欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

checkpoint揭露了一个流传歹意挖矿软件的团伙

de64384a174e12dc2018-05-075新闻

1525334445267793.jpg checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第1张 1525334445267793.jpg checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第1张

跟着挖矿趋向的盛行和加密货币市场的兴起,Check Point就一直在亲昵存眷挖矿运动。近期,研讨人员有时发明了几个具有类似特性且高度活泼的门罗币钱包。跟着样本网络越来越多,研讨人员疑心它们之间有某种联络,依据这个疑心研讨人员找到了运用该钱包的挖矿运动的陈迹。

果不其然,这些挖矿进击所用的软件都是由一个歹意团伙支配的,因为在观察中,这个歹意团伙的代号在可疑的情况下涌现过很屡次。在研讨人员最先深切发掘时,研讨人员惊异地发明,这是一个流传歹意挖矿软件的大型团伙,且其开辟的产物经由过程种种平台贩卖进来,产物也经过了很屡次的迭代。

钱包

研讨人员统共发明了17个分歧的钱包,它们运用相反的挖矿池(nanopool.org)而且具有类似的挖矿功课ID。在Nanopool的发掘功课中,挖矿软件是可选的,在分歧钱包中运用相反的三位数称号并非偶合。

1525334451100559.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第3张 1525334451100559.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第3张

研讨人员依据来自Nanopool网站的钱包统计数据做了一个大略的预计,除向Nanopool交纳的128门罗币用度外,每一个钱包每月发生37.4门罗币。

若是研讨人员斟酌每一个钱包的最大哈希速度,则这些挖矿操纵每秒会发生592000次的哈希量。因为一般PC每秒发生约莫100次哈希,这意味着每秒约莫有6000台被沾染的装备在为其停止挖矿效劳。

1525334458700822.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第5张 1525334458700822.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第5张

个中一个加密钱包的运转时刻和哈希率

上图显现了与挖矿运动相干的个中一个钱包,经由过程上图,研讨人员能够发明,哈希率天天从清晨2点到第二天下昼3点到达峰值。这与UTC + 5时区(印度时区)的事情时刻相干,并与研讨人员本身的统计数据相匹配,因为研讨人员厥后看到大部分流量来自印度。

1525334464290064.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第7张 1525334464290064.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第7张

哈希率的天文分布图

挖矿软件

在曩昔的几个月里,研讨人员剖析了之前在野外的钱包,经由过程这些钱包,他们好像找到了挖矿软件的千丝万缕。这些挖矿软件在曩昔的几个月里就最先了频仍地挖矿,且天天都有新的样品被传送到VirusTotal(一个供应收费的可疑文件剖析效劳的网站)。

挖矿软件的晚期版本好像还很不成熟,都是带有实验性的,而且随机的PDB没有被删除,比方:

C:\Work\qqq\Release\random.pdb
C:\Work\blank\Release\blank.pdb

该版本明显已被更名为“xmrig_console_explorer”,如以下PDB花样的更新样本所示:

C:\Work\Xmrig_console_explorer4\Release\random.pdb
C:\Work\Xmrig_console_explorer3\Release\corsa.pdb
C:\Work\Xmrig_console_explorer2\Release\aivengo.pdb
C:\Work\Xmrig_console_explorer\Release\bdbjdfbvbd.pdb

一最先,这些样本运用的是Claymore的CryptoNote Windows CPU Miner,它是从S3存储桶((hxxp://s3-us-west-2.amazonaws[.]com/zminer/NsCpuCNMiner

32.exe)下载的。跟着挖矿运动的成熟,它最先从以下地位下载Monero CPU Miner(XMRig.exe):hxxp://s3-us-west-2.amazonaws[.]com/upperservice/xmrig.exe。

至于他们的C&C通讯,晚期的版本是经由过程hxxp://www.osdsoft[.]com/random/visit.php联络的。别的,较新的联络人会联络剖析为相反IP地点的分歧C&C域(34.211.137[.]44),而且具有类似的称号(ztracker或xtracker)。

1525334470181875.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第9张 1525334470181875.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第9张

C&C通讯

新C&C域的HTTP要求标头一直具有相反的用户署理(“qwert”),纵然这些域赓续变动,用户署理也不会变。

在研讨人员查阅了这些网站的whois信息后,研讨人员发明新老用户均以Ivan Kozlov的名字注册,而且电子邮件地点为osdsoft@gmail[.]。

1525334479555945.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第11张 1525334479555945.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第11张

C&C WhoIs信息

OSDSoft

Ivan Kozlov这个名字起首与一个名为OSDSoft[.]的网站相干联,这个网站的目标是供应收费的视频下载软件。下图显现了该网站在Facebook和Youtube帐户上,推行其产物的告白截图。

1525334487183521.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第13张 1525334487183521.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第13张

----------------------------------------------

申博|网络安全巴士站【https://www.bus123.net/】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

----------------------------------------------

OSDSoft的YouTube视频截图

直到2014年,该网站的主页依然能够接见,而且该软件依然能够从中下载。但是,在随后的几年中,可疑的可实行文件最先与OSDSoft相干联。

2017年,就在挖矿运动刚刚最先盛行的时刻,ztracker[.]club和xtracker[.]club也以Ivan Kozlov的名义注册,且有数十个挖矿软件样本已被发明。

应用PUP停止流传

在OSDSoft被用来停止挖矿之前的时刻里,它一直在用于流传能够不需要的顺序(PUP),PUP被假装成正当的效劳而且具有诸如“WindowsUpdater”或“AdvancedPCCareSetup”之类的疑惑称号。

只管称号看起来都很一般,但将这些文件上传到Check Point SandBlast(Check Point本身开辟的假造进击沙盒),就会发明这些可实行文件和其下载顺序是隐身的,并在运转之前对假造机,剖析对象和杀毒软件实行情况搜检。除此之外,它们还会经由过程联络ip-api[.]com,对正在运转的体系停止指纹识别并找出其天文定位。

1525334493565319.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第15张 1525334493565319.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第15张

PUP回避检测的示例

PUP基于被沾染计算机地点国度或区域下载分歧的分外顺序。比方,在俄罗斯受沾染的计算机实行这些文件后,又会接着装置Mailru,YoutubeAdblockE,Zcash,Monero,PCCleanPlus和其他几个PUP。

进击者会经由过程搜检“bundles.xml”来确定要下载哪些顺序,地点国度和响应顺序的列表,能够从OSDSoft或研讨人员之前看到的S3存储桶下载hxxp:// S3 -us-west-2.amazonaws[. com/ com/ com/ bundles.xml。

该列表包罗一系列默许情况下下载的顺序,这些顺序是不分国度或区域。

1525334502399409.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第17张 1525334502399409.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第17张

默许情况下从PUP下载的顺序列表

PUP下载顺序会有一个包罗快要60个可实行文件和URL的下载列表,个中大部分可实行文件都在VirusTotal中具有较高的应用率,研讨注解,它们多是按装置量停止付费的流传形式。

流传形式

因为挖矿软件的C&C域名并非进击者注册的独一域名,还能够有更多的其他域名,比方名为Ivan Kozlov的flash2update[.]xyz, flashdownload[.]club和flashplayers[.]club。

在全部沾染过程当中,进击者先将受害者重定向到供应Flash Player更新的假装网站,以后,这些假装的Flash Player更新网站会运用CoinHive(一个供应歹意JS剧本的网站平台)经由过程浏览器最先挖矿。若是受害者点击假装Flash页面上的任何地位都邑下载挖矿软件。

1525334508689640.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第19张 1525334508689640.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第19张

假装Flash Player的更新页面

Flash网站中涌现的形式(/click[.]php?camp_id=[camp_id]&key=[key])和C&C的HTTP GET要求花样(/click.php?cnv_id=[cnv_id]),会指导研讨人员从binom.org导入一个名为Binom的高度活泼的TDS效劳器。

现在研讨人员曾经看到了多达12个具有分歧ID的TDS,个中一些触及OSDSoft的挖矿软件,Graftor木马和Affiliate Program的变体,Affiliate Program是一种外洋盛行的互联网营销形式,也称为分销同盟设计、联署营销设计、网站同盟等,英文称号也许多,如affiliateprogram,referral program,associate program,profit sharing program,partners program等。

1525334516629058.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第21张 1525334516629058.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第21张

Binom的重定向

挖矿软件好像与Flash网址中显现的进击ID 5相干联:

1525334523191491.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第23张 1525334523191491.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第23张

ztracker[.]club中的Binom登录面板还是可用的:

1525334531671400.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第25张 1525334531671400.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第25张

Check Point Telemetry的统计数据显现,接见Flash网站的用户重要来自印度,这证明了研讨人员先前在印度事情时刻内有关挖矿软件最大运动的观察结果。

1525334545949794.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第27张 1525334545949794.png checkpoint揭露了一个流传歹意挖矿软件的团伙  新闻 第27张

本文翻译自:https://research.checkpoint.com/de-anonymizing-monero-mining-operation/如若转载,请说明原文地点: http://www.4hou.com/info/news/11335.html

网友评论