导语:随着挖矿趋势的盛行和加密货币市场的崛起,Check Point就一直在密切关注挖矿活动。近期,研究人员偶然发现了几个具有类似特征且高度活跃的门罗币钱包。随着样本收集越来越多,研究人员怀疑它们之间有某种联系,根据这个怀疑研究人员找到

360截图16650221105112113.jpg

随着挖矿趋势的盛行和加密货币市场的崛起,Check Point就一直在密切关注挖矿活动。近期,研究人员偶然发现了几个具有类似特征且高度活跃的门罗币钱包。随着样本收集越来越多,研究人员怀疑它们之间有某种联系,根据这个怀疑研究人员找到了使用该钱包的挖矿活动的痕迹。

果不其然,这些挖矿攻击所用的软件都是由一个恶意团伙操纵的,因为在调查中,这个恶意团伙的代号在可疑的情况下出现过很多次。在研究人员开始深入挖掘时,研究人员惊奇地发现,这是一个传播恶意挖矿软件的大型团伙,且其开发的产品通过各种平台销售出去,产品也经过了很多次的迭代。

钱包

研究人员总共发现了17个不同的钱包,它们使用相同的挖矿池(nanopool.org)并且具有相似的挖矿作业ID。在Nanopool的挖掘作业中,挖矿软件是可选的,在不同钱包中使用相同的三位数名称并不是巧合。

1.png

研究人员根据来自Nanopool网站的钱包统计数据做了一个粗略的估计,除了向Nanopool缴纳的128门罗币费用外,每个钱包每个月产生37.4门罗币。

如果研究人员考虑每个钱包的最大哈希速率,则这些挖矿操作每秒会产生592000次的哈希量。由于普通PC每秒产生大约100次哈希,这意味着每秒大约有6000台被感染的设备在为其进行挖矿服务。

2.png

其中一个加密钱包的运行时间和哈希率

上图显示了与挖矿活动相关的其中一个钱包,通过上图,研究人员可以发现,哈希率每天从凌晨2点到第二天下午3点达到峰值。这与UTC + 5时区(印度时区)的工作时间相关,并与研究人员自己的统计数据相匹配,因为研究人员后来看到大部分流量来自印度。

3.png

哈希率的地理分布图

挖矿软件

在过去的几个月里,研究人员分析了以前在野外的钱包,通过这些钱包,他们似乎找到了挖矿软件的蛛丝马迹。这些挖矿软件在过去的几个月里就开始了频繁地挖矿,且每天都有新的样品被传送到VirusTotal(一个提供免费的可疑文件分析服务的网站)。

挖矿软件的早期版本似乎还很不成熟,都是带有实验性的,并且随机的PDB没有被删除,例如:

C:\Work\qqq\Release\random.pdb
C:\Work\blank\Release\blank.pdb

该版本显然已被更名为“xmrig_console_explorer”,如以下PDB格式的更新样本所示:

C:\Work\Xmrig_console_explorer4\Release\random.pdb
C:\Work\Xmrig_console_explorer3\Release\corsa.pdb
C:\Work\Xmrig_console_explorer2\Release\aivengo.pdb
C:\Work\Xmrig_console_explorer\Release\bdbjdfbvbd.pdb

一开始,这些样本使用的是Claymore的CryptoNote Windows CPU Miner,它是从S3存储桶((hxxp://s3-us-west-2.amazonaws[.]com/zminer/NsCpuCNMiner

32.exe)下载的。随着挖矿活动的成熟,它开始从以下位置下载Monero CPU Miner(XMRig.exe):hxxp://s3-us-west-2.amazonaws[.]com/upperservice/xmrig.exe。

至于他们的C&C通信,早期的版本是通过hxxp://www.osdsoft[.]com/random/visit.php联系的。另外,较新的联系人会联系解析为相同IP地址的不同C&C域(34.211.137[.]44),并且具有相似的名称(ztracker或xtracker)。

4.png

C&C通信

新C&C域的HTTP请求标头始终具有相同的用户代理(“qwert”),即使这些域不断更改,用户代理也不会变。

在研究人员查阅了这些网站的whois信息后,研究人员发现新老用户均以Ivan Kozlov的名字注册,并且电子邮件地址为[email protected][.]。

5.png

C&C WhoIs信息

OSDSoft

Ivan Kozlov这个名字首先与一个名为OSDSoft[.]的网站相关联,这个网站的目的是提供免费的视频下载软件。下图显示了该网站在Facebook和Youtube帐户上,推广其产品的广告截图。

6.png

OSDSoft的YouTube视频截图

直到2014年,该网站的主页仍然可以访问,并且该软件仍然可以从中下载。然而,在随后的几年中,可疑的可执行文件开始与OSDSoft相关联。

2017年,就在挖矿活动刚刚开始盛行的时候,ztracker[.]club和xtracker[.]club也以Ivan Kozlov的名义注册,且有数十个挖矿软件样本已被发现。

利用PUP进行传播

在OSDSoft被用来进行挖矿之前的时间里,它一直在用于传播可能不需要的程序(PUP),PUP被伪装成合法的服务并且具有诸如“WindowsUpdater”或“AdvancedPCCareSetup”之类的迷惑名称。

尽管名称看起来都很正常,但将这些文件上传到Check Point SandBlast(Check Point自己开发的虚拟攻击沙盒),就会发现这些可执行文件和其下载程序是隐身的,并在运行之前对虚拟机,分析工具和杀毒软件执行环境检查。除此之外,它们还会通过联系ip-api[.]com,对正在运行的系统进行指纹识别并找出其地理定位。

7.png

PUP逃避检测的示例

PUP基于被感染计算机所在国家或地区下载不同的额外程序。例如,在俄罗斯受感染的计算机执行这些文件后,又会接着安装Mailru,YoutubeAdblockE,Zcash,Monero,PCCleanPlus和其他几个PUP。

攻击者会通过检查“bundles.xml”来确定要下载哪些程序,所在国家和相应程序的列表,可以从OSDSoft或研究人员之前看到的S3存储桶下载hxxp:// S3 -us-west-2.amazonaws[. com/ com/ com/ bundles.xml。

该列表包含一系列默认情况下下载的程序,这些程序是不分国家或地区。

8.png

默认情况下从PUP下载的程序列表

PUP下载程序会有一个包含将近60个可执行文件和URL的下载列表,其中大部分可执行文件都在VirusTotal中具有较高的利用率,研究表明,它们可能是按安装量进行付费的传播模式。

传播模式

由于挖矿软件的C&C域名并不是攻击者注册的唯一域名,还可能有更多的其他域名,例如名为Ivan Kozlov的flash2update[.]xyz, flashdownload[.]club和flashplayers[.]club。

在整个感染过程中,攻击者先将受害者重定向到提供Flash Player更新的伪装网站,之后,这些伪装的Flash Player更新网站会使用CoinHive(一个提供恶意JS脚本的网站平台)通过浏览器开始挖矿。如果受害者点击伪装Flash页面上的任何位置都会下载挖矿软件。

9.png

伪装Flash Player的更新页面

Flash网站中出现的模式(/click[.]php?camp_id=[camp_id]&key=[key])以及C&C的HTTP GET请求格式(/click.php?cnv_id=[cnv_id]),会引导研究人员从binom.org导入一个名为Binom的高度活跃的TDS服务器。

目前研究人员已经看到了多达12个具有不同ID的TDS,其中一些涉及OSDSoft的挖矿软件,Graftor木马和Affiliate Program的变体,Affiliate Program是一种国外流行的互联网营销模式,也称为分销联盟计划、联署营销计划、网站联盟等,英文名称也很多,如affiliateprogram,referral program,associate program,profit sharing program,partners program等。

10.png

Binom的重定向

挖矿软件似乎与Flash网址中显示的攻击ID 5相关联:

11.png

ztracker[.]club中的Binom登录面板仍是可用的:

12.png

Check Point Telemetry的统计数据显示,访问Flash网站的用户主要来自印度,这证实了研究人员先前在印度工作时间内有关挖矿软件最大活动的调查结果。

13.png

源链接

Hacking more

...