欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

Zoom安装包中暗藏加密货币挖矿机

e6e9fdb1a932f3282020-04-0742

受疫情的影响,越来越多的企业开始选择线上办公。近期,线上会议平台zoom成为越来越多黑客攻击的目标。研究人员发现有黑客利用这类攻击来传播恶意软件。

最近,trendmicro研究人员发现有黑客在合法zoom app安装包中加入了Coinminer,诱使想要安装zoom软件的用户下载和安装恶意软件。但是含有恶意软件的zoom安装包并非来自zoom官方下载中心,而是来自伪造的欺诈网址。

Zoom安装包中暗藏加密货币挖矿机  第1张

Zoom安装包中暗藏加密货币挖矿机  第2张

图 1. 含有zoom安装包和挖矿机64.exe的代码段

恶意软件分析

想要下载zoom安装包的用户会同时下载一个AutoIt编译的恶意软件Trojan.Win32.MOOZ.THCCABO。该文件包含以下内容:

Zoom安装包中暗藏加密货币挖矿机  第3张

Zoom安装包中暗藏加密货币挖矿机  第4张

图 2.  恶意文件内容

Zoom安装包中暗藏加密货币挖矿机  第5张

图 3. 文件内容详细分析

文件asascpiex.dll的前5个字节为NULL,然后回被0x00替代,来确保难以确定源文件前面,0x37 0x7A 0xBC 0xAF 0x27表明是一个7-zip压缩文件。然后,该文件会以CR_Debug_log.txt的形式复制,7zip中的CL_Debug_log.txt会用来解压缩密码保护的压缩文件。

Zoom安装包中暗藏加密货币挖矿机  第6张

图 4. asacpiex.dll文件格式签名的文件

文件会用cpuinfo标志位来确定受感染系统的架构。如果是64位系统就释放64.exe,但是包中不含有32.exe,也就是说该恶意软件目前只运行在64位操作系统中。

Zoom安装包中暗藏加密货币挖矿机  第7张

图 5. 64.exe代码段

该文件会使用WMI查询来收集GPU信息这样的信息,这些信息对挖矿来说是非常有用的。此外,还有收集CPU、系统、操作系统版本、视频控制器和处理器的信息。

Zoom安装包中暗藏加密货币挖矿机  第8张图 6. 检查处理器详情的代码

Zoom安装包中暗藏加密货币挖矿机  第9张

图 7. 检查视频控制器详情的代码

此外,还会检查Microsoft SmartScreen和Windows Defender是否启用,并检查系统中是否运行了以下反病毒软件:

· AvastUI.exe / AvastSvc.exe→ Avast

· avguix.exe / AVGUI.exe→AVG

· avp.exe / avpui.exe→Kaspersky

· dwengine.exe→Dr. Web

· egui.exe / ekrn.exe→ESET NOD32

· MBAMService.exe→Malwarebytes

Zoom安装包中暗藏加密货币挖矿机  第10张

图 8. 检查运行的反病毒软件的代码

收集的信息会使用HTTP GET请求发送到hxxps://2no.co/1IRnc。

Zoom安装包中暗藏加密货币挖矿机  第11张

图 9. 使用HTTP GET请求发送给URL的信息

【胖猴小玩闹】智能门锁与BLE设备安全Part 3: 耶鲁智能门锁的简单测试(下)

【胖猴小玩闹】智能门锁与BLE设备安全Part 3: 耶鲁智能门锁的简单测试(上) 1.简介 在本专题第三篇文章中,我们研究发现了Yale智能门锁的通信中存在一些问题。在本专题第四篇中(本篇),我们将进行一个“小玩闹”,即利用这些问题实现未授权开锁,具体的操作步骤如下: a. 嗅探BLE通信获取productInfo; b. 使用获取的productInfo控制门锁。 在后文中将详细介绍每一步的操作内容。 2. 嗅探BLE通信 Yale门锁的BLE通信没有加密,所以我们通过嗅探的方式可以直接获取Authentication Request和Authentication Response,利用这两个数据包的Payload做减法运算即可得到productInfo。 2.1 嗅探工作 嗅探BLE通信需要有专用的硬件工具,我们使用的是CC2540 Dongle,配合TI的Packet Sniffer软件,如图2-1所示。

CR_Debug_log.txt 是一个用7-zip压缩的文件,其中含有payload 64.exe加密货币挖矿机。该文件会以复制helper.exe的形式复制到%appdata%\Roaming\Microsoft\Windows\文件夹中。这是一个含有7-zip文件和密码保护的压缩的Tor二进制文件的AutoIt编译的二进制文件。为了实现驻留,恶意软件设定了一个-SystemCheck 参数的计划任务。

Zoom安装包中暗藏加密货币挖矿机  第12张

图 10. -SystemCheck参数的计划任务描述

Zoom安装包中暗藏加密货币挖矿机  第13张

图 11. -SystemCheck计划任务-动作

用计划任务启动helper.exe软件后,就会用-SystemCheck91137 参数传播自己。

Zoom安装包中暗藏加密货币挖矿机  第14张

图 12. helper.exe属性中的命令行中有-SystemCheck91137

为了绕过检测,helper.exe会检查下面的进程是否会运行。除了安全工具外,还有其他帮助检测挖矿活动的监控工具,包括:

· aida64.exe

· AnVir.exe

· anvir64.exe

· GPU-Z.exe

· HWiNFO32.exe

· HWiNFO64.exe

· i7RealTempGT.exe

· OpenHardwareMonitor.exe

· pchunter64.exe

· perfmon.exe

· ProcessHacker.exe

· ProcessLasso.exe

· procexp.exe

· procexp64.exe

· RealTemp.exe

· RealTempGT.exe

· speedfan.exe

· SystemExplorer.exe

· taskmgr.exe

· VirusTotalUpload2.exe

然后会传播Tor二进制文件来开始加密货币挖矿。

Zoom安装包中暗藏加密货币挖矿机  第15张

图 13. helper.exe传播tor二进制文件

安全建议

快速从线下办公转为线上办公带来了许多的安全威胁,为此要确保采取适当的措施来确保远程办公的安全。也存在着攻击者滥用远程会议有用传播恶意软件的威胁。研究人员建议用户安装软件时从应用的官方网站下载来避免下载到恶意软件。远程办公时遵循安全最佳实践,此外还需要采用分层保护方法来确保安全。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/zoomed-in-a-look-into-a-coinminer-bundled-with-zoom-installer/