近年来,依仗门罗币更好的隐藏机制和挖矿算法等优势,层出不穷的挖矿木马可以更轻松的进行“潜伏”作恶,构建出堪称币圈的“隐秘的角落”,让无数币友恨不能亲自与背后黑手“一起去爬山”。近日,360安全大脑就监测到一款XMRig门罗币变体矿工,以伪装系统WMI服务的形式,自2018年起至今,已让全球多国接连“中招沦陷”。
该挖矿木马不仅安装程序的感染路径十分隐蔽,持久化手段也同样复杂多端,让普通用户根本防不胜防;而在木马bat脚本下载到宿主电脑的恶意文件中,就连配合挖矿程序读写MSR寄存器的WinRing0x64.sys,和转化powershell脚本为windows平台可执行文件的开源文件ps2exe等也都一一在列,这意味着一旦电脑不幸中招,想要“脱身”简直难上加难。
目前,在360安全大脑的极智赋能下,360安全卫士可有效拦截查杀该挖矿木马,建议广大用户尽快下载最新版360安全卫士,全面保障个人隐私及财产安全。
藏身“隐秘的角落”
挖矿不离“三板斧”
据360安全大脑监测显示,该挖矿木马通过捆绑下载器进行传播,其首先调用cmd进程运行font.bat脚本,从服务器上下载一个改编自开源的门罗币矿工bat安装脚本的,随机名临时文件tmpxxxx.tmp.bat,然后调用powershell运行该脚本安装矿机,最终实现常驻于宿主电脑。
经深度分析后,360安全大脑重现了该挖矿木马猖獗作恶的“三板斧”:
一板斧:安装脚本避影匿形,一经开启“反客为主”
该脚本改编自开源的门罗币矿工安装脚本,主要功能为下载木马作者在github上存放的挖矿程序,并进行安装。
下载到挖矿文件压缩包以及解压工具后,脚本自解压文件到"%SYSTEMROOT%\SysWOW64\WMIScriptingAPI"目录下,并设置木马文件属性为系统文件属性和隐藏文件属性,来尽可能隐藏自己,并添加名为compiler的注册表服务项,将windows服务注册工具nssm注册为服务,再以参数的形式,由nssm调用起挖矿程序WMIProviderHost,从而达到挖矿木马长驻宿主电脑的目的。
二板斧:挖矿程序暗度陈仓,完美掩护“敛财”行径
木马的挖矿主体为"%SYSTEMROOT%\SysWOW64\WMIScriptingAPI"目录下的WMIProviderHost.exe,该程序将文件信息描述为系统文件(WMIProviderHost)企图迷惑宿主,实际上却是一个霸占用户电脑资源的XMRig门罗币挖矿木马,该木马会读取同目录下的矿池配置文件srnany.exe进行挖矿。
通过查询配置文件中的钱包地址,可以看到在当前被感染的电脑总算力下,该钱包的日收益为0.2258XMR/14.71美元。
三板斧:待利用文件“多重保险”,熟操多样作恶手段
在木马作者放置在github上的挖矿文件解压缩文件中,还可以看到NSIS矿工安装程序工具nssy.exe,windows服务注册工具nssm.exe,并且可以看到一些该作者后续准备利用的工具,例如系统文件WinRing0x64.sys及其配置文件(对应的木马解压缩文件名为Sroany.exe及Srmany.exe),该文件可被白利用于内核层访问cpu msr寄存器、直接访问内存、访问io pci设备等,以及转化powershell脚本为windows平台可执行文件的开源文件ps2exe(对应的木马解压缩文件为Process1.exe)。
全球多国皆位“中招之列”
360安全大脑防控成果斐然
值得注意的是,360安全大脑分析统计后发现,该挖矿木马感染范围十分广泛。自2018年起至今,全球几十个国家皆位于“中招之列”。
同时,近半年来,该挖矿木马呈现出稳中有升的增长趋势。因此,对于广大用户来说,安全防范切不可轻易忽视。
不过广大用户无需过分担心,在360安全大脑的极智赋能下,360安全卫士目前已可有效拦截查杀该类挖矿木马。为全面保障广大用户的个人隐私及财产安全,净化网络环境,360安全大脑给出以下几点安全建议:
1、前往weishi.360.cn,下载安装360安全卫士,对此类挖矿木马威胁进行有效拦截查杀;
2、提高安全意识,建议从正规渠道下载软件,如官方网站或360软件管家等。
