|木马潜藏下载站,当心电脑沦为挖矿“黑劳工”
随着挖取比特币成本的大幅提升 , 门罗币成为新趋势 , 引诱来不少唯利是图的黑产团伙 。 近期 , 360安全大脑监测发现 , 一个活跃于2018年的加密货币挖矿组织Tor2Mine已按捺不住 , 带着野心卷土重来 , 通过大肆传播挖矿木马程序等手段控制大量设备 , 组织开展门罗币挖矿活动 。
从360安全大脑监测数据来看 , Tor2Mine极其擅长伪装 , 用户浑然不知便沦为挖矿“黑劳工” , 俄罗斯、土耳其、西班牙、埃及等多国已遭殃 。 不过 , 广大用户不必太过担心 , 在360安全大脑的极智赋能下 , 360安全卫士已可强力拦截查杀Tor2Mine组织挖矿木马 , 保护广大用户网络安全 。
下载站成“藏毒站” , 点开运行有“惊喜”
据360安全大脑监测显示 , 此次Tor2Mine便从“人心”入手 , 将包含木马病毒的母体程序潜藏于某些下载站 , 利用已有的用户信任 ,骗取下载运行 , 这相当于毫无戒备之下亲自开启“被盗”模式 。
本文插图
(从某些下载站下载运行的木马母体程序)
“开工”后 , Tor2Mine的野心凸显 , 挖矿木马迅速通过创建计划任务的方式常驻并占用用户电脑 , 但这并不是故事的“结局” , 其还会进行横向渗透传播 , 真可谓是欲壑难填 。
本文插图
(木马母体程序运行后 , 通过计划任务等方式常驻被感染机器)
经360安全大脑深入分析 , 发现其入侵后进行“敛财”的手段主要分为以下几步:
第一步:绕过杀软 , 清理“拦路虎”
入侵用户电脑后 , 该挖矿木马会运行一段powershell代码作为XMRigCC挖矿程序加载器 , 这一操作首先能判断当前进程权限是否属于管理员组 , 并根据权限的不同 , 进一步判断是否采取关闭杀软以及创建挖矿相关服务 。
本文插图
(Tor2Mine权限判断与首选项)
如果拥有管理员组权限 , 木马加载器将挖矿程序的执行路径添加为Windows Defender计划扫描和实时扫描的排除文件路径 , 并关闭Windows Defender , sophos , Hitman杀软进程 。
本文插图
(Tor2Mine对抗杀软)
当然 , 这波操作还会设置PowerShell首选项以忽略警告和错误继续静默执行 , 使其“行动轨迹”更为隐蔽 , 才能放肆“大干一场” 。
第二步:创建计划任务和服务 , 备齐“挖矿工具”
木马加载器会先尝试清理原本可能存在的旧服务以及挖矿程序 , 随后下载替换原本的java.exe/javaw.exe作为挖矿主体 , 该程序作为XMRigCC的变体 , 与门罗币(XMR)采矿池“eu.minerpool.pw:443”进行通信 。
接着 , 木马加载器还会创建多个计划任务及服务 , 皆用于运行挖矿程序java.exe/javaw.exe , 并通过tor2web服务与暗网服务器通信 , 就这样 , 用户悄无声息沦为挖矿肉鸡 。
本文插图
(Tor2Mine创建的计划任务与服务名)
本文插图
(图门罗币矿池地址以及登录名等信息)
第三步: 反 监控与横向渗透 , 可放肆“敛财”
注册完用于挖矿的计划任务后 , 该挖矿木马将从服务器下载del.ps1尝试关闭taskmgr'', ''perfmon'', ''SystemExplorer'', ''taskman'', ''ProcessHacker'', ''procexp64'', ''procexp'', ''Procmon'', ''Daphne''等监控软件的进程;下载ichigo-lite.ps1用于通过github开源项目调用Invoke-PowerDump(获取管理员权限) , Invoke-WMIExec , Invoke-TheHash(WMI横向移动) , 从而达到横向渗透再次加载运行自己的目的 。
推荐阅读
- 互联网|COMPFun:利用HTTP状态码进行控制的木马
- 互联网|木马程序借助“游民星空”等下载站再次传播 可云控投放恶意模块
- 木马照相机|微云台到底有多厉害?vivo X50系列被誉为Vlog神器!夜景拍摄最佳!
- 木马照相机|魅族最令人害怕的功能,摸一下就会被拍?修机师傅:我是真的慌!