中出現(xiàn),就終止打開的窗口。
圖8: 如果窗口標(biāo)題欄中含有特定字符串就終止該進(jìn)程
進(jìn)程監(jiān)控執(zhí)行后,就會(huì)用挖礦機(jī)的配置創(chuàng)建一個(gè)svchost.exe實(shí)例,并注入Cryptonight挖礦機(jī)代碼。
圖9: 創(chuàng)建svchost.exe實(shí)例并執(zhí)行Cryptonight挖礦機(jī)
最后,惡意軟件會(huì)恢復(fù)挖礦機(jī)進(jìn)程,并消耗所有CPU資源。
圖10: 被Cryptonight挖礦機(jī)感染的x86機(jī)器
感染x64系統(tǒng)
惡意軟件如果發(fā)現(xiàn)有wireshark運(yùn)行就終止感染過程。
圖11:檢查wireshark
惡意軟件會(huì)檢查GPU的品牌和模式。如果安裝了以下GPU才會(huì)運(yùn)行:
- Radeon
- Nvidia
- Asus
圖12:檢查GPU mode
如果檢查成功,惡意軟件會(huì)創(chuàng)建一個(gè)含有隱藏屬性的文件夾,并從遠(yuǎn)程服務(wù)器下載和執(zhí)行Claymore的Zcash挖礦機(jī)。創(chuàng)建的文件夾為:C:\Users\AppData\Local\WIX Toolset 11.2
圖13: 下載 laymore Zcash挖礦機(jī)的請(qǐng)求
圖14: Claymore挖礦機(jī)
圖15: 用配置文件執(zhí)行挖礦機(jī)
最后在%temp%\–xxxxx.cMD中釋放一個(gè)batch文件來刪除[WindowsFolder]\{DE03ECBA-2A77-438C-8243-0AF592BDBB20}\*.*.的dropper
圖16: 刪除dropper的batch文件
挖礦機(jī)配置文件如下:
圖17: Cryptonight的配置文件
配置文件含有:
The mining pool: 5.149.254.170
Username: 49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C
Password: soft-net
圖18: Claymore Zcash挖礦機(jī)配置文件
配置文件含有:
The mining pool: http://eu.zec.slushpool.com
Username: pavelcom.nln
Password: zzz
MITRE攻擊技術(shù)一覽
- 通過命令和控制信道竊取數(shù)據(jù)
- 命令行接口
- Hook
- 本地系統(tǒng)的數(shù)據(jù)
- 文件和目錄發(fā)現(xiàn)
- 查詢注冊(cè)表
- 系統(tǒng)時(shí)間發(fā)現(xiàn)
- 進(jìn)程注入
- 數(shù)據(jù)加密
- 多層加密
- 文件刪除
- 數(shù)據(jù)混淆
IoC
IP addresses
? 149.249.13:2224
? 149.254.170:2223
? 31.92.212
Domains
? http://fee.xmrig.com
? http://fee.xmrig.com
? ru
? http://zec.slushpool.com
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/webcobra-malware-uses-victims-computers-to-mine-cryptocurrency/
作者:ang010ela
歡迎來安全脈搏查看更多的干貨文章和我們一起交流互動(dòng)哦!
脈搏地址:安全脈搏 | 分享技術(shù),悅享品質(zhì)
微博地址:Sina Visitor System
用了那么長(zhǎng)時(shí)間的電腦,卻不會(huì)一點(diǎn)DOS命令操作,總是遺憾的,妹子要你修個(gè)電腦,有時(shí)候你用DOS命令這足以讓你成為技術(shù)大神的那種既視感得到認(rèn)可,這些命令你值得擁有:
我們直接可以用鍵盤上的【W(wǎng)indows+R】快捷鍵調(diào)出【運(yùn)行】窗口,在此窗口的輸入框里,我們輸入【CMD】命令,我們將進(jìn)入【DOS】命令彈出窗口,我們鼠標(biāo)左鍵點(diǎn)擊那個(gè)跳動(dòng)的小橫杠,輸入我們想要的命令,按鍵盤上的回車鍵【Enter】確認(rèn)即可完成相應(yīng)的操作。
我們以簡(jiǎn)單查看電腦信息的【systeminfo】命令做一個(gè)例子,來看下具體的操作及顯示:
以下收錄了常用的【DOS】命令供朋友們參考:
1. gpedit.msc-----組策略
2. sndrec32-------錄音機(jī)
3. Nslookup-------IP地址偵測(cè)器
4. explorer-------打開資源管理器
5. logoff---------注銷命令
6. tsshutdn-------60秒倒計(jì)時(shí)關(guān)機(jī)命令
7. lusrmgr.msc----本機(jī)用戶和組
8. services.msc---本地服務(wù)設(shè)置
9. oobe/msoobe /a----檢查XP是否激活
10. notepad--------打開記事本
11. cleanmgr-------垃圾整理
12. net start messenger----開始信使服務(wù)
13. compmgmt.msc---計(jì)算機(jī)管理
14. net stop messenger-----停止信使服務(wù)
15. conf-----------啟動(dòng)netmeeting
16. dvdplay--------DVD播放器
17. charmap--------啟動(dòng)字符映射表
18. diskmgmt.msc---磁盤管理實(shí)用程序
19. calc-----------啟動(dòng)計(jì)算器
20. dfrg.msc-------磁盤碎片整理程序
21. chkdsk.exe-----Chkdsk磁盤檢查
22. devmgmt.msc--- 設(shè)備管理器
23. regsvr32 /u *.dll----停止dll文件運(yùn)行
24. drwtsn32------ 系統(tǒng)醫(yī)生
25. rononce -p ----15秒關(guān)機(jī)
26. dxdiag---------檢查DirectX信息
27. regedt32-------注冊(cè)表編輯器
28. Msconfig.exe---系統(tǒng)配置實(shí)用程序
29. rsop.msc-------組策略結(jié)果集
30. mem.exe--------顯示內(nèi)存使用情況
31. regedit.exe----注冊(cè)表
32. winchat--------XP自帶局域網(wǎng)聊天
33. progman--------程序管理器
34. winmsd---------系統(tǒng)信息
35. perfmon.msc----計(jì)算機(jī)性能監(jiān)測(cè)程序
36. winver---------檢查Windows版本
37. sfc /scannow-----掃描錯(cuò)誤并復(fù)原
38. taskmgr-----任務(wù)管理器(2000/xp/2003
39. winver---------檢查Windows版本
40. wmimgmt.msc----打開windows管理體系結(jié)構(gòu)(WMI)
41. wupdmgr--------windows更新程序
42. wscript--------windows腳本宿主設(shè)置
43. write----------寫字板
44. winmsd---------系統(tǒng)信息
45. wiaacmgr-------掃描儀和照相機(jī)向?qū)?/p>
46. winchat--------XP自帶局域網(wǎng)聊天
47. mem.exe--------顯示內(nèi)存使用情況
48. Msconfig.exe---系統(tǒng)配置實(shí)用程序
49. mplayer2-------簡(jiǎn)易widnows media player
50. mspaint--------畫圖板
51. mstsc----------遠(yuǎn)程桌面連接
52. mplayer2-------媒體播放機(jī)
53. magnify--------放大鏡實(shí)用程序
54. mmc------------打開控制臺(tái)
55. mobsync--------同步命令
56. dxdiag---------檢查DirectX信息
57. drwtsn32------ 系統(tǒng)醫(yī)生
58. devmgmt.msc--- 設(shè)備管理器
59. dfrg.msc-------磁盤碎片整理程序
60. diskmgmt.msc---磁盤管理實(shí)用程序
61. dcomcnfg-------打開系統(tǒng)組件服務(wù)
62. ddeshare-------打開DDE共享設(shè)置
63. dvdplay--------DVD播放器
64. net stop messenger-----停止信使服務(wù)
65. net start messenger----開始信使服務(wù)
66. notepad--------打開記事本
67. nslookup-------網(wǎng)絡(luò)管理的工具向?qū)?/p>
68. ntbackup-------系統(tǒng)備份和還原
69. narrator-------屏幕“講述人”
70. ntmsmgr.msc----移動(dòng)存儲(chǔ)管理器
71. ntmsoprq.msc---移動(dòng)存儲(chǔ)管理員操作請(qǐng)求
72. netstat -an----(TC)命令檢查接口
73. syncapp--------創(chuàng)建一個(gè)公文包
74. sysedit--------系統(tǒng)配置編輯器
75. sigverif-------文件簽名驗(yàn)證程序
76. sndrec32-------錄音機(jī)
77. shrpubw--------創(chuàng)建共享文件夾
78. secpol.msc-----本地安全策略
79. syskey---------系統(tǒng)加密,一旦加密就不能解開,保護(hù)windows xp系統(tǒng)的雙重密碼
80. services.msc---本地服務(wù)設(shè)置
81. Sndvol32-------音量控制程序
82. sfc.exe--------系統(tǒng)文件檢查器
83. sfc /scannow---windows文件保護(hù)
84. tsshutdn-------60秒倒計(jì)時(shí)關(guān)機(jī)命令
85. tourstart------xp簡(jiǎn)介(安裝完成后出現(xiàn)的漫游xp程序)
86. taskmgr--------任務(wù)管理器
87. eventvwr-------事件查看器
88. eudcedit-------造字程序
89. explorer-------打開資源管理器
90. packager-------對(duì)象包裝程序
91. perfmon.msc----計(jì)算機(jī)性能監(jiān)測(cè)程序
92. progman--------程序管理器
93. regedit.exe----注冊(cè)表
94. rsop.msc-------組策略結(jié)果集
95. regedt32-------注冊(cè)表編輯器
96. rononce -p ----15秒關(guān)機(jī)
97. regsvr32 /u *.dll----停止dll文件運(yùn)行
98. regsvr32 /u zipfldr.dll------取消ZIP支持
99. cmd.exe--------CMD命令提示符
100. chkdsk.exe-----Chkdsk磁盤檢查
101. certmgr.msc----證書管理實(shí)用程序
102. calc-----------啟動(dòng)計(jì)算器
103. charmap--------啟動(dòng)字符映射表
104. cliconfg-------SQL SERVER 客戶端網(wǎng)絡(luò)實(shí)用程序
105. Clipbrd--------剪貼板查看器
106. conf-----------啟動(dòng)netmeeting
107. compmgmt.msc---計(jì)算機(jī)管理
108. cleanmgr-------垃圾整理
109. ciadv.msc------索引服務(wù)程序
110. osk------------打開屏幕鍵盤
111. odbcad32-------ODBC數(shù)據(jù)源管理器
112. oobe/msoobe /a----檢查XP是否激活
113. lusrmgr.msc----本機(jī)用戶和組
114. logoff---------注銷命令
115. iexpress-------木馬捆綁工具,系統(tǒng)自帶
116. Nslookup-------IP地址偵測(cè)器
117. fsmgmt.msc-----共享文件夾管理器
118. utilman--------輔助工具管理
119. regedit--------開注冊(cè)表的命令
希望朋友們能夠通過這個(gè)問題得到更多的啟示,謝謝關(guān)注。