勒索軟體XIAOBA被重新利用於惡意挖礦

目前，加密貨幣的挖掘工具被惡意軟體大量使用，我們已經發現挖礦工具被注入廣告平台、熱門移動設備以及伺服器上。惡意軟體的創造者改變有效載荷，以最大限度地獲取利潤，在這種不穩定的加密貨幣環境中，他們似乎致力於將挖礦工具整合到自己的惡意軟體中。我們現在還發現使用挖礦工具來滿足自身需求的二進位感染者。

我們最近發現了一種具有加密貨幣挖掘和蠕蟲功能的複雜文件感染情況，在我們的調查中發現了這一文件的兩種變體。被確認為XiaoBa（作為PE_XIAOBAMINER被趨勢科技檢測到），這一特殊的惡意軟體與XiaoBa的勒索軟體非常相似。然而，勒索軟體的代碼被重新設計了，增加了新的功能，使其成為一個更具破壞性的加密貨幣挖掘工具。

這種文件感染可以被認為是破壞性的，因為它會感染惡意軟體的二進位文件，使主機代碼保持完整，但不再執行主機代碼的原始目的。例如，當一個帶有XiaoBaMiner被感染的calc.exe文件被執行時，它將運行惡意軟體代碼，但將不再運行主要的calc.exe程序。

以挖礦為目的的感染

除了感染二進位文件，XiaoBa也是一個加密貨幣的挖掘工具。它向帶有以下擴展名的文件中注入了Coinhive挖掘腳本：

·*.html

·*.htm

圖1 顯示Coinhive注入的感染代碼;另一種變體甚至包含其自己的XMR配置和挖礦二進位文件

圖2 一個受感染的腳本試圖以顯示CPU使用情況的方式載入到web瀏覽器上。

特製勒索軟體代碼

該加密貨幣挖掘工具是主要的有效載荷，通過在受害者的設備中注入Coinhive腳本部署。另一個XiaoBa變種包括腳本注入，但也包含XMRig Miner的一個32位和64位版本。我們還看到其他惡意軟體攜帶32位和64位XMRig有效載荷，部署哪一個有效載荷取決於受害者的設備。

根據我們的分析，這種感染與勒索軟體RANSOM_XIAOBA（第一次出現在2017年10月）有明顯的相似之處，有多個可比較的代碼結構。有一種可能性就是，它是專門被重新目的化以便用來傳播貨幣挖掘的惡意軟體。

圖3 對勒索軟體和感染代碼的比較

無恥的感染技術

正如上面所提到的，XiaoBa感染惡意軟體的二進位文件，使主機代碼保持完整，而沒有執行主機代碼原始目的。和其他惡意軟體一樣，它會自動刪除並執行自動啟動的副本：

%systemroot%360360SafedeepscanhuDongFangYu.exe

或在另一個變體中

%systemroot%svchost.exe

為了保持自身運行，它還會刪除安全啟動註冊，以禁止登錄到安全模式。

圖4 惡意軟體刪除安全啟動註冊表鍵

然後，惡意軟體修改主機文件，將AV和取證相關的URL重定向到本地主機(localhost)。

圖5 將被重定向的安全相關URL列表

然後，搜索並感染帶有以下擴展名的文件：

·*.exe

·*.com

·*.scr

·*.pif

不管內容是什麼，惡意軟體都會將自己的內容擴展到任何帶有上述擴展名的文件上。擴展名是該惡意軟體感染文件前檢查的唯一標準，不像其他惡意軟體，通常在感染文件之前尋找特定的條件或標記。該惡意軟體還遍歷所有目錄。它不會避開關鍵的系統文件（%SystemRoot%和%ProgramFiles%），如果處理不當，就會使系統變得非常不穩定。

圖6 惡意軟體感染關鍵（%systemroot%system32）目錄的屏幕截圖。

最後，它會刪除帶有以下擴展名的文件，這些擴展名是AV磁碟圖像文件和CD圖像的擴展名：

·*.gho

·*.iso

圖7 顯示惡意軟體刪除和感染的文件的代碼

激進的傳播策略

根據我們的分析，惡意軟體感染的文件的大小沒有限制，從4kb到100+Mb的文件（我們在200+Mb文件上測試過），甚至可能更大的文件。更糟糕的是，它不會在受感染的文件上留下任何標記，這就導致了感染者自身的多重感染。

圖8 惡意軟體可以感染並重複感染文件

一旦在系統上執行了受感染的文件，它還將包括初始二進位主機文件的代碼（命名為NORMAL. EXE）添加到預先準備的信息中。在一些樣本中，我們在一個受感染的文件中發現了多達10個主機文件。由於惡意軟體的有效負載，再加上它近乎無恥的感染文件的方式，不僅佔用了大量的內存，而且還可能佔用大量的磁碟空間。

兩個XiaoBa變種的比較

到目前為止，我們已經發現了這種加密挖掘技術的兩個變種。下面是對他們行為的顯著差異的簡要總結：

然而，這兩個變種有一些相似之處。兩者都對*.htm 和*.htm文件進行Coinhive感染（以COINMINER_XIAOBA.SM-HTML形式被趨勢科技檢測到）。*.htm 和 *.htm文件使用「yuNWeGn9GWL72dONBX9WNEj1aVHxg49E」作為用戶站點密鑰。它們還會感染帶有.exe、.com、.scr和.pif擴展名的二進位文件。此外，這兩種變種都使用BlackMoon打包，並禁用Windows用戶賬戶控制通知。

基於這些驚人的相似之處，有兩種可能的可能性：這兩種變種來自同一個惡意軟體作者，或者他們使用相同的源代碼來添加和刪除一些功能。

緩解和解決方案

如果被成功部署在設備上，XiaoBa會產生重大影響。一旦該惡意軟體感染了二進位文件，主機文件的代碼就不會執行。損壞的文件的應用，不管是哪款應用，都將不能再被正確使用。該惡意軟體沒有選擇性，所以它可能影響關鍵文件，使受害者的系統極度不穩定。惡意軟體還使用了大量的資源，因為它會堆積感染，從而佔用更多的磁碟空間。由於它同時也是一個加密貨幣的挖掘工具，它還使用了設備的內存資源。

必須採取適當的安全措施來防範XIAOBA以及類似的威脅。趨勢科技XGen 安全提供了一種跨代結合的威脅防禦技術，以保護系統不受加密挖掘惡意軟體的攻擊。它的特點是高保真的機器學習來保護門路和端點，並保護物理、虛擬和雲計算的工作負載。有了web/URL過濾、行為分析和自定義沙箱等功能，XGen保護系統不受當前威脅的影響，這些威脅可以繞過傳統的控制，利用已知的、未知的或未公開的漏洞，竊取或加密個人可識別的數據，或者進行惡意的加密貨幣挖掘。智能、優化和連接，XGen使得趨勢科技的安全解決方案更加強大：混合雲安全、用戶保護和網路防禦。

攻擊指標以及相關的SHA 256

PE_XIAOBAMINER.SM-O (感染程序)

PE_XIAOBAMINER.SM (被感染程序)

19805a35adace41ee871cc8baa74a2ead533a5d6734a2108e438d4c7ca2c4103

3333967f3407ccd5f930b50ac1699edc71c6c76c194f2e114a3f06ce7ab78c4c

勒索軟體 XIAOBA

a322da0be4f0be8d85eab815ca708c8452b63f24d0e2d2d6d896a9f9331a6244

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！