又见门罗币挖矿病毒！这次用上了“冷注入”技术

在2018年，加密货币的价格曾一度下跌，但在今年似乎再次触底反弹。随着加密货币的价值价格再次增长，我们观察到今年的恶意加密货币挖矿活动数量也随之增加，特别是涉及到门罗币的挖掘。

最近，我们发现了一种新型加密货币挖矿病毒，它使用了“冷注入”技术和一个dropper组件，结果是不会留下任何痕迹，使得恶意加密货币挖矿活动很难被发现。

在上个月初，与之相关的活动开始增多。在11月20日，我们的遥测数据显示，在科威特、泰国、印度、孟加拉国、阿联酋、巴西和巴基斯坦，感染尝试最多。

什么是“冷注入”技术？

冷注入，英文名“Process Hollowing”，是一种古老的代码注入技术。一般来说，使用Process Hollowing技术所创建出来的进程在使用任务管理器之类的工具进行查看时，它们看起来是正常的，但是这种进程中所包含的代码实际上是恶意代码。

这种技术可以对运行中的进程进行动态修改，并且整个过程既不用挂起进程，也不需要调用额外的Windows API，即无需调用WriteProcessMemory、QueueUserApc、CreateRemoteThread和SetThreadContext。

新型加密货币挖矿病毒的感染链

dropper是64位二进制文件，其中包含有打包的恶意代码。我们发现，这个可执行文件会检查传递给它的参数，并在解压时对其进行验证。

又见门罗币挖矿病毒！这次用上了“冷注入”技术

图1.解压后的64位二进制文件

解密分为两个阶段：第一个阶段，对参数的字母数字字符执行特定的算术运算（这里的样本参数为“vTMsx7t7MZ==”）。

又见门罗币挖矿病毒！这次用上了“冷注入”技术

图2.对字母数字字符执行算术运算

得到的字符串是“eGNhc2g2NA==”，解密过程包含来自参数的大量信息，包括用来触发恶意文件和执行加密货币挖矿活动的加密货币钱包地址：

xcash64

–donate-level 1 -o –0– -u XCA1nwsQ2hUe8GLawiqdCQbLe5FJjLXUCaQ48bLaZNdkiifhNyDDWi9ZQxhdWWVbfP5pizGtFar6jHoUx7cteUqo5DBsLe71Vg -p meer_m -a cn/double –k

以下是释放文件的文件名：

uakecobs.exe

uakecobse.exe

dakecobs.exe

dakecobse.exe

wakecobs.exe

rakecobs.exe

除了需要特定参数外，dropper还混淆了将用于恶意操作的函数名。

又见门罗币挖矿病毒！这次用上了“冷注入”技术

图3.经混淆处理的字符串（部分）

在使用正确的参数执行后，dropper就会释放和执行wakecobs.exe（将在挂起状态下创建的子进程），其内存将会被解除映射，然后dropper会将恶意代码注入其中，门罗币挖矿病毒将在后台运行。

结论

总的来说，今年的恶意加密货币挖矿活动数量整体较往年有所减少，但这并不意味着网络犯罪分子已经放弃了这一领域。

此次发现的加密货币挖矿病毒dropper可以通过注入恶意代码到释放的文件中，以此来逃避安全检测——释放的文件本身并非一个恶意文件，只有在接收到特定参数时才会触发恶意行为，因此可以绕过黑盒、白盒和沙箱的分析。

除加密货币挖矿病毒外，这样的技术还可以传播其他任何恶意软件。因此，想要避免成为受害者，我们建议企业应采取多层防护方案，以应对可能袭来的各种威胁。

—-

编译者/作者：老男孩88

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。