站長資訊網近年來,依仗門羅幣更好的隱藏機制和挖礦算法等優勢,層出不窮的挖礦木馬可以更輕松的進行“潛伏”作惡,構建出堪稱幣圈的“隱秘的角落”,讓無數幣友恨不能親自與背后黑手“一起去爬山”。近日,360安全大腦就監測到一款XMRig門羅幣變體礦工,以偽裝系統WMI服務的形式,自2018年起至今,已讓全球多國接連“中招淪陷”。
該挖礦木馬不僅安裝程序的感染路徑十分隱蔽,持久化手段也同樣復雜多端,讓普通用戶根本防不勝防;而在木馬bat腳本下載到宿主電腦的惡意文件中,就連配合挖礦程序讀寫MSR寄存器的WinRing0x64.sys,和轉化powershell腳本為windows平臺可執行文件的開源文件ps2exe等也都一一在列,這意味著一旦電腦不幸中招,想要“脫身”簡直難上加難。
目前,在360安全大腦的極智賦能下,360安全衛士可有效攔截查殺該挖礦木馬,建議廣大用戶盡快下載最新版360安全衛士,全面保障個人隱私及財產安全。
藏身“隱秘的角落”
挖礦不離“三板斧”
據360安全大腦監測顯示,該挖礦木馬通過捆綁下載器進行傳播,其首先調用cmd進程運行font.bat腳本,從服務器上下載一個改編自開源的門羅幣礦工bat安裝腳本的,隨機名臨時文件tmpxxxx.tmp.bat,然后調用powershell運行該腳本安裝礦機,最終實現常駐于宿主電腦。
經深度分析后,360安全大腦重現了該挖礦木馬猖獗作惡的“三板斧”:
一板斧:安裝腳本避影匿形,一經開啟“反客為主”
該腳本改編自開源的門羅幣礦工安裝腳本,主要功能為下載木馬作者在github上存放的挖礦程序,并進行安裝。
下載到挖礦文件壓縮包以及解壓工具后,腳本自解壓文件到”%SYSTEMROOT%SysWOW64WMIScriptingAPI”目錄下,并設置木馬文件屬性為系統文件屬性和隱藏文件屬性,來盡可能隱藏自己,并添加名為compiler的注冊表服務項,將windows服務注冊工具nssm注冊為服務,再以參數的形式,由nssm調用起挖礦程序WMIProviderHost,從而達到挖礦木馬長駐宿主電腦的目的。
二板斧:挖礦程序暗度陳倉,完美掩護“斂財”行徑
木馬的挖礦主體為”%SYSTEMROOT%SysWOW64WMIScriptingAPI”目錄下的WMIProviderHost.exe,該程序將文件信息描述為系統文件(WMIProviderHost)企圖迷惑宿主,實際上卻是一個霸占用戶電腦資源的XMRig門羅幣挖礦木馬,該木馬會讀取同目錄下的礦池配置文件srnany.exe進行挖礦。
通過查詢配置文件中的錢包地址,可以看到在當前被感染的電腦總算力下,該錢包的日收益為0.2258XMR/14.71美元。
三板斧:待利用文件“多重保險”,熟操多樣作惡手段
在木馬作者放置在github上的挖礦文件解壓縮文件中,還可以看到NSIS礦工安裝程序工具nssy.exe,windows服務注冊工具nssm.exe,并且可以看到一些該作者后續準備利用的工具,例如系統文件WinRing0x64.sys及其配置文件(對應的木馬解壓縮文件名為Sroany.exe及Srmany.exe),該文件可被白利用于內核層訪問cpu msr寄存器、直接訪問內存、訪問io pci設備等,以及轉化powershell腳本為windows平臺可執行文件的開源文件ps2exe(對應的木馬解壓縮文件為Process1.exe)。
全球多國皆位“中招之列”
360安全大腦防控成果斐然
值得注意的是,360安全大腦分析統計后發現,該挖礦木馬感染范圍十分廣泛。自2018年起至今,全球幾十個國家皆位于“中招之列”。
同時,近半年來,該挖礦木馬呈現出穩中有升的增長趨勢。因此,對于廣大用戶來說,安全防范切不可輕易忽視。
不過廣大用戶無需過分擔心,在360安全大腦的極智賦能下,360安全衛士目前已可有效攔截查殺該類挖礦木馬。為全面保障廣大用戶的個人隱私及財產安全,凈化網絡環境,360安全大腦給出以下幾點安全建議:
1、前往weishi.360.cn,下載安裝360安全衛士,對此類挖礦木馬威脅進行有效攔截查殺;
2、提高安全意識,建議從正規渠道下載軟件,如官方網站或360軟件管家等。
MD5:
2f0e72afcdb13039ab30f7d03b784950
d9be3b4f93d9b29a93cea8eef91def15
465796a07d7adbda88e37368eba5fd29
cd40a754cf31b4e030a3d35ca42b1154
325b143e44696b41f98c650600791279
c369acef348414438c21cb81bb905db8
URLS:
hxxp://www.hiperbolicus.com/fonts/old_text_mt_regular.ttf
hxxps://raw.githubusercontent.com/hiperbolicus/sigma/master/compiler.zip
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
