2018年，加密货币价格一度下跌，但今年似乎再次触底。随着加密货币的价值和价格再次增加，我们观察到今年恶意加密货币挖掘活动的数量也有所增加，尤其是涉及门罗币的活动。 　　

　　最近，我们发现了一种新的加密货币挖掘病毒，它使用了“冷注入”技术和一个滴管组件。因此，它不会留下任何痕迹，使恶意加密货币挖掘活动难以检测。 　　

　　上月初，相关活动开始增多。11月20日，我们的遥测数据显示，科威特、泰国、印度、孟加拉国、阿联酋、巴西和巴基斯坦的感染尝试最多。 　　

　　什么是“冷注射”技术？冷注入，英文名“Process Hollowing”，是一种古老的代码注入技术。一般来说，进程镂空技术创建的进程，用任务管理器等工具看起来很正常，但这类进程中包含的代码其实是恶意代码。 　　

　　该技术可以动态修改正在运行的进程，整个进程不需要挂起进程或者调用额外的Windows API，即不需要调用WriteProcessMemory、QueueUserApc、CreateRemoteThread和SetThreadContext。 　　

　　新型加密货币挖矿病毒的感染链Dropper是一个64位二进制文件，其中包含打包的恶意代码。我们发现这个可执行文件会检查传递给它的参数，并在解压缩时进行验证。 　　

　　图1。解压缩的64位二进制文件 　　

　　解密可以分为两个阶段：第一阶段，对参数的字母数字字符进行特定的算术运算(此处示例参数为“vTMsx7t7MZ==”)。 　　

　　图2。对字母数字字符执行算术运算 　　

　　得到的字符串是“eGNhc2g2NA==”，解密过程包含了大量来自参数的信息，包括用于触发恶意文件和执行加密货币挖掘活动的加密货币钱包地址： 　　

　　xcash 64捐赠-Level 1-O0 - uxca 1 NWS q 2 hue 8 glawiq CQ ble 5 fjlxucaq 48 blazndkifhnyddwwi 9 zqxhdwvbfp 5 pizgtfar 6 jhoux 7 cteuqo 5 db SLE 71 VG-Pmeer _ M-A CN/DoubleK以下是发布文件的文件名： 　　

　　Uakecobs。Exeuaakecobs。Exedakecobs。Exedakecobs。Exewaakecobs。除了需要特定的参数，dropper还会混淆将用于恶意操作的函数的名称。 　　

　　图3。混乱的字符串(部分) 　　

　　在使用正确的参数执行后，dropper会释放并执行wakecobs.exe(一个要在挂起状态下创建的子进程)，它的内存会被取消映射，然后dropper会向其中注入恶意代码，Monroe Coin Mining病毒会在后台运行。 　　

　　总的来说，今年恶意的加密货币挖矿活动比往年有所减少，但这并不意味着网络犯罪分子放弃了这个领域。 　　

　　此次发现的加密货币挖矿病毒滴管可以通过在发布的文件中注入恶意代码来逃避安全检测。——发布的文件本身并不是恶意文件，只有收到某些参数才会触发恶意行为，因此可以绕过黑盒、白盒和沙盒的分析。 　　

　　除了加密货币挖矿病毒，这种技术还可以传播其他任何恶意软件。因此，为了避免成为受害者，我们建议企业采用多层保护方案来应对各种可能的威胁。