标签: 门罗币

黑客利用病毒挖门罗币 已获利 60 余万

火绒安全团队截获一批蠕虫病毒。这些病毒通过U盘、移动硬盘等移动介质及网络驱动器传播,入侵电脑后,会远程下载各类病毒模块,以牟取利益。这些被下载的有盗号木马、挖矿病毒等,并且已经获得约645个门罗币(合60余万人民币)。   一、 概述 该病毒早在2014年就已出现,并在国内外不断流窜,国外传播量远超于国内。据”火绒威胁情报系统”监测显示,从2018年开始,该病毒在国内呈现出迅速爆发的威胁态势,并且近期还在不断传播。 火绒工程师发现,该病毒通过可移动存储设备(U盘、移动硬盘等)和网络驱动器等方式进行传播。被该蠕虫病毒感染后,病毒会将移动设备、网络驱动器内的原有文件隐藏起来,并创建了一个与磁盘名称、图标完全相同的快捷方式,诱导用户点击。用户一旦点击,病毒会立即运行。 病毒运行后,首先会通过C&C远程返回的控制命令,将其感染的电脑进行分组,再针对性的获取相应的病毒模块,执行盗号、挖矿等破坏行为。 病毒作者十分谨慎,将蠕虫病毒及其下载的全部病毒模块,都使用了混淆器,很难被安全软件查杀。同时,其下载的挖矿病毒只会在用户电脑空闲时进行挖矿,并且占用CPU资源很低,隐蔽性非常强。 不仅如此,该病毒还会删除被感染设备或网络驱动器根目录中的可疑文件,以保证只有自身会进入用户电脑。由此可见,该病毒以长期占据用户电脑来牟利为目的,日后不排除会远程派发其他恶性病毒(如勒索病毒)的可能。 “火绒安全软件”无需升级即可拦截并查杀该病毒。 二、 样本分析 近期,火绒截获到一批蠕虫病毒样本,该病毒主要通过网络驱动器和可移动存储设备进行传播。该病毒在2014年前后首次出现,起初病毒在海外传播量较大,在国内的感染量十分有限,在进入2018年之后国内感染量迅速上升,逐渐呈现出迅速爆发的威胁态势。该病毒代码执行后,会根据远程C&C服务器返回的控制命令执行指定恶意逻辑,甚至可以直接派发其他病毒代码到本地计算机中进行执行。现阶段,我们发现的被派发的病毒程序包括:挖矿病毒、盗号木马等。病毒恶意代码运行与传播流程图,如下图所示: 病毒恶意代码运行与传播流程图 该病毒所使用的C&C服务器地址众多,且至今仍然在随着样本不断进行更新,我们仅以部分C&C服务器地址为例。如下图所示: C&C服务器地址 该病毒会将自身拷贝到可移动存储设备和网络驱动器中,病毒程序及脚本分别名为DeviceConfigManager.exe和DeviceConfigManager.vbs。被该病毒感染后的目录,如下图所示: 被该病毒感染后的目录(上为可移动存储设备,下为网络驱动器) 火绒截获的蠕虫病毒样本既其下载的其他病毒程序全部均使用了相同的混淆器,此处对其所使用的混淆器进行统一分析,下文中不再赘述。其所使用的混淆器会使用大量无意义字符串或数据调用不同的系统函数,使用此方法达到其混淆目的。混淆器相关代码,如下图所示: 混淆代码 混淆器中使用了大量与上图中类似的垃圾代码,而用于还原加载原始PE镜像数据的关键逻辑代码也被穿插在这些垃圾代码中。还原加载原始PE数据的相关代码,如下图所示: 还原加载原始PE镜像数据的相关代码 上述代码运行完成后,会调用加载原始PE镜像数据的相关的代码逻辑。加载原始PE镜像数据的代码,首先会获取LoadLibrary、GetProcAddress函数地址及当前进程模块基址,之后借此获取其他关键函数地址。解密后的相关代码,如下图所示: 解密后的加载代码 原始PE镜像数据被使用LZO算法(Lempel-Ziv-Oberhumer)进行压缩,经过解压,再对原始PE镜像进行虚拟映射、修复导入表及重定位数据后,即会执行原始恶意代码逻辑。相关代码,如下图所示: 调用解压缩及虚拟映射相关代码 蠕虫病毒 该病毒整体逻辑分为两个部分,分别为传播和后门逻辑。该病毒的传播只针对可移动存储设备和网络驱动器,被感染后的可移动存储设备或网络驱动器根目录中会被释放一组病毒文件,并通过诱导用户点击或利用系统自动播放功能进行启动。蠕虫病毒通过遍历磁盘进行传播的相关逻辑代码,如下图所示: 遍历磁盘传播 被释放的病毒文件及文件描述,如下图所示: 被释放的病毒文件及文件描述 蠕虫病毒会通过在病毒vbs脚本中随机插入垃圾代码方式对抗安全软件查杀,被释放的vbs脚本首先会关闭当前资源管理器窗口,之后打开磁盘根目录下的”_”文件夹,最后执行病毒程序DeviceConfigManager.exe。释放病毒vbs脚本相关逻辑,如下图所示: 释放病毒vbs脚本相关逻辑 除了释放病毒文件外,病毒还会根据扩展名删除磁盘根目录中的可疑文件(删除时会将自身释放的病毒文件排除)。被删除的文件后缀名,如下图所示: 被删除的文件后缀名 病毒在释放文件的同时,还会将根目录下的所有文件全部移动至病毒创建的”_”目录中。除了病毒释放的快捷方式外,其他病毒文件属性均被设置为隐藏,在用户打开被感染的磁盘后,只能看到与磁盘名称、图标完全相同的快捷方式,从而诱骗用户点击。快捷方式指向的文件为DeviceConfigManager.vbs,vbs脚本功能如前文所述。通过这些手段可以使病毒代码执行的同时,尽可能不让用户有所察觉。 被释放的病毒文件列表 蠕虫病毒释放的快捷方式,如下图所示: 蠕虫病毒释放的快捷方式 该病毒的后门逻辑会通过与C&C服务器进行IRC通讯的方式进行,恶意代码会根据当前系统环境将当前受控终端加入到不同的分组中,再通过分组通讯对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括:语言区域信息、当前系统平台版本为x86或x64、当前用户权限等。后门代码中最主要的恶意功能为下载执行远程恶意代码,再借助病毒创建的自启动项,使该病毒可以常驻于用户计算机,且可以向受控终端推送的任意恶意代码进行执行。病毒首先会使用用户的语言区域信息和随机数生成用户ID,之后向C&C服务器发送NICK和USER通讯命令,随机的用户ID会被注册为NICK通讯命令中的名字,该操作用于受控终端上线。相关代码,如下图所示: 受控终端上线相关代码 通过上图我们可以看到,病毒所使用的C&C服务器列表中和IP地址众多,其中很大一部分都为无效域名和地址,主要用于迷惑安全研究人员。在受控端上线后,就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的系统环境将当前受控终端进行分组,分组依据包括:语言区域信息、当前用户权限、系统平台版本信息(x86/x64)。除此之外,病毒还可以利用控制命令通过访问IP查询(http://api.wipmania.com)严格限制下发恶意代码的传播范围。主要控制命令及命令功能描述,如下图所示: 主要控制命令及命令功能描述 主要后门控制相关代码,如下图所示: 后门控制代码 病毒会将远程请求到的恶意代码释放至%temp%目录下进行执行,文件名随机。相关代码,如下图所示: 下载执行远程恶意代码 挖矿病毒 病毒下发的恶意代码众多,我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后,会在电脑运算资源闲置时挖取门罗币,对于普通用户来说其挖矿行为很难被察觉。 在本次火绒所截获到的样本中,我们发现,病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比,如下图所示: 混淆器代码对比图(左为被下发到终端的挖矿病毒、右为蠕虫病毒) 挖矿病毒原始恶意代码运行后,会将病毒自身复制到C:\Users\用户名\AppData\Roaming\svchostx64.exe位置,并创建计划任务每分钟执行一次。病毒会创建互斥量,通过检测互斥量,可以保证系统中的病毒进程实例唯一。之后,病毒会使用挖矿参数启动自身程序,再将挖矿程序(XMRig)PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒行为沙盒中挖矿病毒行为,如下图所示: 挖矿病毒行为 如上图所示,挖矿参数中限制挖矿程序CPU占用率为3%,并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高,如果过高则会重新启动挖矿进程。通过遍历进程检测任务管理器进程(Taskmgr.exe)是否存在,如果存在则会停止挖矿,待任务管理进程退出后继续执行挖矿逻辑。病毒通过上述方法提高了病毒自身的隐蔽性,保证病毒可以尽可能的长时间驻留于被感染的计算机中。相关代码,如下图所示: 挖矿逻辑控制代码 虽然病毒严格控制了挖矿效率,但是由于该病毒感染量较大,总共挖取门罗币约645个,以门罗币当前价格计算,合人民币60余万元。病毒使用的门罗币钱包账户交易信息,如下图所示: 病毒使用的门罗币钱包账户交易信息 三、 附录 文中涉及样本SHA256:   稿源:cnBeta,封面源自网络;

[信息图]企业传统防御方式已跟不上新型网络威胁

最新报告指出诸如勒索软件之类的攻击之所以能够绕过传统的安全解决方案,是因为这些组织往往忽略了补丁、更新或者更迭当前产品和服务的重要性。根据网络安全公司 Webroot 最新的研究报告称:自 2017 年 9 月份以来,已经有超过 5000 家网站被 JavaScript 加密货币矿工 CoinHive  劫持用于挖取 Monero 币。 Webroot首席技术官Hal Lonas说道:“从过去一年的新闻头条中,我们可以明显感觉到攻击者变得越来越有攻击性,且攻击方式更加的灵活。劫持来挖取加密货币的攻击方式已经成为新的威胁,它达到了攻击者的攻击预期:匿名性、易部署性、低风险和高回报。企业需要使用实时威胁情报来检测这种新威胁,并且在形成进一步伤害之前检测到这些恶意行为。” 从调查数据来看Windows 10的安全性几乎是Windows 7的两倍。但是迁移率非常的低,在2017年年底只有32%的企业设备已经升级至更新的操作系统。 此外钓鱼网络攻击也变得更有针对性,开始利用社会工程学和IP掩码方式来提高入侵成功率。平均计算下来,钓鱼网站在线时间只有4-8个小时,意味着它们正在规避传统的反钓鱼策略。 稿源:cnBeta,封面源自网络;

赛门铁克:2017 年 Q4 “加密货币劫持”事件增多85倍

据外媒报道,根据赛门铁克的一份新报告显示,2017 年最后一个季度“ 加密劫持 ”事件上涨了8500%。“ 加密劫持 ”指的是劫持他人计算机进行加密货币挖矿行为。据统计,该类型攻击在去年12月份网络攻击和最后一个季度的所占比例分别达到了 24%、16%,而那个时间段正好是比特币和其他加密货币价格大幅波动的时候。 赛门铁克通过对加密劫持的追踪了解到,其兴起的部分原因则是因为挖矿软件的易操作性、低门槛,它成为了许多人赚钱的途径之一。总体来看,加密劫持在 2017 年的发生数量上涨了 34000%。 报告指出,利用他人电脑 CPU 挖矿比在目标电脑上安装病毒还要容易,甚至可以在用户为电脑打完补丁后仍能进行。去年,Showtime 网站就被曝出利用用户 CPU 挖门罗币。最近,苹果在 Mac App Store 上移除了 Calendar 2(日历2)软件,其也被发现利用用户电脑挖门罗币。 赛门铁克表示,加密劫持让那些毫无防备的受害者的设备运行速度变慢、电池出现过热、寿命变短的情况,而当该类型攻击针对的是大规模目标像企业网络时,其就可能会因为挖矿软件而出现关机的情况,但如果是小规模就没那么容易被发现了。报告写道:“这使得网络犯罪分子在受害者甚至没有意识到自己设备或正在访问的网站存在异常现象的情况下赚钱。” 由于加密劫持现在对于加密货币挖矿者来说仍存在丰厚回报所以其仍可能还是个大问题。除非这些加密货币价格不断下降一直到 2009 年首次出现的那样,那么这些人就会自然消失,因为他们不再有利可图。 稿源:cnBeta,封面源自网络;

此前遭受黑客攻击的日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐

此前遭受黑客攻击的日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐私性的加密货币门罗币(Monero)、达世币(Dash)和 Zcash。据《日本时报》报道,此举可能是应日本金融局(FSA)提出的交易所安全性改善要求。 稿源:新浪科技,封面源自网络;

“洛杉矶时报”也躺枪:网站托管恶意脚本利用访客 CPU 秘密挖掘门罗币

据外媒报道,Bad Packets 报告公司的安全研究员 Troy Mursch 于近日发现,美国第三大报纸 “ 洛杉矶时报 ” 的网页上托管了加密挖掘软件,旨在利用访客的 CPU 挖掘门罗币。 根据 Troy Mursch 的说法,攻击者利用一个不恰当配置的 Amazon Web Services (AWS) S3 云存储桶来访问该网站,并将 Coinhive 软件脚本注入到程序中 。不过奇怪的是,受影响的网页是一个有关凶杀报告的页面,报道了过去 12 个月中在洛杉矶遇害的人。 根据一些数据统计,Coinhive 可能会影响全球四分之一的组织。当用户访问网页时, Coinhive 会对门罗币进行在线挖掘。嵌入的 JavaScript 使用终端用户机器的计算资源来挖掘硬币,从而影响系统性能。虽然 Coinhive 是一个合法的服务,为网站管理员寻找一种可替代广告的盈利模式,但是犯罪分子通常会在网站未知的情况下将 Coinhive 嵌入其中,而某些不道德的网站则会在访客不知情的情况下秘密使用 Coinhive。 在这种模式下,脚本一般被设置为以非最高级别开采,从而消耗较少的计算能力,并可能做到长达两周不被发现 。 AttackIQ 首席营收官 Carl Wright 认为,目前云配置错误事件频出,许多企业的攻击面也大大扩展 ,再加上没有统一的安全控制和流程保证,因此企业更需要攻击者不断测试其安全控制措施是否存在配置错误。如果企业在这个阶段没有持续验证他们的安全控制,那么很可能将会造成惨痛的失败。 消息来源:infosecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英美政府网站被植入恶意软件 电脑被迫挖掘加密货币

据美国科技新闻网站 The Register 报道,包括美国和英国政府机构在内的数千家网站都在周日被一组代码感染了数小时,导致访问受感染网站的电脑秘密地挖掘数字加密货币。The Register 称,共有 4200 多个网站感染了该恶意软件,这款恶意软件是英国软件公司 Texthelp 公司开发的 Browsealoud 工具的恶意版本,这款工具原本的目的是为有视觉问题的人朗读网页内容。 最近一段时间,利用恶意软件感染电脑,使之为黑客挖掘数字货币的网络攻击日益猖獗。随着比特币和其他数字加密货币的交易量暴增,这种攻击模式最近几个月也越来越流行。 The Register 表示,访问受感染网站的电脑会被迫运行专门挖掘“ 门罗币 ”的软件,从而为幕后黑客谋取利益。 美国和英国执法部门以及 Texthelp 发言人均未对此置评。 Texthelp 此前对 The Register 表示,为了制止这一黑客活动,他们已经停用了 Browsealoud,该公司的工程团队也展开了调查。 稿源:cnBeta、新浪科技,封面源自网络;

黑客渗透热门软件下载网站 MacUpdate 分发 Mac 加密货币矿工

外媒 2 月 6 日报道,网络安全公司 SentinelOne 的安全研究员发现,黑客利用热门的软件下载网站 MacUpdate 向 Mac 用户分发一个名为 OSX.CreativeUpdate 的加密货币挖掘矿工,其主要目的是通过劫持用户设备的 CPU,秘密窃取门罗币 。 据研究人员介绍,MacUpdate 网站提供的软件官方下载链接遭到黑客替换,从而导致用户设备受到感染。除此之外,这些假冒链接的域名还做了细微改变,使其看起来合法且令人信服。一旦用户下载安装,合法网站 public.adobecc.com 会被迫使安装一个有效负载,并试图打开原始应用程序的副本作为诱饵来触发恶意软件激活。 目前通过调查发现 Firefox、OnyX 和 Deeper 等应用被黑客替换了下载链接。研究人员认为黑客选择这三个应用程序的原因在于它们都是由 Platypus 开发的。因为 Platypus 开发工具可以从各种脚本(如 shell 或 Python 脚本)中生成完整的 macOS 应用程序,这意味着创建应用程序的门槛并不是很高。 据悉,MacUpdate 方面已针对该事件向用户表示了歉意,并就如何删除恶意软件提供了相关说明。 1、删除 可能已安装的上述应用[ Firefox、Onyx、Deeper ]的任何副本。 2、下载并安装应用的新副本。 3、在 Finder 中,打开主目录的窗口( Cmd-Shift-H )。 4、如果 Library 文件夹没有显示,按住 Option / Alt 键,点击“ Go ” 菜单,选择 “ Library(Cmd-Shift-L)”。 5、向下滚动找到 “ mdworker ” 文件夹(〜/ Library / mdworker /)。 6、删除整个文件夹。 7、向下滚动找到 “ LaunchAgents ” 文件夹(〜/ Library / LaunchAgents /)。 8、从该文件夹删除 “ MacOS.plist ” 和 “ MacOSupdate.plist ”(〜/ Library / LaunchAgents / MacOS.plist 和 〜/ Library / LaunchAgents / MacOSupdate.plist)。 9、清空垃圾。 10、重新启动系统。 MacUpdate  负责人建议用户在下载软件之前检查其是否合法,不要完全相信第三方网站或 Mac App Store 上的星级或评论,因为这些内容可能是伪造的。 消息来源:IBTimes,翻译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

备忘录泄露揭示美国安全局重大机密?门罗币所有者或成下一追踪目标

外媒 2 月 5 日报道,一张网上流转的备忘录照片中揭示了美国陆军网络保护团队(CPT)和美国安全局(NSA)的部分敏感信息:其中包括泄露 Tor、I2P、VPN 用户,开展追踪门罗币的联合项目等。 匿名网络对打击审查和确保言论自由至关重要,因此研究人员对这些追踪活动的意图尤为重视。 研究人员发现,该备忘录明确指出了泄露基于 CryptoNote 的加密货币所面临的困难。 CryptoNote 是在若干分散以及面向隐私的数字货币方案中实现的应用层协议,其要求分配额外的资源来跟踪 Monero(XMR)、Anonymous Electronic Online Coin(AEON)、DarkNet Coin(DNC)、Fantomcoin(FCN)和 Bytecoin(BCN)等匿名加密货币。 美国当局指出, Monero 可能将会成为地下罪犯中的主要加密货币。此外,相关安全专家称美国情报部门还利用内部资源针对区块链开展监视活动。 DeepDotWeb 的研究人员向一些相关人士求证后,认为该备忘录信息很可能是真实的。不过 Tor、I2P 和 VPN 似乎还没有被情报机构完全掌握,虽然攻击者已经提出并实施了揭露用户的技术,但是这些技术对于监测行动并不十分有效。 根据爱德华·斯诺登(Edward Snowden)披露的一份文件显示,美国国家安全局可以根据易受攻击的 VPN 协议(如 PPTP )来屏蔽 VPN 解决方案,但依赖于 OpenVPN 的 VPN 可能不会受到影响。目前还不清楚是谁泄露了备忘录,但人们推测很可能是故意发布的。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

挖矿蠕虫 WannaMine:通过 NSA “永恒之蓝” 漏洞传播高级加密矿工

外媒 2 月1 日报道,安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫,其利用与 NSA 相关的 EternalBlue (“ 永恒之蓝 ” )漏洞进行传播。据研究人员测试,WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统(包括 64 位版本和 Windows Server 2003),并使其设备性能明显下降。 CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响,比如由于如此高的 CPU 利用率,导致矿业公司的系统以及应用程序崩溃。 研究人员经过分析后发现 WannaMine 的恶意代码十分复杂,因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是:WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后,WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。 研究人员注意到,WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据,从而达到横向移动的目的,但如果不能够横向移动的话,WannaMine 将更依赖于 EternalBlue 的利用。 相关报告: <Threat Hunting, the Investigation of Fileless Malware Attacks> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

僵尸网络 Smominru 利用 NSA 泄露漏洞感染 52.6 万多设备挖掘门罗币

据媒体 1 月 31 日报道,“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络,它也被称为 Ismo ,它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称,这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露,据报道,这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实,Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑,每天大约会挖掘 24 个门罗币。到目前为止,据报道,“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币,约合 210 万美元。研究人员说,在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据,网络犯罪分子瞄准的是易受攻击的 Windows 系统,也使用了一种被泄露的 NSA 协议,叫做 EsteemAudit 。 根据 thehackernews.com 网站,专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到,但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样,通过在线广告进行大规模的门罗币挖掘恶意软件攻击,主要是由于有争议的加密货币挖掘和广告平台 cove,影响了全球范围内的大量用户和在线业务,包括 Youtube。 稿源:九个亿财经,封面源自网络;