checkpoint揭露了一个传播恶意挖矿软件的团伙

2024-01-15 16:47:12 4HOU_新闻来源：ZONE.CI 全球网 0 阅读模式

360截图16650221105112113.jpg

随着挖矿趋势的盛行和加密货币市场的崛起，Check Point就一直在密切关注挖矿活动。近期，研究人员偶然发现了几个具有类似特征且高度活跃的门罗币钱包。随着样本收集越来越多，研究人员怀疑它们之间有某种联系，根据这个怀疑研究人员找到了使用该钱包的挖矿活动的痕迹。

果不其然，这些挖矿攻击所用的软件都是由一个恶意团伙操纵的，因为在调查中，这个恶意团伙的代号在可疑的情况下出现过很多次。在研究人员开始深入挖掘时，研究人员惊奇地发现，这是一个传播恶意挖矿软件的大型团伙，且其开发的产品通过各种平台销售出去，产品也经过了很多次的迭代。

钱包

研究人员总共发现了17个不同的钱包，它们使用相同的挖矿池（nanopool.org）并且具有相似的挖矿作业ID。在Nanopool的挖掘作业中，挖矿软件是可选的，在不同钱包中使用相同的三位数名称并不是巧合。

研究人员根据来自Nanopool网站的钱包统计数据做了一个粗略的估计，除了向Nanopool缴纳的128门罗币费用外，每个钱包每个月产生37.4门罗币。

如果研究人员考虑每个钱包的最大哈希速率，则这些挖矿操作每秒会产生592000次的哈希量。由于普通PC每秒产生大约100次哈希，这意味着每秒大约有6000台被感染的设备在为其进行挖矿服务。

其中一个加密钱包的运行时间和哈希率

上图显示了与挖矿活动相关的其中一个钱包，通过上图，研究人员可以发现，哈希率每天从凌晨2点到第二天下午3点达到峰值。这与UTC + 5时区（印度时区）的工作时间相关，并与研究人员自己的统计数据相匹配，因为研究人员后来看到大部分流量来自印度。

哈希率的地理分布图

挖矿软件

在过去的几个月里，研究人员分析了以前在野外的钱包，通过这些钱包，他们似乎找到了挖矿软件的蛛丝马迹。这些挖矿软件在过去的几个月里就开始了频繁地挖矿，且每天都有新的样品被传送到VirusTotal（一个提供免费的可疑文件分析服务的网站）。

挖矿软件的早期版本似乎还很不成熟，都是带有实验性的，并且随机的PDB没有被删除，例如：

C:\Work\qqq\Release\random.pdb
C:\Work\blank\Release\blank.pdb

该版本显然已被更名为“xmrig_console_explorer”，如以下PDB格式的更新样本所示：

C:\Work\Xmrig_console_explorer4\Release\random.pdb
C:\Work\Xmrig_console_explorer3\Release\corsa.pdb
C:\Work\Xmrig_console_explorer2\Release\aivengo.pdb
C:\Work\Xmrig_console_explorer\Release\bdbjdfbvbd.pdb

一开始，这些样本使用的是Claymore的CryptoNote Windows CPU Miner，它是从S3存储桶（(hxxp://s3-us-west-2.amazonaws[.]com/zminer/NsCpuCNMiner

32.exe）下载的。随着挖矿活动的成熟，它开始从以下位置下载Monero CPU Miner（XMRig.exe）：hxxp://s3-us-west-2.amazonaws[.]com/upperservice/xmrig.exe。

至于他们的C＆C通信，早期的版本是通过hxxp://www.osdsoft[.]com/random/visit.php联系的。另外，较新的联系人会联系解析为相同IP地址的不同C＆C域（34.211.137[.]44），并且具有相似的名称（ztracker或xtracker）。

C＆C通信

新C＆C域的HTTP请求标头始终具有相同的用户代理（“qwert”），即使这些域不断更改，用户代理也不会变。

在研究人员查阅了这些网站的whois信息后，研究人员发现新老用户均以Ivan Kozlov的名字注册，并且电子邮件地址为osdsoft@gmail[.]。

C＆C WhoIs信息

OSDSoft

Ivan Kozlov这个名字首先与一个名为OSDSoft[.]的网站相关联，这个网站的目的是提供免费的视频下载软件。下图显示了该网站在Facebook和Youtube帐户上，推广其产品的广告截图。

OSDSoft的YouTube视频截图

直到2014年，该网站的主页仍然可以访问，并且该软件仍然可以从中下载。然而，在随后的几年中，可疑的可执行文件开始与OSDSoft相关联。

2017年，就在挖矿活动刚刚开始盛行的时候，ztracker[.]club和xtracker[.]club也以Ivan Kozlov的名义注册，且有数十个挖矿软件样本已被发现。

利用PUP进行传播

在OSDSoft被用来进行挖矿之前的时间里，它一直在用于传播可能不需要的程序（PUP），PUP被伪装成合法的服务并且具有诸如“WindowsUpdater”或“AdvancedPCCareSetup”之类的迷惑名称。

尽管名称看起来都很正常，但将这些文件上传到Check Point SandBlast（Check Point自己开发的虚拟攻击沙盒），就会发现这些可执行文件和其下载程序是隐身的，并在运行之前对虚拟机，分析工具和杀毒软件执行环境检查。除此之外，它们还会通过联系ip-api[.]com，对正在运行的系统进行指纹识别并找出其地理定位。

PUP逃避检测的示例

PUP基于被感染计算机所在国家或地区下载不同的额外程序。例如，在俄罗斯受感染的计算机执行这些文件后，又会接着安装Mailru，YoutubeAdblockE，Zcash，Monero，PCCleanPlus和其他几个PUP。

攻击者会通过检查“bundles.xml”来确定要下载哪些程序，所在国家和相应程序的列表，可以从OSDSoft或研究人员之前看到的S3存储桶下载hxxp:// S3 -us-west-2.amazonaws[. com/ com/ com/ bundles.xml。

该列表包含一系列默认情况下下载的程序，这些程序是不分国家或地区。

默认情况下从PUP下载的程序列表

PUP下载程序会有一个包含将近60个可执行文件和URL的下载列表，其中大部分可执行文件都在VirusTotal中具有较高的利用率，研究表明，它们可能是按安装量进行付费的传播模式。

传播模式

由于挖矿软件的C＆C域名并不是攻击者注册的唯一域名，还可能有更多的其他域名，例如名为Ivan Kozlov的flash2update[.]xyz, flashdownload[.]club和flashplayers[.]club。

在整个感染过程中，攻击者先将受害者重定向到提供Flash Player更新的伪装网站，之后，这些伪装的Flash Player更新网站会使用CoinHive（一个提供恶意JS脚本的网站平台）通过浏览器开始挖矿。如果受害者点击伪装Flash页面上的任何位置都会下载挖矿软件。

伪装Flash Player的更新页面

Flash网站中出现的模式（/click[.]php?camp_id=[camp_id]&key=[key]）以及C＆C的HTTP GET请求格式（/click.php?cnv_id=[cnv_id]），会引导研究人员从binom.org导入一个名为Binom的高度活跃的TDS服务器。

目前研究人员已经看到了多达12个具有不同ID的TDS，其中一些涉及OSDSoft的挖矿软件，Graftor木马和Affiliate Program的变体，Affiliate Program是一种国外流行的互联网营销模式，也称为分销联盟计划、联署营销计划、网站联盟等，英文名称也很多，如affiliateprogram，referral program，associate program，profit sharing program，partners program等。