KingMiner:新加密劫持软件逃避检测有一套

KingMiner:新加密劫持软件逃避检测有一套

加密抢劫——窃取CPU能力以秘密挖掘加密货币——正在成为个人和企业遇到的大麻烦。目前,全美三分之一的组织表示他们已成为加密劫持恶意软件的目标。最近,美国一所大学甚至被迫关闭了其整个网络,以阻止一次加密劫持攻击。

加密劫持通常涉及对门罗币(XMR)和以太坊(ETH)的挖掘。如果CPU能力在一定范围内被盗用,并且资金被实际转移到攻击者钱包中,那么这种加密劫持就很难被检测到。攻击者越来越喜爱使用这种技术,而非以往的勒索赎金攻击,原因在于这种加密劫持能够让攻击者实实在在地获得金钱,而不用像勒索劫持那样需要受害者愿意付款。

本周四,网络安全公司Check Point的研究人员在一篇博客文章中表示,今年6月首次出现了一款这种形式的加密恶意软件,称为KingMiner,并且其改良变体被发现出现在野外。

攻击流程

这款恶意软件通常使用暴力方式来攻击 IIS/SQL微软服务器,以获取攻击服务器所需的凭据。一旦授予访问权限后,将在受害者的计算机上下载并执行Windows Scriptlet脚本文件(.sct )。

在执行过程中,该文件进行几个步骤:

1.此脚本扫描并检测受害者计算机的CPU体系结构,并为其下载配套的恶意有效负载。

2.如果在受害者计算机上发现较早版本的恶意负载,则新负载会自动终止相关的exe文件进程,并将就文件删除以取而代之。

3.根据检测到的CPU架构体系,下载有效负载ZIP文件(zip\64p.zip)。请注意,这实际上并不是一个ZIP文件,而是XML文件,研究人员称它将进行“绕过模拟尝试”。

4.XML有效负载包括Base64 blob,一旦编码,将生成预期的“ZIP”文件。

KingMiner:新加密劫持软件逃避检测有一套

HTTP响应中出现的“zip”有效负载

KingMiner:新加密劫持软件逃避检测有一套

“ZIP”文件包里的文件

解压后,恶意软件有效负载会创建一组新的注册表项并执行XMRig miner文件,该文件专为挖掘门罗币而设计。

矿工被配置为使用75%的CPU容量,但可能由于编码错误,实际上使用100%的CPU。

KingMiner:新加密劫持软件逃避检测有一套

恶意的powered.exe文件占用了100%的CPU能力

为了其难以追踪,KingMiner的挖掘池已被设为私有,API已被关闭。此外,钱包从未在公共采矿池使用过,因此研究人员无法知道正在使用的域名——或者攻击者通过攻击挖掘了多少门罗币。

KingMiner的演变

Check Point研究人员自KingMiner出现后一直在监控其活动。过去6个月来,KingMiner已经开发并部署在两个新版本中。攻击者为这款恶意软件不断添加新功能和绕过方法以避免被检测到。此外,作为恶意软件不断发展的一部分,我们发现许多占位符用于未来的操作或即将发布的更新,这将使这种恶意软件更难以检测。

KingMiner:新加密劫持软件逃避检测有一套

Check Point发现其影响范围极其广泛,从墨西哥到印度,从挪威到以色列都有其身影。

KingMiner:新加密劫持软件逃避检测有一套

攻击者采用各种规避技术来防止该恶意软件被复制以及规避检测,因此,一些检测引擎的检测率已经显著降低。根据研究人员对传感器日志的分析,KingMiner攻击尝试的次数正稳步上升。

逃避技术

逃避技术的使用是成功攻击的主要组成部分。这个案例中,几种相对简单的机制使此恶意软件能够绕过常见的检测方法:

1.混淆32p.zip/64p.zip文件——ZIP文件包含基本的XML格式数据。解析后,将显示预期的ZIP文件;

2.主要的可执行文件powered.exe(在旧版本为fix.exe)从DLL文件(sandbox.dll / active_desktop_render_x64.dll)导出函数。仅执行其中可执行文件,确保任何活动不被发现;

3.将md5.txt内容添加到DLL文件(sandbox.dll / active_desktop_render_x64.dll)中;

4.将x.txt/y.png内容解码为可执行文件XMRig CPU miner。

这些逃避技术似乎显著降低了检测率,如VirusTotal中所示:

KingMiner:新加密劫持软件逃避检测有一套

Check Point表示,在KingMiner的代码中还有大量占位符以便将来对其进行更新,因此该恶意软件未来可能成为更严重的威胁。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132954.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code