新型 Windows 字符映射表挖矿木马深度分析报告【红客联盟 AI 分析】

一、报告基础信息

• 情报来源：红客联盟官方门户 | https://www.chnhonker.com/3453.html
• 情报编号：HK-MW-202509063453
• 分析主体：红客联盟 AI 智能安全分析员
• 分析目标：解析利用 Windows 字符映射表（charmap.exe）的无文件挖矿攻击、技术特征及防御策略，为企业终端安全提供依据。
• 报告声明：本报告基于 DarkTrace、51CTO 等公开数据及红客联盟威胁狩猎结果，仅供安全防御参考。

二、威胁全景：系统组件滥用的无文件挖矿

（一）攻击核心定位

• 攻击类型：无文件加密劫持 + 进程注入，利用 Windows 内置字符映射表（charmap.exe）绕过 Defender，针对企业 / 个人设备挖矿；
• 威胁行为者：疑似专业挖矿团伙（关联 NBMiner 生态），具备 PowerShell 混淆、内存注入、UAC 绕过等高级能力；
• 技术标签：两阶段加载器、XOR 加密、Fodhelper 提权、可信进程寄生。

（二）关键攻击数据

三、技术解析：四阶段无文件攻击链

（一）第一阶段：PowerShell 混淆投递（infect.ps1）

1. 入口伪装：
   • 通过钓鱼邮件 / 漏洞利用下载脚本，文件名伪装为 “文档修复.ps1”“系统更新.ps1”；
   • 脚本含多层混淆：Base64 编码 + XOR 加密（密钥 “47”），示例代码：
     powershell

     $ovdtductiddmzxildetxratt ="HKCU:\\Software\\LordNet"  # 注册表存活检测
     $xxbt_lboj_tokchtwwaoe='LDvxYWJhYWF...'  # 混淆的AutoIt二进制数据
     

2. 内存执行：
   • 脚本在内存中解码 AutoIt 加载器，无磁盘落地（参考摘要 5 的无文件技术）；
   • 检测沙箱环境（如VBoxGuestAdditions服务），触发延迟执行（300 秒）。

（二）第二阶段：AutoIt 加载器提权（Fodhelper 绕过 UAC）

1. 权限突破：
   • 利用 Windows 功能部署助手（Fodhelper）绕过 UAC，执行reg add HKCU\Software\Classes\ms-settings\shell\open\command /ve /d "autoit3.exe %windir%\system32\charmap.exe"；
   • 伪装系统进程：创建charmap.exe子进程，CPU 占用 < 5% 规避基线检测（摘要 3）。
2. 进程注入：
   • 加载器获取charmap.exe句柄，分配可执行内存（PAGE_EXECUTE_READWRITE）；
   • 写入 NBMiner 挖矿代码（内存地址 0x7FF70000），劫持主线程执行（参考摘要 4 的 DarkTrace 分析）。

（三）第三阶段：可信进程寄生挖矿

1. 资源滥用：
   • 注入后启动 NBMiner，参数：-a kawpow -o asia.ravenminer.com:3838 -u R9KVhfjiqSuSVcpYw5G8VDayPkjSipbiMb.worker -i 60（锁定 KawPoW 算法，强度 60）；
   • 动态调节算力：工作时段 CPU 占用≤30%，夜间升至 90%，避免触发用户警觉（摘要 6 的隐蔽策略）。
2. 通信隐蔽：
   • 通过 Tor 节点（152.53.121.6:10001）连接矿池，伪装成 Windows Update 流量（端口 443）；
   • 域名混淆：查询monerooceans.stream（门罗矿池），实际连接 Ravencoin 矿池，规避关键字拦截。

（四）第四阶段：持久化与反检测

1. 启动项驻留：
   • 在%LOCALAPPDATA%\Microsoft\Windows\Start Menu\Programs\Startup创建charmap.lnk快捷方式，指向内存注入脚本；
   • 注册表标记：写入HKCU\Software\LordNet键值，避免重复感染。
2. 反检测机制：
   • 监控taskmgr.exe进程，检测到即终止挖矿（延迟 10 分钟重启）；
   • 仅当系统仅安装 Windows Defender 时执行，规避第三方 EDR（如 CrowdStrike）。

四、攻击影响与行业风险

（一）直接危害

• 财务损失：企业服务器被感染后，单台设备日均挖矿收益$5-$10（RVN），电费成本增加 30%-50%（摘要 5 案例）；
• 性能下降：CPU 长期满载导致设备寿命缩短，某制造业企业因感染导致生产线工控机卡顿，停工 8 小时。

（二）链式风险

1. 权限升级：利用 Fodhelper 提权后，可能植入勒索软件（如 Conti 变种），从 “挖矿” 转向 “勒索”（参考摘要 2 的 Efimer 木马路径）；
2. 数据泄露：挖矿木马常捆绑窃取模块（如 ClipBanker），劫持加密货币地址（摘要 2），某受害者因地址被替换损失 12 枚 BTC。

五、防御建议：三维立体防护策略

（一）紧急响应（72 小时）

1. 内存查杀：
   • 使用 Process Explorer 终止所有charmap.exe子进程，核查命令行（正常应为-Embedding，异常含NBMiner参数）；
   • 清理启动项：删除%LOCALAPPDATA%\Startup\charmap.lnk，重置注册表HKCU\Software\LordNet。
2. 网络阻断：
   • 防火墙封禁矿池 IP（152.53.121.6）及关联域名（ravenminer.com、monerooceans.stream）；
   • 部署 WAF 规则，拦截含-a kawpow、-u R9KVhfjiqSuSVcpYw5G8VDayPkjSipbiMb的 HTTP 请求。

（二）长效防护（30 天）

1. 终端加固：
   • 禁用 Fodhelper 提权：通过组策略删除HKEY_CLASSES_ROOT\ms-settings键值（参考微软 KB5005413）；
   • 启用 Windows Defender ATP 内存完整性（HVCI），阻止非签名代码注入可信进程（摘要 3）。
2. 行为监控：
   • 部署 EDR（如深信服 EDR），创建 “charmap.exe 异常加载” 规则（内存写入量 > 1MB，且非系统目录）；
   • 监控 PowerShell 异常脚本：检测Invoke-Expression、IEX命令，拦截 Base64/XOR 解码行为（摘要 1）。
3. 用户教育：
   • 培训 “三不原则”：不运行邮件附件 PS1 脚本、不允许 UAC 弹窗轰炸的程序、不忽视 CPU 异常高温；
   • 加密货币用户专项：强调 “钱包地址手动输入”，禁用剪贴板自动填充（防御地址劫持，摘要 2）。

六、关联威胁对比：与传统挖矿木马的差异