近年來，依仗門羅幣更好的隱藏機(jī)制和挖礦算法等優(yōu)勢(shì)，層出不窮的挖礦木馬可以更輕松的進(jìn)行“潛伏”作惡，構(gòu)建出堪稱幣圈的“隱秘的角落”，讓無數(shù)幣友恨不能親自與背后黑手“一起去爬山”。近日，360安全大腦就監(jiān)測(cè)到一款XMRig門羅幣變體礦工，以偽裝系統(tǒng)WMI服務(wù)的形式，自2018年起至今，已讓全球多國(guó)接連“中招淪陷”。

　　該挖礦木馬不僅安裝程序的感染路徑十分隱蔽，持久化手段也同樣復(fù)雜多端，讓普通用戶根本防不勝防;而在木馬bat腳本下載到宿主電腦的惡意文件中，就連配合挖礦程序讀寫MSR寄存器的WinRing0x64.sys，和轉(zhuǎn)化powershell腳本為windows平臺(tái)可執(zhí)行文件的開源文件ps2exe等也都一一在列，這意味著一旦電腦不幸中招，想要“脫身”簡(jiǎn)直難上加難。

　　目前，在360安全大腦的極智賦能下，360安全衛(wèi)士可有效攔截查殺該挖礦木馬，建議廣大用戶盡快下載最新版360安全衛(wèi)士，全面保障個(gè)人隱私及財(cái)產(chǎn)安全。

 

藏身“隱秘的角落”

挖礦不離“三板斧”

　　據(jù)360安全大腦監(jiān)測(cè)顯示，該挖礦木馬通過捆綁下載器進(jìn)行傳播，其首先調(diào)用cmd進(jìn)程運(yùn)行font.bat腳本，從服務(wù)器上下載一個(gè)改編自開源的門羅幣礦工bat安裝腳本的，隨機(jī)名臨時(shí)文件tmpxxxx.tmp.bat，然后調(diào)用powershell運(yùn)行該腳本安裝礦機(jī)，最終實(shí)現(xiàn)常駐于宿主電腦。

 

 

　　經(jīng)深度分析后，360安全大腦重現(xiàn)了該挖礦木馬猖獗作惡的“三板斧”：

　　一板斧：安裝腳本避影匿形，一經(jīng)開啟“反客為主”

　　該腳本改編自開源的門羅幣礦工安裝腳本，主要功能為下載木馬作者在github上存放的挖礦程序，并進(jìn)行安裝。

 

 

　　下載到挖礦文件壓縮包以及解壓工具后，腳本自解壓文件到”%SYSTEMROOT%SysWOW64WMIScriptingAPI”目錄下，并設(shè)置木馬文件屬性為系統(tǒng)文件屬性和隱藏文件屬性，來盡可能隱藏自己，并添加名為compiler的注冊(cè)表服務(wù)項(xiàng)，將windows服務(wù)注冊(cè)工具nssm注冊(cè)為服務(wù)，再以參數(shù)的形式，由nssm調(diào)用起挖礦程序WMIProviderHost，從而達(dá)到挖礦木馬長(zhǎng)駐宿主電腦的目的。

 

　　二板斧：挖礦程序暗度陳倉(cāng)，完美掩護(hù)“斂財(cái)”行徑

　　木馬的挖礦主體為”%SYSTEMROOT%SysWOW64WMIScriptingAPI”目錄下的WMIProviderHost.exe，該程序?qū)⑽募畔⒚枋鰹橄到y(tǒng)文件(WMIProviderHost)企圖迷惑宿主，實(shí)際上卻是一個(gè)霸占用戶電腦資源的XMRig門羅幣挖礦木馬，該木馬會(huì)讀取同目錄下的礦池配置文件srnany.exe進(jìn)行挖礦。

 

　　通過查詢配置文件中的錢包地址，可以看到在當(dāng)前被感染的電腦總算力下，該錢包的日收益為0.2258XMR/14.71美元。

 

　　三板斧：待利用文件“多重保險(xiǎn)”，熟操多樣作惡手段

　　在木馬作者放置在github上的挖礦文件解壓縮文件中,還可以看到NSIS礦工安裝程序工具nssy.exe，windows服務(wù)注冊(cè)工具nssm.exe，并且可以看到一些該作者后續(xù)準(zhǔn)備利用的工具，例如系統(tǒng)文件WinRing0x64.sys及其配置文件(對(duì)應(yīng)的木馬解壓縮文件名為Sroany.exe及Srmany.exe)，該文件可被白利用于內(nèi)核層訪問cpu msr寄存器、直接訪問內(nèi)存、訪問io pci設(shè)備等，以及轉(zhuǎn)化powershell腳本為windows平臺(tái)可執(zhí)行文件的開源文件ps2exe(對(duì)應(yīng)的木馬解壓縮文件為Process1.exe)。

全球多國(guó)皆位“中招之列”

360安全大腦防控成果斐然

　　值得注意的是，360安全大腦分析統(tǒng)計(jì)后發(fā)現(xiàn)，該挖礦木馬感染范圍十分廣泛。自2018年起至今，全球幾十個(gè)國(guó)家皆位于“中招之列”。

 

　　同時(shí)，近半年來，該挖礦木馬呈現(xiàn)出穩(wěn)中有升的增長(zhǎng)趨勢(shì)。因此，對(duì)于廣大用戶來說，安全防范切不可輕易忽視。

 

　　不過廣大用戶無需過分擔(dān)心，在360安全大腦的極智賦能下，360安全衛(wèi)士目前已可有效攔截查殺該類挖礦木馬。為全面保障廣大用戶的個(gè)人隱私及財(cái)產(chǎn)安全，凈化網(wǎng)絡(luò)環(huán)境，360安全大腦給出以下幾點(diǎn)安全建議：

　　1、前往weishi.#，下載安裝360安全衛(wèi)士，對(duì)此類挖礦木馬威脅進(jìn)行有效攔截查殺;

　　2、提高安全意識(shí)，建議從正規(guī)渠道下載軟件，如官方網(wǎng)站或360軟件管家等。

　　MD5：

　　2f0e72afcdb13039ab30f7d03b784950

　　d9be3b4f93d9b29a93cea8eef91def15

　　465796a07d7adbda88e37368eba5fd29

　　cd40a754cf31b4e030a3d35ca42b1154

　　325b143e44696b41f98c650600791279

　　c369acef348414438c21cb81bb905db8

　　URLS：

　　hxxp://www.hiperbolicus.com/fonts/old_text_mt_regular.ttf

　　hxxps://raw.githubusercontent.com/hiperbolicus/sigma/master/compiler.zip

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。