史上最能窮折騰的挖礦木馬“520Miner”
責編:gltian |2018-05-10 14:33:540x1 概述
數字加密貨幣誕生至今已9個年頭,已累計發行幣種超過1600款,而挖礦木馬偏愛的幣種并不多,主要原因除了大多數是空氣幣,不值得病毒作者去浪費電,另一個原因是很多數字加密貨幣在普通PC機上無法挖礦,需要使用專業礦機,如大家熟知的比特幣,需專業的ASIC礦機挖掘。
近日,騰訊御見威脅情報中心感知到一款專門挖取VIT幣的木馬,VIT英文全稱Viralium Coin,中文稱“維特活力幣”,不同于使用CryptoBight算法的數字加密貨幣,VIT僅能使用CPU挖礦。
注:這個“維特活力幣”的縮寫VIT,跟著名成人雜志《花花公子》發行的數字加密幣同名,但二者并不是一回事。
520Miner挖礦木馬不再挑剔電腦硬件,只要有CPU就能挖礦,也就是說所有個人PC機都能參與,即使沒有高配顯卡也沒問題。
騰訊御見威脅情報中心通過對520Miner礦工木馬投放團隊的追蹤,發現該團隊已玩幣上癮:從最初的古玩幣,升級到VIT虛擬幣(維特活力幣),520Miner挖礦團伙主要利用游戲外掛傳播挖礦木馬,監測數據表明,該挖礦木馬雖然上線沒幾天,但其影響范圍快速攀升,已影響數千臺機器。
0x2 詳細分析
目前發現520Miner挖礦木馬主要藏在毀滅者2游戲輔助中傳播,從文件名來看,輔助已經更新至v5.5版本,也是從該版本被植入挖礦木馬。
壓縮包中d3dcompiler_43.dll屬輔助的功能模塊,負責注入游戲進程,實現輔助功能,程序名及版本信息偽裝成系統D3D文件:
d3dcompiler_43.dll內置PE包含關系圖:
同時,該dll也對外導出挖礦接口wk
輔助啟動后會調用wk接口,會釋放RtkNGUI32.exe到temp目錄,RtkNGUI32.exe內置在dll中,負責投放礦機
RtkNGUI32.exe屬于自解壓格式,包含了礦機的啟動腳本以及礦機程序,這些文件被釋放到c:\windows\debug\wk\目錄下
輔助每次啟動會釋放520.vbs,vbs負責啟動礦機,因此木馬取名“520Miner”。
x.vbs被注冊為一個wmi啟動程序,負責復活挖礦木馬,提升木馬存活概率。
USB64.exe屬于礦機程序,礦機基于cpuminer 1.3.4開源礦機
0x3?溯源分析
在外掛的使用說明中留下了作者的社交號碼
通過搜索可知,投放挖礦木馬的是廣州天河區一個古玩交易團伙。
木馬投放者社交帳號資料:
團伙其他成員:
木馬使用的礦池:stratum+tcp://hash4.life:3233
錢包地址:VCgn4byJQeqqofCDjBkT3qCtQ8DiXCRsw1
從收益來看,木馬總共挖取67枚,都是近幾天挖到的。這67枚VIT幣值多少錢呢?騰訊安全專家幫病毒作者算了下,不到一毛錢人民幣。你沒看錯,是真的,這個520Miner挖礦木馬,感染了幾千臺計算機,折騰好幾天,一共還沒掙到一毛錢人民幣。
沒有對比就沒有傷害,再回頭看挖礦木馬PhotoMiner,PhotoMiner木馬感染肉雞電腦挖門羅幣,兩年時間賺了8900萬人民幣。
0x4 安全建議
在游戲外掛(輔助程序)中植入挖礦木馬已經屢見不鮮,這類木馬利用玩家的高配置電腦挖取加密貨幣,已然成為不法分子挖礦的新方式。
針對日益猖獗的不法挖礦行為,騰訊電腦管家推出“反挖礦防護”功能,可對此類挖礦木馬進行全面攔截。目前該防護功能已覆蓋電腦管家全版本用戶,為用戶攔截并預警各類挖礦木馬程序和含有挖礦js腳本網頁的運行,確保用戶電腦資源不被侵占,擁有輕快的上網體驗。
相關鏈接:
《絕地求生》輔助程序暗藏挖礦木馬 http://www.freebuf.com/news/158892.html
上百款《荒野行動》游戲輔助被植入挖礦木馬 http://www.freebuf.com/column/164354.html
0x5 IOCs:
Md5:
be1800ea8228a09845bac7f541b14862
5cab23efe86356cb54bfb14f3148ba21
93e0bd3f0206e55124efcec0db8dccc1
78e5caa34f248ff7ce79060195062788
錢包地址:
VCgn4byJQeqqofCDjBkT3qCtQ8DiXCRsw1
騰訊御見威脅情報中心向您推薦以下方案防御可能的安全威脅:
御界高級威脅檢測系統
——可高效檢測未知威脅,并通過對企業內外網邊界處網絡流量的分析,感知漏洞的利用和攻擊。
御界防APT郵件網關
——可迅速識別APT攻擊郵件、釣魚郵件、病毒木馬附件、漏洞利用附件等威脅
御點終端安全管理系統
——可有效防御針對企業內網終端的病毒木馬攻擊。具備終端殺毒統一管控、修復漏洞統一管控,防御策略統一管控等安全管理功能
御知網絡空間風險雷達
——對企業的網絡設備及應用服務的可用性、安全性與合規性進行定期的安全掃描,持續性風險預警和漏洞檢測,并且為企業提供專業的修復建議, 保障企業免受財產損失。
御見智能態勢感知平臺
——基于對設備、網絡和環境的持續、深層的監控、分析來構建融合了防御、檢測、響應溯源和預測的全生命周期威脅應對機制,通過可視化告知用戶、引導用戶進行威脅處置和后續的主動防御。
更多騰訊企業安全解決方案的相關資料,或申請產品試用,可聯系騰訊安全專家饒帥(raymondrao#tencent.com,郵件請將#替換為@)
騰訊御見威脅情報中心誠邀各路英豪加盟,一起為捍衛國家網絡安全貢獻力量。