币圈三大交易所关闭,币圈三板斧

2022-07-27 09:49:57 热点扫描

　　近年来，依托门罗币更好的隐藏机制和挖矿算法的优势，层出不穷的挖矿木马可以更轻松地“潜伏”作恶，构筑起一个可以称之为币圈的“隐藏角落”，让无数币友痛恨自己不能和背后的黑手“一起爬山”。近日，360安全大脑就监测到一款XMRig门罗币变体矿工，以伪装系统WMI服务的形式，自2018年起至今，已让全球多国接连“中招沦陷”。 　　

　　这种挖矿木马不仅隐藏了安装程序的感染路径，而且具有复杂的持久化手段，普通用户根本无法防范。在木马bat脚本下载到主机的恶意文件中，甚至连配合挖矿程序读写MSR寄存器的WinRing0x64.sys、将powershell脚本转换成windows平台可执行文件的开源文件ps2exe都一一列出。这意味着，一旦电脑倒霉，就更难“脱身”了。　　

　　目前，在360安全大脑的极智赋能下，360安全卫士可有效拦截查杀该挖矿木马，建议广大用户尽快下载最新版360安全卫士，全面保障个人隐私及财产安全。　　

　　藏身“隐秘的角落”，挖矿不离“三板斧” 　　

　　据360安全大脑监测，挖矿木马通过捆绑下载器传播。首先它调用cmd进程运行font.bat脚本，从服务器下载一个临时文件tmpxxxx.tmp.bat，这个文件改编自开源的门罗币矿机bat安装脚本，然后调用powershell运行脚本安装矿机。最后，它驻留在主机上。　　

　　经过深入分析，360安全大脑再现了挖矿木马猖獗作恶的“三板斧”: 　　

　　一板斧：安装脚本避影匿形，一经开启“反客为主” 　　

　　该脚本改编自开源的Monroe Coin Miner安装脚本，主要功能是下载安装木马作者存储在github上的挖矿程序。　　

　　脚本下载完挖掘文件压缩包和解压工具后，将文件自解压到目录“% systemroot % \ sys wow 64 \ wmiscriptingapi”，并将木马文件属性设置为系统文件属性和隐藏文件属性以尽可能隐藏自己，并添加一个名为compiler的注册表服务项，将windows服务注册工具nssm注册为服务。nssm以重参数的形式调用挖矿程序WMIProviderHost，从而达到挖矿木马长期驻留主机的目的。　　

　　二板斧：挖矿程序暗度陈仓，完美掩护“敛财”行径 　　

　　木马的挖掘主体是“% systemroot % \ sys wow 64 \ wmiscriptingapi”目录下的WMIProviderHost.exe。这个程序将文件信息描述为试图迷惑主机的系统文件(WMIProviderHost)，但实际上是一个占用用户电脑资源的XMRig Monroe挖币木马。此特洛伊木马将读取同一目录下的矿池配置文件srnany.exe进行挖掘。　　

　　通过查询配置文件中的钱包地址，我们可以看到，在当前被感染电脑的努力下，钱包的日收入为0.2258XMR/14.71美元。　　

　　三板斧：待利用文件“多重保险”，熟操多样作恶手段 　　

　　在木马作者放在github上的挖矿文件的解压文件中，还可以看到nssy.exe的NSIS矿工安装器工具和nssm.exe的windows服务注册工具，还可以看到一些作者以后打算用的工具。比如系统文件WinRing0x64.sys及其配置文件(对应的木马解压文件是Sroany.exe和Srmany.exe)可以被Brix用于内核层访问cpu msr寄存器，直接访问内存，访问io pci设备等。以及将powershell脚本转换成windows平台可执行文件的开源文件ps2exe(对应的木马解压文件为Process1.exe)。　　

　　全球多国皆位“中招之列”，360安全大脑防控成果斐然 　　

　　值得注意的是，360安全大脑分析统计后发现，这种挖矿木马的感染范围非常广。2018年以来，全球已有数十个国家处于“中游”。　　