Sophos研究人员发现有数据库服务器进程(sqlservr.exe)启动下载器可执行文件,下载器将提取一个名称MrbMiner加密货币挖掘机。根据开源情报分析,研究人员发现矿工是由伊朗一家软件开发公司创建和控制的。
Microsoft SQL下载服务器目录运行的可执行文件MrbMiner
研究人员分析发现MrbMiner采用了类似MyKings、Lemon_Duck、Kingminer等待加密货币挖掘机使用的技术实现停留。
研究人员分析发现Microsoft SQL Server进程 (sqlservr.exe)启动一个名字as *** .exe下载木马。as *** .exe程序会从web 服务器下载加密货币挖掘机payload,然后连接到C2服务器报告矿工是否成功下载和执行。
在大多数情况下,payload是一个名为sys.dll虽然文件的后缀是dll,但不是一个Windows DLL该文件包含加密货币挖掘机二进制文件、配置文件及相关文件zip压缩包。
研究人员从GitHub找到一个命名相同的人sys.dll payload。完全有很多Linux加密货币挖掘机版本payload,但其配置文件使用不同的加密货币钱包地址,而不是Windows版本的。
MrbMiner加密货币挖矿机payload包含一个kernel级别设备驱动WinRing0x64.sys和一个名为Windows Update Service.exe挖矿机可执行文件混淆其真实目的。可执行文件是XMRig 挖掘机修改版。
WinRing0x64.sys 文件是一个kernel 驱动程序允许用户应用程序获取ring0 级资源。这样攻击者就可以访问CPU 寄存器也可以直接读写内存。此外,加密货币挖掘机使用驱动器进行修改MSR 禁用寄存器CPU预取器,CPU可以带来预取器6-7性能提升%。2019年12月年12月加入的标准功能XMRig 挖矿机。
不同源域名共享的可疑文件
研究人员在MrbMiner 样本中发现了一个名字sys.dll的zip文件。
进一步分析发现了大量的相关文件和URL。研究人员在挖掘机配置文件中发现了一个硬编码域名——vihansoft.ir。
这个域名和许多含有矿工副本的域名zip文件相关,包括名称agentx.dll 和 hostx.dll这些不同的文件zip文件包含的payload包括Windows Security Service.exe、Windows Host Management.exe、Install Windows Host.exe、Installer Service.exe、Microsoft Media Service.exe和名为linuxservice和 netvhost的Linux ELF可执行文件。
许多相同的文件都是从其他域名下载的,包括mrbfile.xyz 和 mrbftp.xyz。在这些网站上保存其他恶意文件,zip文件名为sys.dll 和 syslib.dll,zip文件中的payload为Windows Security Service.exe、SecurityService.exe和PowerShellInstaller.exe。
与伊朗有关
研究人员发现,大多数攻击活动的目标是联网服务器。采矿配置、域名和IP地址和其他相关记录指向同一来源:伊朗的一家小型软件开发公司。
Payload位置和C2下载器中硬编码服务器地址。C2和payload域名用于服务器——vihansoft.ir,在伊朗的软件开发公司注册。Payload 也是vihansoft.ir域名相关的IP直接下载地址。
研究人员矿工payload是从vihansoft 域名的web root目录下载。加密货币数据发送到位于poolmrb.xyz 和 mrbpool.xyz 域名钱包地址。矿工恶意软件来自vihansoft.ir、mrbfile和mrbftp等域名下载,这些域名将与poolmrb/mrbpool 域名通信。
Mrb域名和vihansoft没有可用的WHOIS信息,但是他们都使用相同的WHOIS 隐私服务——WhoisGuard,隐藏域名所有者信息。
本文翻译自:
https://news.sophos.com/en-us/2021/01/21/mrbminer-cryptojacking-to-bypass-international-sanctions/
【责任编辑:赵宁宁 TEL:(010)68476606】