

铭说｜一种新型针对平面设计软件的挖矿木马

聚铭网络

2023-09-27

导读：本期铭说将带您一起了解一种新型针对平面设计软件的挖矿木马。

最近观察到网络犯罪分子正在滥用高级安装程序（一种用于创建软件包的合法Windows工具），它会在受感染的计算机上释放加密货币挖掘恶意软件，这类活动早在 2021 年11月就进行了。

攻击者使用高级安装程序将其他合法软件安装程序（如Adobe Illustrator，Autodesk 3ds Max和SketchUp Pro）与恶意脚本打包在一起，并使用高级安装程序的自定义操作功能使软件安装程序执行恶意脚本。

该活动针对的软件安装程序专门用于3D建模和平面设计，其中大多数使用法语，这表明受害者可能跨越垂直业务，包括法语主导国家的建筑，工程，施工，制造和娱乐。

有效载荷包括M3_Mini_Rat客户端存根——它允许攻击者建立后门并下载和执行其他威胁，包括以太坊加密货币挖掘恶意软件PhoenixMiner和lolMiner，后者为一种多币种挖矿木马。

网络犯罪分子可能会利用这些特定的软件安装程序，因为他们需要高图形处理单元（GPU）功能才能运行，即依靠图形卡的能力来挖掘加密货币。

受害者分析

根据攻击者命令和控制（C2）主机的DNS请求数据的分析，这些攻击主要针对法国和瑞士的用户，在其他地理区域也有少数感染，包括美国、加拿大、阿尔及利亚、瑞典、德国、突尼斯、马达加斯加、新加坡和越南。

该活动可能会影响建筑、工程、施工、制造和娱乐等垂直业务，因为攻击者使用专门为 3D 建模和图形设计创建的软件安装程序。这些行业可能是非法加密的有吸引力的目标，因为它们使用具有高GPU规格的计算机和可用于生成加密货币的强大显卡。

活动概述

网络犯罪分子滥用高级安装程序来执行加密矿工。

该非法加密货币挖掘活动通过滥用工具高级安装程序来部署恶意负载。这是一个合法的工具，旨在为Windows创建软件包。但是，攻击者使用它来将合法的软件安装程序与恶意PowerShell和Windows批处理脚本打包在一起。这些恶意脚本使用高级安装程序的自定义操作功能执行，该功能允许用户预定义自定义安装任务，有效载荷是PhoenixMiner和lolMiner，它们是依赖于计算机GPU功能的公开矿工。

在同一时间范围内，还观察到攻击者使用与挖掘活动高度相似的策略、技术和程序（TTP）部署了M3_Mini_Rat客户端存根。存根是一段代码，用于转换在远程过程中在客户端和服务器之间发送的参数。M3_Mini_Rat客户端存根是由M3_Mini_Rat生成的 PowerShell 脚本，用于建立受害者计算机的后门。无法确定这个后门是否被用于加密挖矿，但是，可以评估该活动可能是部署PhoenixMiner和lolMiner的同一挖矿活动的一部分。在这两种情况下，攻击者都滥用高级安装程序及其自定义操作功能来部署恶意脚本，并且攻击序列和命名约定高度相似，详见下面的方法部分。

攻击者的基础设施

对本次活动中使用的基础设施的分析揭示了攻击者控制的C2服务器和以前活动中从这些服务器部署的其他恶意软件的位置数据。C2服务器具有域 sysnod[.]duckdns[.]，可解析为104[.]244[.]76[.]的IP地址有183个。

基于被动DNS解析数据，发现了域sysnod[.]duckdns[.]被解析为79[.]134[.]225[.]70和79[.]134[.]225[.]的德国IP地址有124个。在不同的恶意活动中，这些服务器作为各种RAT的C2服务器运行，包括Nanocore，njRAT和AsyncRAT，这表明它们很可能在以前的活动中被同一攻击者使用。在此采矿活动的另一次迭代中，攻击者拥有恶意下载服务器。

自 2021 年活动开始以来，攻击者使用了多个钱包地址来加速挖掘不同的加密货币。在这次活动中，观察到攻击者使用钱包地址“0xbEB015945E9Da17dD0dc9A4b316f8F3150d93352”和“0xbCa8d14Df89cc74B158158E55FCaF5022a103795”用于以太坊（ETC）和FLUX（ZelHash），他们使用“t1KHZ5Piuo4Ke7i6BXfU4”和“t1KHZ5Piuo4Ke7i6BXfU4A”钱包。对区块链中ETC交易的分析显示，攻击者已经从这些父钱包向其他几个钱包进行了加密货币转移。

用于建立后门或植入加密矿工的两种方法

目前，还发现了攻击者在这次活动中采用的两种多阶段攻击方法。第一种方法显示了如何安装M3_Mini_Rat客户端存根并用于建立受害者机器的后门。第二部分概述了PhoenixMiner和lolMiner是如何被植入加密的。目前无法确定木马化软件安装程序最初是如何交付到受害者机器上的。过去，我们经常看到使用搜索引擎优化（SEO）中毒技术交付的此类木马安装程序。

攻击方式一：安装客户端存根M1_Mini_Rat

当受害者单击合法软件安装程序时，将启动攻击序列，攻击者使用高级安装程序将其与恶意脚本捆绑在一起。然后，安装程序将名为“core.bat”的恶意批处理脚本和合法的 PE 可执行文件“viewer.exe（高级安装程序组件）作为”MSI72E2.tmp“在本地用户配置文件应用程序数据临时文件夹中删除。为了执行恶意脚本，攻击者使用高级安装程序的自定义操作功能，通过包含命令行参数来执行丢弃的恶意批处理文件。

在安装过程中，msiexec.exe（用于解释安装包和在目标系统上安装产品的 Windows 安装程序的可执行程序）使用配置的命令行参数运行“MSI72E2.tmp（查看器.exe）”，它将执行恶意批处理脚本。

然后，软件安装程序在本地用户配置文件浏览文件夹中创建一个名为“webgard”的文件夹，并删除名为“cor.ps1”（PS-1）的恶意 PowerShell 加载程序脚本和名为“core.bin”的加密文件，该文件是M3_Mini_RAT客户端存根。

在软件安装程序的初始执行阶段释放的恶意批处理脚本“core.bat”包含一个在受害者机器中配置任务计划程序的命令。它创建一个名为“ViGEmBusUpdater”的任务，该任务每分钟运行一次，以执行“webgard”文件夹中的恶意PowerShell加载程序脚本。攻击者可能选择了名称“ViGEmBusUpdater”，通过伪装成合法的“ViGEmBusUpdater”可执行文件来逃避检测。任务计划程序命令如下所示：

“ViGEmBusUpdater”任务执行恶意PowerShell加载程序脚本并解密加密文件“core.bin”以生成M3_Mini_Rat客户端存根并在受害者的机器内存中运行它。M3_Mini_Rat客户端存根尝试连接到 C2，但是，在我们的分析过程中，C2 没有响应，因此我们无法观察到部署的任何后续有效载荷，尤其是加密矿工。

攻击方式二：安装PhonixMiner和lolMiner

在第二种方法中，攻击者还滥用高级安装程序及其自定义操作功能来丢弃恶意批处理脚本。与方法1一样，需要用户交互才能运行使用高级安装程序捆绑的软件安装程序，该安装程序将“viewer.exe”作为具有随机文件名和“core.bat”的临时文件放在本地用户配置文件应用程序数据临时文件夹中。第二种方法略有不同，因为安装程序还捆绑了名为“win.bat”的第二个批处理脚本，该脚本被删除并与其他文件一起保存。然后，“viewer.exe”根据自定义操作命令执行两个删除的批处理文件。

这两种方法之间的另一个相似之处是，软件安装程序在本地用户配置文件中创建一个名为“Winsoft”的文件夹，并删除恶意PowerShell加载程序脚本“core.ps1”（PS-1）和加密文件“core.bin”（ENC-1）。

恶意批处理脚本“win.bat”通过创建任务“MSI 任务主机 - Detect_Monitor”来配置任务计划程序，以从位置“%appdata%\winsoft”执行恶意PowerShell加载程序脚本“core.ps1”（PS-1）。由“win.bat”执行的任务计划程序命令如下所示：

负载

此活动中提供的有效载荷是一个M3_Mini_Rat客户端，一个名为PhoenixMiner或lolMiner的Ethash矿工。

M3_Mini_Rat客户端建立后门

M3_Mini_Rat客户端是具有远程管理功能的 PowerShell 脚本，主要侧重于执行系统侦测以及下载和执行其他恶意二进制文件。RAT 客户端是使用与M3_Mini_Rat管理面板关联的构建器构建的，是一个 .Net 应用程序，其作者称为“Mr3”。0.1版本是目前唯一的版本。RAT 在成功植入 RAT 客户端存根后，使用其管理面板通过 RAT 客户端在受害者的计算机上执行远程管理活动。从管理面板，RAT 可以执行多种远程管理功能，包括文件系统活动、捕获屏幕截图、执行任意命令以及通过将文件加载到受害者的系统内存中或将它们放入文件系统来将文件发送到受害者的计算机。