主页 > imtoken钱包官方苹果 > 冲浪研究中心 | “比特票”挖矿木马样本分析
冲浪研究中心 | “比特票”挖矿木马样本分析
一、背景
近期接到客户反馈,网络部分终端机出现异常。 经分析客户提供的样本,确定为挖矿木马入侵事件。 该挖矿木马重用大量开源代码攻击BTV比特币(一种基于比特币的分支货币)进行挖矿。
2. 样品详细分析
通过分析客户提供的样本,发现样本其实并不完整,但这并不影响对该威胁的定性。 示例文件主要有以下三个:
样品名称
特征
SHA256
运行.bat
用于启动挖矿过程的 bat 脚本
a02d5079ae3eeacb463aa855a1daec72587ff2bbf576cb95081ad9b56d614684
Svchost.exe
基于NSSM的保护流程
29F0DBF2D07C4B68C3C9EE0D139D80BAD3E9058FBF9DBD574CB5B047CF742E74
系统文件
采矿过程
24AE1FCD6080097248C1F2171218DA3DBD22E46CFEF854A0EC646AD80A503014
客户提供的样本应该缺少安装程序,用于打包以上三个程序,安装挖矿进程和启动保护进程。 由于没有威胁的父程序,并且在受害计算机上收集了证据,因此很难从样本分析的角度判断它是如何假装感染用户计算机的。 一般来说,它会用程序打包软件打包,然后伪装成视频、压缩包等,通过邮件或挂马等方式引诱安全意识薄弱的用户点击。
2.1 run.bat示例
该文件的内容是:
通过bat脚本调用程序开始挖矿。 根据矿池地址得知,它属于一种新的虚拟货币——Bit Ticket。 BitVote是2018年1月20日新推出的比特币分叉币,采用CryptoNight算法,矿工可以使用自己的CPU进行挖矿和参与投票。
你可以看到它的价格目前是 0.49 美元。
其官网介绍:
截至两次分析时间,挖矿样本对应的钱包信息如下:
最新付款记录:
最早付款记录:
从支付记录来看,该挖矿木马自2018年2月上旬开始活跃。
2.2 svchost.exe 示例
该样本伪装成系统进程名称 svchost.exe 以迷惑受害者。 该样本的主要作用是保护挖矿程序被杀死后不被重启。
分析样本后发现svchost.exe是基于NSSM编写的。 样本中主函数wmain的位置代码为:
对比github上NSSM()的代码,代码逻辑完全一致:
其中,NSSM是一个服务管理工具。 它可以将应用程序作为 NT 服务启动。 无论应用程序如何失败,它都会尝试重新启动应用程序。 参考其说明:
通过VT关联分析最早的比特币矿工使用CPU挖矿,样本原文件名为nssm.exe,涉及样本数量较多
涉及的历史文件名:
VT链接:
#/文件/29f0dbf2d07c4b68c3c9ee0d139d80bad3e9058fbf9dbd574cb5b047cf742e74/关系
2.3 systmss.exe示例
systmss.exe程序负责挖矿。 从其代码中的信息分析,发现它是由基于位置的项目编写的。
Systmss.exe 中的代码片段:
对应cpuminer-multi项目中的代码:
经分析,Systmss.exe的代码完全基于cpuminer-multi开源项目。 cpuminer-multi 是一个开源的多线程 CPU 挖矿程序。 从它的github页面可以看出目前支持的算法非常多。
同时支持ARM、PowerPC、x86、x86-64架构的CPU挖矿。
挖矿程序运行后,会释放挖矿程序依赖的几个DLL文件:
通过VT关联分析,还发现了几个相关事件:
VT链接:
#/文件/24ae1fcd6080097248c1f2171218da3dbd22e46cfef854a0ec646ad80a503014/关系
三、总结
本示例基于大量开源代码编写而成,尤其是基于NSSM的防护流程。 这个操作确实对杀毒程序有一定的作用。 对于2018年1月发布的虚拟货币BTV,存在一些针对其挖矿的木马。 可见,目前虚拟货币的挖矿仍在加剧。 由于这类恶意软件的制作门槛相对较低,但可以赚取不菲的利润,因此可以推测,未来此类挖矿恶意软件的数量会越来越多。
4. 国际奥委会
BTV挖矿信息:
btv.vvpool.com:5700
13mUp3VADQGJF8k1GuSkhV4md5xCh6HwL4.586
样本哈希:
a02d5079ae3eeacb463aa855a1daec72587ff2bbf576cb95081ad9b56d614684
29F0DBF2D07C4B68C3C9EE0D139D80BAD3E9058FBF9DBD574CB5B047CF742E74
24AE1FCD6080097248C1F2171218DA3DBD22E46CFEF854A0EC646AD80A503014
关于 SURFSRC
任子兴网络安全攻防实验室(SURFSRC)成立于2017年最早的比特币矿工使用CPU挖矿,以网络安全攻防技术为核心,专注于网络安全技术研究和安全攻防体系建设。
实验室重点研究APT攻防技术、恶意代码对抗、基于主机和网络的取证技术、网络恶意流量检测、二进制漏洞攻防、非接触式移动终端漏洞与攻击(包括Android和iOS上的Wi-Fi)平台)、蓝牙等)及Web安全研究等前沿网络安全技术,网络攻防渗透、恶意攻击溯源等网络信息安全攻防技术研究与应用,洞察网络安全前沿威胁,提升企业运维安全效率,为企业网络信息安全保驾护航。
