导语:停不下来的挖矿,来看看Kaspersky Lab曝光的又一挖矿行动Nhash!
一、前言
依据我们的数据,虚拟货币的挖矿程序传播异常迅速。在之前的相关报告中,我们介绍了网络犯罪分子如何利用社会工程学在用户主机上安装此类软件。本文我们想着重讨论一下中招用户的主机是如何沦陷的。
二、没有免费的午餐
我们发现了一些相似的网站,提供下载各种类型的免费软件。其中一些确实是免费的应用程序(如OpenOffice),而另一些则试图用Adobe Premiere Pro,CorelDraw,PowerPoint等“免费”软件包来吸引用户。从受害者的角度来看,软件确实是免费的,没有要求激活密钥,可以立即使用。此外,网络犯罪分子使用类似于合法产品的官方域名,如thefinereader.ru,theopenoffice.ru等。所有这些应用程序有一个共同点 ——它们被安装在受害者计算机上,伴随的还有NiceHash项目自定义配置版本的加密货币挖掘软件。
所有网站遵循相同的设计模板,仅在产品说明和下载链接方面有所不同。
三、疯狂挖矿
Kaspersky Lab的产品检测到NiceHash挖矿程序不是一个病毒,其特征为RiskTool.Win64.BitCoinMiner.cgi。根据Kaspersky Lab的分类,它不是恶意的。根据KSN的数据,大约200个文件被检测为此结果。我们选择FineReader-12.0.101.382.exe这个文件进行分析。它是从thefinereader.ru网站下载的,目前该网站已不可用; 在这个网站上,它被呈现为ABBYY FineReader的“免费完整版本”。值得注意的是,去除挖矿组件的黑客版本,,通过Torrent早已在互联网上广为流传:
可执行文件包含安装包Inno Setup,解压缩它将生成一些包含实际软件及其资源的文件夹,以及一个安装指南脚本。安装程序的文件夹如下所示:
我们感兴趣的是{app}文件夹,它包含已安装的软件, 该文件夹包含FineReader的portable版本:
lib文件夹包含一些可疑的文件:
这些文件中有我们上面提到的NiceHash挖矿程序。 此文件夹中还有文本文件,其中包含初始化挖矿程序所需的信息——即钱包的详细信息和采矿池地址。 FineReader安装时,该文件夹将被安装到受害者计算机上:
并在autorun文件夹中创建快捷方式:
该快捷方式显示了C盘上挖矿程序工作目录的路径:
我们对感兴趣的tskmgr.exe和system.exe进行分析。 这两个文件都是编译成PE文件的BAT脚本,在解压BAT脚本之后,我们来看看system.exe的内容:
它确保钱包的地址是最新的,并初始化挖矿程序,并联系以下地址:
http://176.9.42.149/tmp1.txt
http://176.9.42.149/tmp3.txt?user=default&idurl=3
http://176.9.42.149/tmp2.txt?user=3id170927143302
在第三个查询之后,收到以下响应:
这是一个PowerShell脚本,它为受感染的计算机分配1个唯一的ID,并使用正确的钱包(在这种特定情况下,挖掘zcash币)启动挖掘。ID是由基于挖掘开始时间的特定算法生成,例如ID 4v09v2017v03v24v26由日期(14.09.2017)和时间(03:24:26)组成。
我们还发现了其他类型的挖矿程序,其逻辑略有不同。下面是相同的Inno安装程序安装包,但如果看看它的内容,我们可以看到很多快捷方式:
我们来看看里面:
这是一个经典案例——快捷方式分散在系统中; 当用户打开时,启动挖矿程序。该软件包包含通过最小化系统托盘来隐藏挖矿程序窗口的实用工具TrayIt! 。 这个挖矿程序没有接收来自服务器的任何数据,而是使用硬编码的钱包和矿池。
四、收入
在网络犯罪分子使用的矿池中,我们发现了一些提供了钱包和矿工数量的统计数字。在我们分析的时候,所有钱包的总收入接近3400美元。
The t1WSaZQxqBLLtGMKsGT6t9WGHom8LcE8Ng5 wallet
The t1JA25kJrAaUw9xe6TzGiC8BU5pZRhgL4Ho wallet
The t1N7sapDRuYdqzKgPwet8L31Z9Aa96i7hy4 wallet
The 3MR6WuGkuPDqPZgibV6gi4DaC7qMabEFks wallet
五、总结
这一部分的研究再一次表明,没有人能忽视保护措施,从而陷入虚假的安全感,认为网络犯罪分子只对金融机构感兴趣; 实践表明,普通用户也是针对目标。我们分析的挖掘软件尽管无法造成任何损害,但却可能通过劫持其资源并使其为他人工作而严重损害计算机的性能。
六、IoC
C&C
176.9.42.149
MD5
a9510e8f59a34a17ca47df9f78173291
19cdaf36a4bafd84c9f7b2cfff09ca50
613bd514f42e7cc78d6e0e267fc706d0
ab31d1cbed96114f2ea9797030fb608f
0a571873a125c846861127729fcf41bb
fd8f89a437bcb5490a92dc1609f190d1
dd639dc20f62393827c2067021b7fd50
6b567d817b94f714c0005e183ffb6d47
11e66ac4c9e7e3d0b341bdb51f5f8740
58c7db74c6ce306037f22984dd758362
f38b5a31eee2fd8c97249cefbc5fa19f
f378951994051bf90dc561457c88c69f
fb9c1f949f95caeada09c0fd70fb5416
b017f2836988f93b80f4322dbd488e00
211c6c52527b8c1029d64bb75a9a39d8
57cda2f33fce912f4f5eecbc66a27fa6
URLs
thefinereader[.]ru
abby-finereader[.]ru
thexpadder[.]ru
theteamspeak[.]ru
thecoreldraw[.]ru
the-powerpoint[.]ru
theoutlook[.]ru
picturemanager[.]ru
furmark[.]ru
thedxtory[.]ru
thevisio[.]ru
kmp-pleer[.]ru
theadobepremiere[.]ru
cdburner-xp[.]ru
theopenoffice[.]ru
iobit-uninstaller[.]ru