WebCobra恶意软件分析

McAfee安全研究人员发现一款新的俄罗斯恶意软件WebCobra，该恶意软件可以使用受害者机器的计算能力来进行加密货币挖矿活动。

加密货币挖矿恶意软件很难检测。因为一旦机器被黑，恶意APP就会在后台运行，唯一的暗示就是性能降级。随着恶意软件消耗的计算力越来越多，机器运行速度就会变慢。

研究人员最近发现一款俄罗斯的应用程序WebCobra，会静默地释放和安装Cryptonight加密货币挖矿机或Claymore的Zcash挖矿机。主要感染的区域有巴西、南非和美国。

该加密货币挖矿恶意软件与其他加密货币软件不同的是会根据受感染的机器配置不同释放不同类型的挖矿机。

恶意软件行为分析

主dropper是一个Microsoft安装器，会检查运行环境。在x86系统中，恶意软件会将Cryptonight挖矿机代码注入到运行的进程中，并启动进程监控器。在x64系统中，会检查GPU配置并从远程服务器下载和执行Zcash挖矿机。

图3: WebCobra安装窗口

 

启动后，恶意软件会用下面的命令释放和解压一个密码保护的Cabinet文件：

图4: 解压释放的文件的命令

 

CAB文件含有两个文件：

- LOC: 解密data.bin的DLL文件

- bin: 含有加密的恶意payload

 

CAB文件会用下面的脚本来执行ERDNT.LOC：

图5: 加载ERDNT.LOC  DLL文件的脚本

 

ERDNT.LOC会解密data.bin并传递执行流到该路径： [PlainText_Byte] = (([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E

 

 图6: 解密路径

 

程序会检查运行环节来启动适当的挖矿机，如下图所示：

 

 图7: 根据系统配置启动适当的挖矿机

 

data.bin解密和执行后，会尝试一些反调试、反模拟、反沙箱技术以及检查是否有其他安全产品运行。这些步骤可以使恶意软件潜伏的时间更长。

大多数安全产品都使用hook API来监控恶意软件行为。为了避免被这类技术发现，WebCobra以数据文件的形式在内存中加载ntdll.dll和use***.dll，然后覆写这些函数的前8个字节，这是用来unhook API的。

- unhooked ntdll.dll APIs

- LdrLoadDll

- ZwWriteVirtualMemory

- ZwResumeThread

- ZwQueryInformationProcess

- ZwOpenSemaphore

- ZwOpenMutant

- ZwOpenEvent

- ZwMapViewOfSection

- ZwCreateUserProcess

- ZwCreateSemaphore

- ZwCreateMutant

- ZwCreateEvent

- RtlQueryEnvironmentVariable

- RtlDecompressBuffer

- unhooked use***.dll APIs

- SetWindowsHookExW

- SetWindowsHookExA

 

感染x86系统

恶意软件会注入恶意代码到svchost.exe，并用无限循环来检查所有打开的窗口来比较每个窗口的标题文本。这是WebCobra使用的另外一个检查技术来确定是否运行在用于恶意软件分析的隔离环境中。

- adw

- emsi

- avz

- farbar

- glax

- delfix

- rogue

- exe

- asw_av_popup_wndclass

- snxhk_border_mywnd

- AvastCefWindow

- AlertWindow

- UnHackMe

- eset

- hacker

- AnVir

- Rogue

- uVS

- malware

 

如果有以上字符串在标题栏中出现，就终止打开的窗口。

 

图8: 如果窗口标题栏中含有特定字符串就终止该进程

 

进程监控执行后，就会用挖矿机的配置创建一个svchost.exe实例，并注入Cryptonight挖矿机代码。

图9: 创建svchost.exe实例并执行Cryptonight挖矿机

 

最后，恶意软件会恢复挖矿机进程，并消耗所有CPU资源。

 

 

图10: 被Cryptonight挖矿机感染的x86机器

 

感染x64系统

恶意软件如果发现有wireshark运行就终止感染过程。

 

图11:检查wireshark

 

恶意软件会检查GPU的品牌和模式。如果安装了以下GPU才会运行：

- Radeon

- Nvidia

- Asus

 

 

图12:检查GPU mode

 

如果检查成功，恶意软件会创建一个含有隐藏属性的文件夹，并从远程服务器下载和执行Claymore的Zcash挖矿机。创建的文件夹为：C:\Users\AppData\Local\WIX Toolset 11.2

图13: 下载 laymore Zcash挖矿机的请求

 

图14: Claymore挖矿机

 

图15: 用配置文件执行挖矿机

 

最后在%temp%\–xxxxx.cMD中释放一个batch文件来删除[WindowsFolder]\{DE03ECBA-2A77-438C-8243-0AF592BDBB20}\*.*.的dropper

 

图16: 删除dropper的batch文件

 

挖矿机配置文件如下：

 

图17: Cryptonight的配置文件

 

配置文件含有：

The mining pool: 5.149.254.170

Username: 49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C

Password: soft-net

 

 

图18: Claymore Zcash挖矿机配置文件

 

配置文件含有：

The mining pool: eu.zec.slushpool.com

Username: pavelcom.nln

Password: zzz

 

 

MITRE攻击技术一览

- 通过命令和控制信道窃取数据

- 命令行接口

- Hook

- 本地系统的数据

- 文件和目录发现

- 查询注册表

- 系统时间发现

- 进程注入

- 数据加密

- 多层加密

- 文件删除

- 数据混淆

 

IoC

IP addresses

•      149.249.13:2224

•      149.254.170:2223

•      31.92.212

 

Domains

•      fee.xmrig.com

•      fee.xmrig.com

•      ru

•      zec.slushpool.com

 

 

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/webcobra-malware-uses-victims-computers-to-mine-cryptocurrency/

本文作者：ang010ela

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/81914.html