Sophos研究人员发现了一个数据库服务器进程(sqlservr.exe),它启动了一个下载程序可执行文件,该程序提取了一种名为MrbMiner挖矿机的加密货币。根据开源情报分析,研究人员发现该矿机是由伊朗一家软件开发公司创建和控制的。下载MicrosoftSQLServer目录下运行的可执行文件。MrbMiner研究人员分析发现,MrbMiner使用与MyKings、Lemon_Duck和Kingminer等加密货币矿机类似的技术来实现驻留。研究人员分析发现,微软SQLServer进程(sqlservr.exe)启动了一个名为assm.exe的下载器木马。assm.exe程序从Web服务器下载加密货币矿工负载,然后连接到C2服务器以报告矿工是否已成功下载和执行。在大多数情况下,payload是一个名为sys.dll的文件,虽然这个文件的后缀是dll,但它不是WindowsDLL文件,而是包含加密货币矿工二进制文件、配置文件和相关文件。压缩包。研究人员从GitHub中发现了一个同名的sys.dll有效负载。许多具有完全基于Linux的加密货币矿工有效负载,但它们的配置文件使用与Windows版本不同的加密货币钱包地址。MrbMiner加密货币矿工负载包含一个内核级设备驱动程序WinRing0x64.sys和一个名为WindowsUpdateService.exe的矿工可执行文件,以混淆其真正目的。可执行文件是XMRig矿工的修改版本。WinRing0x64.sys文件是一个内核驱动程序,允许用户应用程序获取ring0级资源。这允许攻击者访问CPU寄存器等功能,以及直接读写内存。此外,加密货币矿工使用驱动程序修改MSR寄存器以禁用CPU预取器,这可以带来6-7%的性能提升。该驱动程序是一项标准功能,于2019年12月添加到XMRig矿工中。不同源域之间共享的可疑文件研究人员在MrbMiner样本中发现了一个名为sys.dll的zip文件。进一步分析发现大量相关文件和URL。研究人员在矿工配置文件中发现了一个硬编码域名——vihansoft.ir。该域与许多包含矿工副本的zip文件相关联,包括名为agentx.dll和hostx.dll的文件。这些不同的zip文件中包含的有效负载包括WindowsSecurityService.exe、WindowsHostManagement.exe、InstallWindowsHost.exe、InstallerService.exe、MicrosoftMediaService.exe以及名为linuxservice和netvhost的LinuxELF可执行文件。其中许多相同的文件是从其他域下载的,包括mrbfile.xyz和mrbftp.xyz。这些站点上还存储有其他恶意文件,zip文件名为sys.dll和syslib.dll,zip文件中的payload为WindowsSecurityService.exe、SecurityService.exe和PowerShellInstaller.exe。与伊朗有关的研究人员分析发现,大多数攻击的目标是连接的服务器。挖矿配置、域名和IP地址等相关记录都指向同一个来源:一家位于伊朗的小型软件开发公司。有效负载位置和C2服务器地址都在下载程序中进行了硬编码。C2和有效负载服务器使用的域vihansoft.ir已注册到一家位于伊朗的软件开发公司。有效载荷也直接从与vihansoft.ir域名关联的IP地址下载。researcher矿工payload是从vihansoft域名的web根目录下下载的。加密货币数据被发送到poolmrb.xyz和mrbpool.xyz域的钱包地址。矿工恶意软件是从vihansoft.ir、mrbfile和mrbftp等域下载的,这些域与poolmrb/mrbpool域通信。MrbDomains和vihansoft都没有可用的WHOIS信息,但它们都使用相同的WHOIS隐私服务WhoisGuard来隐藏域所有者信息。本文翻译自:https://news.sophos.com/en-us/2021/01/21/mrbminer-cryptojacking-to-bypass-international-sanctions/【责任编辑:赵宁宁TEL:(010)68476606]
