近期发现的一种加密货币挖矿恶意软件(简称 “挖矿 malware”)引发了全球安全团队的关注,其手段是滥用 Windows 系统内置的 “字符映射表”(Windows Character Map)应用程序作为执行宿主。
威胁行为者通过 PowerShell 脚本发起攻击:该脚本会在内存中直接下载并执行经过高度混淆处理的 AutoIt 加载器,既不写入磁盘,又能避开常规检测方法。
初步迹象表明,这种新颖的攻击方式是 “加密劫持”(cryptojacking,即非法利用他人设备挖矿)战术的一次升级 —— 恶意载荷会持续注入到合法的 Windows 进程中。
感染流程始于已被攻陷的工作站通过 HTTP 协议访问一个罕见的外部端点,请求下载名为infect.ps1的 PowerShell 脚本。
DarkTrace(网络安全公司)的研究人员通过检测到一个新的 PowerShell 用户代理指纹发现了这一异常,该指纹触发了与命令和控制(C2)活动相关的高可信度警报。
(攻击中观察到的 “infect.ps1”PowerShell 脚本截图(来源:DarkTrace))
脚本下载完成后,会解码多个经过 Base64 和 XOR 加密的数据块,在用户的 AppData 文件夹中重建 AutoIt 可执行文件,并通过启动快捷方式实现持久化(即确保系统重启后仍能运行)。
在攻击的每个阶段,威胁行为者都嵌入了规避措施,包括注册表检查和尝试绕过用户账户控制(UAC),以保证挖矿操作不被中断。
(第二阶段 AutoIt 脚本截图(来源:DarkTrace))
AutoIt 可执行文件启动后,会通过charmap.exe(Windows 字符映射表程序)进行进程注入。DarkTrace 的分析师指出,该加载器会请求获取charmap.exe的句柄,分配可执行内存,并将解密后的 NBMiner(一款挖矿程序)载荷写入该内存空间。
通过在受信任的微软进程内执行挖矿程序,该恶意软件得以避开 Windows Defender 中的基于特征码的防御机制,从而在不被察觉的情况下连接到远程挖矿池。
遭攻击的企业报告称,设备出现 CPU 使用率骤升、能源成本莫名增加的情况,这凸显了此类隐蔽操作造成的财务影响。
攻击的最后阶段是启动 NBMiner 进程,并使用针对 KawPoW 算法优化的参数,具体命令如下:
NBMiner.exe -a kawpow -o asia.ravenminer.com:3838 \
-u R9KVhfjiqSuSVcpYw5G8VDayPkjSipbiMb.worker -i 60
(注:命令中-a指定算法,-o指定挖矿池地址,-u指定矿工账户及工作节点,-i指定挖矿强度)
威胁行为者会隐藏该进程窗口,并设置反沙箱延迟(即检测到运行在沙箱环境时延迟执行),仅当系统中仅存在 Windows Defender 这一款杀毒软件时才继续执行攻击。
对 DNS 请求的查询显示,恶意软件会反复查询monerooceans.stream域名,并随后与 152.53.121.6:10001 建立 TCP 连接,这证实了存在活跃的挖矿流量。
深入分析感染机制可发现,该恶意软件采用 “两阶段加载器” 架构。初始的 PowerShell “投放器”(droplet,指用于启动后续攻击的小型脚本)中嵌入了三个加密数据段:AutoIt 可执行文件、持久化脚本和注入存根(injection stub,用于实现进程注入的代码片段)。
脚本将这些文件写入%LOCALAPPDATA%(本地应用数据目录,路径通常为 “C:\Users [用户名]\AppData\Local”)后,会启动 AutoIt 程序,使用 XOR 密钥 “47” 读取并解码第二个数据块。
随后,加载器通过 “Fodhelper”(Windows 系统中的功能部署助手,常被用于绕过 UAC)绕过用户账户控制,获取管理员权限,并调用charmap.exe实现内存中的载荷注入。
这种分阶段执行与混淆处理相结合的方式,使得恶意软件在磁盘上留下的痕迹极少,同时还能执行复杂的规避流程。
通过将这些技术串联使用,威胁行为者展现出对 Windows 系统内部机制和 Defender 漏洞的深入理解,这也为检测和响应此类攻击提高了难度。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
