近年来,依仗门罗币更好的隐藏机制和挖矿算法等优势,层出不穷的挖矿木马可以更轻松的进行“潜伏”作恶,构建出堪称币圈的黑色产业,让无数币友恨不能亲自与背后黑手“一起去爬山”。近日,就监测到一款XMRig挖矿病毒,以伪装系统WMI服务的形式,自2018年起至今,已让全球多国接连“中招沦陷”。
该挖矿木马不仅安装程序的感染路径十分隐蔽,持久化手段也同样复杂多端,让普通用户根本防不胜防,而在木马bat脚本下载到宿主电脑的恶意文件中,就连配合挖矿程序读写MSR寄存器的 WinRing0x64.sys 和转化powershell脚本为windows平台可执行文件的开源文件ps2exe等也都在列,这意味着一旦电脑不幸中招,想要“脱身”简直难上加难。
安全软件监测显示,该挖矿木马通过捆绑下载器进行传播,其首先调用cmd进程运行bat脚本,从服务器上下载一个有恶意代码的bat安装脚本,然后调用powershell运行该脚本安装木马,最终实现常驻于宿主电脑。
经深度分析后,重现了该挖矿木马猖獗作恶的“三板斧”:
一板斧:安装脚本避影匿形。
一经开启该脚本会安装更多的脚本,主要功能为下载挖矿木马,下载到挖矿文件压缩包以及解压工具后,脚本自解压文件到"%SYSTEMROOT%SysWOW64WMIScriptingAPI"目录下,并设置木马文件属性为系统文件属性和隐藏文件属性,来尽可能隐藏自己,并添加名为compiler的注册表服务项,将windows服务注册工具nssm注册为服务,再以参数的形式,由nssm调用起挖矿程序WMIProviderHost,从而达到挖矿木马长驻宿主电脑的目的。
二板斧:挖矿程序暗度陈仓,完美掩护“敛财”行径。
木马的挖矿主体为"%SYSTEMROOT%SysWOW64WMIScriptingAPI"目录下的WMIProviderHost.exe,该程序将文件信息描述为系统文件(WMIProviderHost)企图迷惑宿主,实际上却是一个霸占用户电脑资源的XMRig-skypool挖矿木马病毒,该木马会读取同目录下的矿池配置文件srnany.exe进行挖矿。
通过查询配置文件中的钱包地址,可以看到在当前被感染的电脑总算力下,该钱包的日收益为0.2258个门罗币。
三板斧:待利用文件“多重保险”,熟操多样作恶手段。
该木马作者不止用到了NSIS安装程序工具nssy.exe等,还有windows服务注册工具nssm.exe等,并且可以看到该作者后续准备利用的一些工具,例如系统文件WinRing0x64.sys及其配置文件(对应的木马解压缩文件名为Sroany.exe及Srmany.exe),该文件可被白利用于内核层访问cpu msr寄存器、直接访问内存、访问io pci设备等,以及转化powershell脚本为windows平台可执行文件的开源文件ps2exe(对应的木马解压缩文件为Process1.exe)。
值得注意的是,分析统计后发现,该挖矿木马感染范围十分广泛。自2018年起至今,全球几十个国家皆位于“中招之列”。
同时,近半年来,该挖矿木马呈现出稳中有升的增长趋势。因此,对于广大用户来说,安全防范切不可轻易忽视。
不过广大用户无需过分担心,为全面保障广大用户的个人隐私及财产安全,净化网络环境,给出以下安全建议:提高安全意识,建议从正规渠道下载软件,如官方网站。
|
|
