Nhash行動——惡小財大

一、前言

依據我們的數據，虛擬貨幣的挖礦程序傳播異常迅速。在之前的相關報告中，我們介紹了網路犯罪分子如何利用社會工程學在用戶主機上安裝此類軟體。本文我們想著重討論一下中招用戶的主機是如何淪陷的。

二、沒有免費的午餐

我們發現了一些相似的網站，提供下載各種類型的免費軟體。其中一些確實是免費的應用程序（如OpenOffice），而另一些則試圖用Adobe Premiere Pro，CorelDraw，PowerPoint等「免費」軟體包來吸引用戶。從受害者的角度來看，軟體確實是免費的，沒有要求激活密鑰，可以立即使用。此外，網路犯罪分子使用類似於合法產品的官方域名，如thefinereader.ru，theopenoffice.ru等。所有這些應用程序有一個共同點 ——它們被安裝在受害者計算機上，伴隨的還有NiceHash項目自定義配置版本的加密貨幣挖掘軟體。

三、瘋狂挖礦

Kaspersky Lab的產品檢測到NiceHash挖礦程序不是一個病毒，其特徵為RiskTool.Win64.BitCoinMiner.cgi。根據Kaspersky Lab的分類，它不是惡意的。根據KSN的數據，大約200個文件被檢測為此結果。我們選擇FineReader-12.0.101.382.exe這個文件進行分析。它是從thefinereader.ru網站下載的，目前該網站已不可用; 在這個網站上，它被呈現為ABBYY FineReader的「免費完整版本」。值得注意的是，去除挖礦組件的黑客版本，，通過Torrent早已在互聯網上廣為流傳：

可執行文件包含安裝包Inno Setup，解壓縮它將生成一些包含實際軟體及其資源的文件夾，以及一個安裝指南腳本。安裝程序的文件夾如下所示：

我們感興趣的是文件夾，它包含已安裝的軟體，該文件夾包含FineReader的portable版本：

lib文件夾包含一些可疑的文件：

這些文件中有我們上面提到的NiceHash挖礦程序。此文件夾中還有文本文件，其中包含初始化挖礦程序所需的信息——即錢包的詳細信息和採礦池地址。FineReader安裝時，該文件將被安裝到受害者計算機上：

並在autorun文件夾中創建快捷方式：

該快捷方式顯示了C盤上挖礦程序工作目錄的路徑：

我們對感興趣的tskmgr.exe和system.exe進行分析。 這兩個文件都是編譯成PE文件的BAT腳本，在解壓BAT腳本之後，我們來看看system.exe的內容：

它確保錢包的地址是最新的，並初始化挖礦程序，並聯繫以下地址：

http://176.9.42.149/tmp1.txt

http://176.9.42.149/tmp3.txt?user=default&idurl=3

http://176.9.42.149/tmp2.txt?user=3id170927143302

在第三個查詢之後，收到以下響應：

我們來看看裡面：

這是一個經典案例——快捷方式分散在系統中; 當用戶打開時，啟動挖礦程序。該軟體包包含通過最小化系統托盤來隱藏挖礦程序窗口的實用工具TrayIt！ 。 這個挖礦程序沒有接收來自伺服器的任何數據，而是使用硬編碼的錢包和礦池。

四、收入

在網路犯罪分子使用的礦池中，我們發現了一些提供了錢包和礦工數量的統計數字。在我們分析的時候，所有錢包的總收入接近3400美元。

The t1WSaZQxqBLLtGMKsGT6t9WGHom8LcE8Ng5 wallet

The t1JA25kJrAaUw9xe6TzGiC8BU5pZRhgL4Ho wallet

The t1N7sapDRuYdqzKgPwet8L31Z9Aa96i7hy4 wallet

The 3MR6WuGkuPDqPZgibV6gi4DaC7qMabEFks wallet

五、總結

這一部分的研究再一次表明，沒有人能忽視保護措施，從而陷入虛假的安全感，認為網路犯罪分子只對金融機構感興趣; 實踐表明，普通用戶也是針對目標。我們分析的挖掘軟體儘管無法造成任何損害，但卻可能通過劫持其資源並使其為他人工作而嚴重損害計算機的性能。

六、IoC

C&C

176.9.42.149

MD5

a9510e8f59a34a17ca47df9f78173291

19cdaf36a4bafd84c9f7b2cfff09ca50

613bd514f42e7cc78d6e0e267fc706d0

ab31d1cbed96114f2ea9797030fb608f

0a571873a125c846861127729fcf41bb

fd8f89a437bcb5490a92dc1609f190d1

dd639dc20f62393827c2067021b7fd50

6b567d817b94f714c0005e183ffb6d47

11e66ac4c9e7e3d0b341bdb51f5f8740

58c7db74c6ce306037f22984dd758362

f38b5a31eee2fd8c97249cefbc5fa19f

f378951994051bf90dc561457c88c69f

fb9c1f949f95caeada09c0fd70fb5416

b017f2836988f93b80f4322dbd488e00

211c6c52527b8c1029d64bb75a9a39d8

57cda2f33fce912f4f5eecbc66a27fa6

URLs

thefinereader[.]ru

abby-finereader[.]ru

thexpadder[.]ru

theteamspeak[.]ru

thecoreldraw[.]ru

the-powerpoint[.]ru

theoutlook[.]ru

picturemanager[.]ru

furmark[.]ru

thedxtory[.]ru

thevisio[.]ru

kmp-pleer[.]ru

theadobepremiere[.]ru

cdburner-xp[.]ru

theopenoffice[.]ru

iobit-uninstaller[.]ru

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！