WebCobra:深入了解分析这款新型挖矿歹意软件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

WebCobra:深入了解分析这款新型挖矿歹意软件

申博_新闻事件 申博 148次浏览 已收录 0个评论

前言

近期,McAfee Lab的研究人员发明了一款新型的俄罗斯歹意软件,这款歹意软件名叫“WebCobra”,它能够应用目的装备的盘算才能来挖加密泉币。

实际上,歹意挖矿软件是很难被检测到的。当装备被沾染后,歹意软件会在体系背景悄然运转,独一能够袒露陈迹的就是装备机能的下落。由于歹意软件会增添装备盘算才能的斲丧,装备的运转速率会明显下降,随之而来的除用户运用历程中的恶感,另有电费账单上的“天文数字”,究竟效果挖一个比特币须要斲丧的本钱大约在531美圆到26170美圆之间…

毫无疑问,加密泉币代价的增进正在吸收越来越多的收集犯罪分子投身于歹意挖矿的行列中。

下图显现的是门罗币价钱走势与歹意挖矿软件发展趋势之间的干系对应图:

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

在此之前,McAfee Lab曾对加密泉币文件注入对象CoinMiner进行了剖析,感兴趣的同砚能够阅读【剖析申报】。

WebCobra这款歹意软件在沾染了目的装备以后,会在背景悄然植入Cryptonight Miner或Claymore的Zcash Miner,详细须要依据WebCobra扫描到的目的装备架构来一定。我们以为,这款歹意软件重要经由历程PUP地痞装置器来完成撒布,现在环球局限都受到了影响,受沾染用户最多的区域分别是巴西、南非和美国。

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

与其他歹意挖矿软件分歧的是,WebCobra会依据受沾染装备的设置装备摆设和架构来挑选植入分歧的挖矿对象。

未设置hook的ntdll.dll API

LdrLoadDll

ZwWriteVirtualMemory

ZwResumeThread

ZwQueryInformationProcess

ZwOpenSemaphore

ZwOpenMutant

ZwOpenEvent

ZwMapViewOfSection

ZwCreateUserProcess

ZwCreateSemaphore

ZwCreateMutant

ZwCreateEvent

RtlQueryEnvironmentVariable

RtlDecompressBuffer

歹意行为剖析

歹意软件的Dropper是一个Windows装置顺序,它会检测体系运转情况。在x86体系上,它会向正在运转的历程中注入Cryptonight Miner代码,然后启用历程监控。在x64体系上,它会检测GPU设置装备摆设,然后从近程服务器下载并实行Claymore的Zcash Minner。

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

启动以后,歹意软件会运用以下敕令下载并解压一个受暗码珍爱的Cabinet压缩文件:

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

这个CAB文件包罗以下两个文件:

1、 LOC:用于解密data.bin的DLL文件;

2、 bin:包罗了经由加密处置惩罚的歹意Payload;

CAB文件运用了以下脚正本实行ERDNT.LOC:

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

ERDNT.LOC会解密data.bin,然后应用以下途径将实行撒布递给它:

[PlainText_Byte]= (([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

顺序会在检测了以后运转情况以后启动对应的Miner,悉数历程以下图所示:

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

当data.bin被解密并实行以后,它会实验实行一些反调试、反模仿和反沙箱手艺,并检测以后体系上运转的其他安全产品,而这些都是这款歹意软件珍爱本身不被检测到的一些基础手腕。

大多数安全产品都邑经由历程挂钩API函数来监控歹意软件的行动,为了制止被检测到,WebCobra会在内存中以数据文件的情势加载ntdll.dll和user32.dll,然后重写这些函数的前八个字节(消除API hook)。

未设置hook的user32.dll API

SetWindowsHookExW

SetWindowsHookExA

沾染x86体系

歹意软件会向svchost.exe注入歹意代码,并应用有限轮回来检测一切翻开的窗口,然后运用上面列表中的字符串来婚配窗口的标题栏。这也是WebCobra接纳的另一种检测机制,它会依据这个检测效果来推断以后情况是不是是特地用来剖析歹意软件的断绝情况。

adw

emsi

avz

farbar

glax

delfix

rogue

exe

asw_av_popup_wndclass

snxhk_border_mywnd

AvastCefWindow

AlertWindow

UnHackMe

eset

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。.

hacker

AnVir

Rogue

uVS

malware

歹意软件会依据翻开窗口的标题栏来推断运转情况:

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

历程监控实行以后,它会运用Miner的设置装备摆设文件建立一个svchost.exe的实例,并注入Cryptonignt Miner代码:

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

最初,歹意软件会让Cryptonight Miner在背景寂静运转,并应用目的主机的悉数CPU资本来挖矿:

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

沾染x64体系

歹意软件首先会检测是不是运转了Wireshark:

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

然后检测GPU品牌和型号,只需在检测到以下GPU的时刻它才会运转:

Radeon

Nvidia

Asus

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

若是检测胜利,歹意软件会建立上面隐蔽文件夹,然后从近程服务器下载并实行Zcash Miner:

C:\Users\AppData\Local\WIXToolset 11.2

WebCobra:深入了解分析这款新型挖矿歹意软件WebCobra:深入了解分析这款新型挖矿歹意软件WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件
WebCobra:深入了解分析这款新型挖矿歹意软件
WebCobra:深入了解分析这款新型挖矿歹意软件

最初,歹意软件会在%temp%\–xxxxx.cMD中植入一个batch文件来删除Dropper([WindowsFolder]\{DE03ECBA-2A77-438C-8243-0AF592BDBB20}\*.*):

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

Miner的设置装备摆设文件以下:

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

设置装备摆设文件中包罗:

矿池地点:5.149.254.170

用户名:49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C

暗码:soft-net

WebCobra:深入了解分析这款新型挖矿歹意软件

WebCobra:深入了解分析这款新型挖矿歹意软件

这份设置装备摆设文件包罗:

矿池地点:eu.zec.slushpool.com

用户名:pavelcom.nln

暗码:zzz

总结

毫无疑问,歹意挖矿软件还会赓续进化,由于收集犯罪分子一定不会放过这类相对来说对照轻松的赢利体式格局。而且跟讹诈软件比拟,歹意挖矿软件的风险会更低,而且不须要目的用户间接性地“领取用度”。只需隐蔽性够高,只需不被发明,收集犯罪分子就能够躺着把钱赚了。

入侵要挟目标

IP地点

5.149.249[.]13:2224

5.149.254[.]170:2223

104.31.92[.]212

域名

emergency.fee.xmrig[.]com

miner.fee.xmrig[.]com

 saarnio[.]ru

eu.zec.slushpool[.]com

哈希(SHA-256)

5E14478931E31CF804E08A09E8DFFD091DB9ABD684926792DBEBEA9B827C9F37

2ED8448A833D5BBE72E667A4CB311A88F94143AA77C55FBDBD36EE235E2D9423

F4ED5C03766905F8206AA3130C0CDEDEC24B36AF47C2CE212036D6F904569350

1BDFF1F068EB619803ECD65C4ACB2C742718B0EE2F462DF795208EA913F3353B

D4003E6978BCFEF44FDA3CB13D618EC89BF93DEBB75C0440C3AC4C1ED2472742

06AD9DDC92869E989C1DF8E991B1BD18FB47BCEB8ECC9806756493BA3A1A17D6

615BFE5A8AE7E0862A03D183E661C40A1D3D447EDDABF164FC5E6D4D183796E0

F31285AE705FF60007BF48AEFBC7AC75A3EA507C2E76B01BA5F478076FA5D1B3

AA0DBF77D5AA985EEA52DDDA522544CA0169DCA4AB8FB5141ED2BDD2A5EC16CE

* 参考泉源:securingtomorrow,FB小编Alpha_h4ck编译,转载请说明来自FreeBuf.COM

黑客工具

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明WebCobra:深入了解分析这款新型挖矿歹意软件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址