欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

门罗币挖矿机经由过程Process Hollowing绕过检测

b9e08c31ae1faa592019-12-1678恶意软件

跟着2018年加密钱银代价的爬升,今年以来研究人员发明大批加密钱银挖矿歹意软件运动,尤其是与门罗币挖矿机相干的感染运动。经由几个月的生长,研究人员发明了一个运用破绽来流传自身的感染途径,别的一个还运用无文件手艺来绕过检测。其他要领包括运用针对性进击东西来最大化好处,兵器化WMI如许的正当东西来完成驻留,以及运用其他庞杂的歹意软件来隐蔽加密钱银歹意软件payload。

近来,研究人员发明一个新的加密钱银要挟,它运用process hollowing和开释器组件,该开释器组件须要特定的命令行参数集来触发歹意行动,使得歹意运动检测和剖析不会留下陈迹,因而也没法检测。开释的文件的作用是一个容器,文本自身的没有用的,也不是歹意的,因而能够绕过检测。该进击运动从11月初入手下手运动,进击目的包括泰国、巴西、巴基斯坦、印度等。

感染途径

开释器是一个含有打包的歹意代码的64位二进制文件,研究人员发明该可实行文件会搜检通报给它的参数,并在解压时举行考证。

门罗币挖矿机经由过程Process Hollowing绕过检测  恶意软件 第1张

 图 1. 64位二进制文件

而且可实行文件的一些参数也是加密的,解密开释器的参数发明该历程分为2个阶段。第一个阶段是对参数的字母数字字符实行特定的算数操纵。对本样本,参数是vTMsx7t7MZ==, 运用该逻辑到字符串的每一个字符:

门罗币挖矿机经由过程Process Hollowing绕过检测  恶意软件 第2张

图 2. 在字母数字字符实行特定算数操纵

怎样运用iCloud钥匙串治理苹果装备上的暗码 iCloud钥匙串可以作为iPhone和iPad的基本密码管理器。通过icloud钥匙串,您可以保存网站和应用程序的密码,然后在需要重新登录这些网站和应用程序时找到密码。您的凭证通过iCloud以加密格式存储和同步,因此您可以在iPhone、iPad和Mac上使用相同的凭证。您还可以编辑和管理您保存的密码。您可以通过“钥匙串”更改密码并删除不再需要的帐户。下面我们就来了解具体操作: 要在iPhone或iPad上启用钥匙串,请首先找到“设置”。点击屏幕上方的姓名,然后选择iCloud。在iCloud界面上,点击“钥匙串”的设置,然后打开其开关(图A)。 图A 接下来,回到“设置”界面,然后点击“密码和帐户”选项。确保“自动填充密码”条目已打开(图B)。 图B 现在,打开一个受密码保护的应用程序。使用用户名和密码登录后,将弹出提示,询问您是否要

获得的字符串是eGNhc2g2NA==,能够运用常用东西来解码base64编码的字符串。解密历程包括来自参数的大批信息,包括用来触发歹意文件和实行加密钱银挖矿运动的加密钱银钱包地点:

xcash64
–donate-level 1 -o –0– -u XCA1nwsQ2hUe8GLawiqdCQbLe5FJjLXUCaQ48bLaZNdkiifhNyDDWi9ZQxhdWWVbfP5pizGtFar6jHoUx7cteUqo5DBsLe71Vg -p meer_m -a cn/double –k

下面是开释文件的大概的文件名:

uakecobs.exe
uakecobse.exe
dakecobs.exe
dakecobse.exe
wakecobs.exe
rakecobs.exe

除了须要特定参数外,开释器还殽杂了用于歹意操纵的函数名。

在准确的参数中实行后,开释器就会开释和实行wakecobs.exe,该文件是要在停息状态下建立的子历程。其内存会消除映照,开释器会注入歹意代码到背景运转的XMRig挖矿机。

结论

虽然加密钱银挖矿运动的新要领增多了,然则检测到的加密钱银挖矿运动却削减了。研究人员疑心该进击运动背地的进击者运用了竞争对手削减这一点,进击者大概开发了新的地区来举行加密钱银挖矿。开释器能够经由过程注入歹意代码到开释的文件中或隐蔽自身到差别的目次中来绕过手动扫描和检测。开释的文件自身黑白歹意的。因而开释的文件副本没有任何加密钱银挖矿运动的陈迹,因而能够绕过黑盒、白盒和沙箱的剖析。如许的手艺还能够用来进击和感染其他体系,流传其他的歹意软件payload。开释的文件只是代码框架,并没有任何现实代码,因而该文件能够在体系中不被检测到,并绕过手动检测。研究人员发起企业运用多层防护计划以应对这些差别品种的要挟。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/almost-hollow-and-innocent-monero-miner-remains-undetected-via-process-hollowing/

网友评论