AhnLab 安全紧急响应中心 (ASEC) 确认了攻击者安装硬币挖矿程序的过程,该挖矿程序使用受感染系统中的系统资源来挖掘虚拟货币。我们通过AhnLab的EDR产品介绍利用系统资源挖掘虚拟货币的Coin Miner的检测过程。
图 1. 执行攻击者命令
图 1 显示了攻击者在受感染系统中使用的相同命令。您可以检查检测到的有关如何使用 CMD 进程通过 PowerShell 命令运行 PowerShell 脚本的信息。不是直接下载文件,而是仅将脚本作为字符串接收并执行。
图 2. Powershell 恶意行为
执行的Powershell脚本对base64编码的数据进行解码,并在TEMP路径中使用文件名“nodejssetup-js.exe”创建并执行它。
图 3. 恶意软件的主要行为
执行的恶意代码如图3和图4所示。主要功能是从分发站点接收DES加密的数据文件,对其进行解密,并将其注入到正常进程MSBuild.exe中(进程空心化)。
图 4. 恶意软件功能
图 5. 注入的 msbuild 内存
注入的(进程空洞)MSBuild.exe 会执行恶意操作。恶意行为如图5、图6、图7和图8所示。图 5 显示了在注入的 MSBuild.exe 中确认的内存值。相应的值可以在图6、图7、图8的AhnLab EDR检测屏幕中找到。它会收到额外的恶意代码(图 6)并且是正常进程。它被注入到 AddInProcess.exe 中并执行(图 7)。如果你看一下图8运行时的命令行,可以看到这是币矿机的执行方法。
图 6. MSBuild 恶意行为 1
图 7. MSBuild 恶意行为 2
图 8. MSBuild 恶意行为 3
图 9. AddInProcess.exe 的次要行为
最后,您可以在注入(Process Hollowing)AddInProcess.exe 中看到 CPU 使用率高于一定水平。
在这个受感染的系统中,攻击者安装了Coin Miner,它使用系统资源来挖掘虚拟货币,使用多个进程,但只使用一个恶意代码:“nodejssetup-js.exe”。注入(进程空洞)过程中使用的所有剩余脚本和恶意PE仅存在于内存中。为了检测这种类型的分布,必须激活V3行为检测(端点防病毒),即使被感染,也必须通过EDR产品检查详细信息来采取行动。
行为检测
Execution/MDP.Powershell.M2514
Connection/EDR.Behavior.M2650
Execution/EDR.Malware.M10459
Execution/MDP.Powershell.M1185
Injection/MDP.Hollowing.M10428
Execution/EDR.Powershell.M11170IOC
1c5d05def6e3baabe8da94a3d275c5e5 Dropper/PowerShell.Generic
6efe15382531ae994f2f220046421b1d CoinMiner/Win.XMRig(2023.04.16.01)
hxxp://79.137.196[.]27/bypass.ps1
hxxps://files.catbox[.]moe/kwfxr7.dll
hxxps://files.catbox[.]moe/k541xr.dll
hxxp://185.174.136[.]91/name.dll转载来源:https://asec.ahnlab.com/ko/57145/
图片来源网络侵权可联系删除
