欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

KingMiner:说好的挖75% 怎么挖到100%了呢

来源:本站整理 作者:佚名 时间:2018-12-05 TAG: 我要投稿


 
Crypto-Mining(加密货币挖矿)攻击在2018年不断发展和演变。由于加密货币的价值和普及程度的提高,黑客越来越倾向于利用受害者设备的CPU资源来进行加密货币挖矿操作。在整个一年中,我们看到了相关报告和攻击数量的大幅增加。尽管最近加密货币的价值趋于平稳,但这种攻击方法和技术仍然在独创性和有效性方面不断改进。
KingMiner是一种以Windows服务器为目标的Monero-Mining(门罗币挖矿)恶意软件。该恶意软件于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。由于攻击者采用了多种逃避技术来绕过仿真环境和安全检测,导致一些反病毒引擎针对该恶意软件的检测率明显偏低。根据我们对传感器日志的分析,KingMiner攻击尝试的数量一直处于稳步上升。
 
攻击流程
根据我们的调查结果,我们确定该恶意软件的目标是Microsoft服务器(主要是IISSQL),并尝试猜测其密码。
一个Windows Scriptlet文件(.sct)会在受害者的设备上被下载并执行。
在执行过程中,该文件执行了以下几个步骤:
l  检测设备的相关CPU架构。
l  如果存在旧版本的payload,则会杀死相关的exe文件进程,并删除旧文件。
l  根据检测到的CPU架构下载一个payload ZIP文件(zip64p.zip)。请注意,这并不是一个真正的ZIP文件,而是一个XML文件,这样做的目的是尝试绕过仿真环境。

图1.HTTP响应中的“zip”payload
l  XML payload包括一个Base64 blob,一旦编码,将生成预期的“ZIP”文件。

如上所示,这个ZIP文件包含五个文件:
l  config.json-XMRig CPU miner配置文件。
l  md5.txt –仅包含字符串“zzz”的文本文件。
l  powered.exe (在旧版本中被命名为fix.exe)–主要的可执行文件。
l  soundbox.dll/soundbox.dll-包含一些函数的DLL文件,这些函数将由powered.exe导出。
l  x.txt/y.png-二进制blob文件。情注意,这不是一个真正的PNG文件。

 图2.攻击的第一阶段

图3. config.json-一个XMRig配置文件,包含钱包地址和私有采矿池地址
在仿真环境中,可执行文件不会执行任何操作。
在提取所有文件之后,md5.txt文件(“zzz”)的内容将附加到相关的DLL文件(sandbox.dllactive_desktop_render_x64.dll,两者中的内容相同)。不过,我们还没有看到这种行为会对恶意软件活动产生任何影响。
powered.exe/fix.exe文件被调用并执行,以创建XMRig miner文件和几个值为“Test”的新注册表项。

图4. DLL文件中包含的函数
可执行文件会从DLL文件中调用以下函数:
l  ClearDesktopMonitorHook-该函数返回值1。可能会在未来的版本中使用。
l  King1-创建一个线程并解码相关二进制blob文件(x.txt/y.png)的内容。结果是一个可执行文件,它是XMRig CPU miner的一个精简版本,只保留了主函数。
DLL文件包含四个附加函数,可能会在未来的版本中使用:
l  King2-返回值1。
l  King3-返回值1。
l  King4-返回值1。
l  SetDesktopMonitorHook-调用King1。

图5.函数“king1”,创建一个线程并将二进制blob y.png/x.txt作为参数。

图6.攻击的第二阶段
XMRig CPU Miner正式运行,并耗尽受害者设备的全部CPU资源。
虽然被配置为占用75%的CPU资源,但它实际占用的是100%。

图7:恶意powered.exe文件占用了100%的CPU资源
KingMiner的演变
Check Point的研究人员在KingMiner过去6个月的整个演变过程中,一直在监控它的活动。自首次出现以来,KingMiner已经发布了两个新版本。该恶意软件一直在不断地添加新的功能和逃避技术,以绕过安全检测

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载