灰熊矿业？BearMiner的创业之路

2024-01-11 16:16:36 4HOU_新闻来源：ZONE.CI 全球网 0 阅读模式

深信服安全专家近期通过深信服安全感知和终端检测响应平台，结合深信服安全云脑的威胁情报信息，追踪发现了一种新型的挖矿病毒，目前主机感染量超过10万，我们已将其命名为BearMiner，其中文代号为“灰熊矿业”。中毒主机多表现为异常卡顿，严重影响主机性能和业务正常运行。

这是一个有趣的挖矿病毒，不走寻常路。其挖矿思路采用了特殊的手段且相对隐蔽，能绕过当前主流的杀毒软件，目前已潜伏多个月。

其运用的手段包括伪装、加密混淆、自我修改、大文件、可控等。

0x01 矿业集团的“组织结构”

此次攻击，或者说这个“矿业集团的组织结构”，是经过精心构思的，涉及的病毒模块多，关系相对复杂，大体简化为如下结构。

图片1.png

Imaging.exe是病毒母体，主要有自我修改、主功能、进程监控、通信四大模块。自我修改模块负责读取程序自身文件然后在其后面加上大量垃圾信息并包含随机数，所以通过MD5对比无法查杀。进程监控模块负责监控进程，在必要时杀死指定进程。主功能模块负责调度各个模块，通过与通信模块配合，完成从云端到本地的命令下发与执行。

Sadats.dll是通过云端下载得到的文件，被Imaging.exe所加载，负责释放并执行挖矿程序Setring.exe。

Hxxp://miner.gsbean.com/upload/Sadats.jpg并不是一个jpg图片文件，而是一个加密的携带命令信息的文件，某种意义上，就是C&C通道，是这一矿业集团的指挥中心。Imaging.exe是一个机器人，由Sadats.jpg决定它该做什么、怎么做。

Hxxp://80.255.3.69/upload/Usdata.txt，同理的，也不是一个txt文本文件，是一个加密了的携带挖矿二进制代码的文件。

云端的Sadats.jpg和Usdata.txt配合完成了挖矿动作，当然，最终是体现在下载并释放到本地Sadats.dll和Setring.exe上。

某种意义上，云端的Sadats.jpg和Usdata.txt完全可以轻而易举，摇身一变，从“矿业集团”变成“勒索团伙”（勒索病毒）。

Setring.exe运行了多个线程进行挖矿，CPU占有率达75%。

图片2.png

Setring.exe挖矿文件被释放在C:\Program Files (x86)\Microsoft MSBuild\Setring.exe，可以看到，这个病毒特意伪装成为了NVIDIA的文件（显卡市场覆盖极广的英伟达公司），图标也是英伟达官方图标。

图片3.png

运行指令如下：

图片14.png

0x02 创业，先取一个牛逼名字

这是一个大众创业、万众创新的时代，创业首先得取一个牛X的名字。

BearMiner也不例外，其病毒作者，或者说“创始人”，已将其命名为“灰熊矿业”（这也是我们将此病毒命名为BearMiner的原因）。从这里，我们可以推断出，这应该是国内黑客组织做的。

猜测作者（或者这个组织）应该是一个（或一群）有趣而严谨的人，命名有趣，且严格按照软件开发标准，标注了版本。

图片4.png

注：IDA载入程序，发现有pdb信息，从路径可以看到作者将此病毒命名为“灰熊矿业程序9.0”。

从这里，我们可以看到，“灰熊矿业”已经继承到了“第九代”了。

图片5.png

0x03 如何产生稳定收益？

灰熊矿业要产生稳定收益，首先第一要务，就是要有“低识别率”。最好，能骗过普通用户，能给安全分析人员产生干扰，能骗过杀毒引擎，最最重要的是，能不被杀毒引擎们上传到云端分析。如何做到这一点呢？文件足够大，不就解决了吗？正常情况下，一个大文件，是不敢随意上传的，毕竟涉及到网络带宽、客户隐私等众多问题。简单点说，就是上传一个大文件，“动作”太大，会溅起大浪花。

另外，就是要做到可控，随时可撤换，土匪和良民可自由切换。然后呢？最好，文件可变，不会因为MD5而被全局通杀。

以上几点，概括起来，就是运用了如下几个手段：伪装、加密混淆、自我修改、大文件、可控。

图片6.png