針對Kodi媒體播放器第三方插件被用於加密貨幣挖礦活動的分析

概述

如果你使用Kodi媒體播放器，那麼你可能注意到，最近該播放器因為版權問題關閉了荷蘭的第三方組件庫XvBMC。在關閉之後，我們發現該組件庫中的部分插件與2017年12月的加密貨幣惡意活動有所關聯，可能是第三方組件在不知情的情況下被植入了惡意代碼。這是發現的第二起通過Kodi媒體播放器附加組件實現大規模惡意軟體分發的情況，同時也是披露的第一起藉助Kodi平台發起的加密惡意活動。有趣的是，該惡意活動會將Linux或Windows語言的二進位文件推送到Kodi用戶的計算機上。

對於那些不熟悉Kodi的人來說，Kodi播放器自身並沒有太多亮點，但用戶可以通過安裝官方Kodi組件庫和眾多第三方組件庫中的各種附加組件，來擴展軟體的功能。而我們所說的爭議，正是由於一些第三方附加組件可以讓客戶訪問盜版的內容。

近期，這些疑似侵犯版權的附加組件也被指出包含惡意軟體，但根據分析，這些侵犯版權的組件除去添加了DDoS模塊之外，似乎沒有證據表明還包含其他的惡意軟體。

惡意活動

根據我們的研究，在XvMBC組件庫中發現的惡意軟體分別於2017年12月和2018年1月首次添加到第三方組件Bubbles和Gaia（Bubbles的一個分支）中。這兩個存在威脅的組件通過多個第三方組件庫實現了大範圍的感染，不少Kodi用戶受到影響。

該惡意軟體具有多個階段的基礎架構，並且採取了一定手段，確保研究人員根據其最終的Payload（挖礦惡意軟體，Cryptominer）無法輕鬆追溯到惡意的附加組件。挖礦惡意軟體可以在Windows或Linux操作系統上運行，並挖掘門羅幣（Monero，XMR）。目前，我們還沒有看到針對於Android或macOS操作系統的在野版本存在。

針對這一惡意挖礦軟體，用戶有3種不同的感染途徑：

1、將惡意組件庫的URL添加到Kodi的安裝包中，以便下載一些附加組件。當用戶更新Kodi附加組件時，就會安裝惡意組件。

2、用戶安裝已經包含惡意組件庫URL版本的Kodi。只要用戶更新Kodi附加組件，就會安裝惡意組件。

3、用戶安裝的Kodi中包含一個惡意組件，該組件沒有連接到組件庫以進行更新。用戶安裝後立即被感染，但該惡意附加組件不會對其自身進行更新。然而，當附加組件成功在用戶電腦上安裝惡意挖礦軟體後，挖礦軟體會保持自動更新。

根據ESET的監測，受此類威脅影響最大的五個國家分別是美國、以色列、希臘、英國和荷蘭。這樣的結果也在情理之中，因為根據非官方的Kodi Addon社區統計，上述國家都是Kodi播放器用戶數量排名的前幾名。此外，還有一種針對這一地理分布現狀的其他解釋，就是有可能針對特定國家或地區的Kodi安裝包被惡意攻擊者修改後發布，同樣也可能是在特定國家或地區非常流行的組件庫中包含惡意組件，比如荷蘭的XvBMC。

在撰寫本文時，首次開始傳播惡意軟體的組件已經不存在（Bubbles）或不再包含惡意代碼（Gaia）。但是，此前已經遭受感染的用戶仍會受到影響。最重要的是，目前惡意軟體仍然存在於其他組件庫以及一些現有的Kodi安裝包中，並且很可能是在其作者不知情的情況下存在。

技術分析

與3.4.0版本相比，修改後的所謂3.4.1版本元數據中，addon.xml文件增加了一行額外的：

該Python代碼根據系統環境，選擇Windows或Linux版本的二進位文件並執行。該可執行文件是一個下載器，用於獲取並執行最終Payload，也就是挖礦惡意軟體。如果挖礦惡意軟體安裝成功，那麼惡意Python代碼將會進入到自我刪除階段，並自行刪除。

Python代碼

我們對這部分代碼進行了反混淆和注釋，使其具有更高的可讀性，如下圖所示。

非常明顯，該代碼的編寫者對Kodi播放器及其附加組件的結構具有深入的了解。這段腳本會檢測操作系統（僅支持Windows和Linux，忽略Android和macOS），連接到其C&C伺服器，並下載和執行適配於被感染操作系統的二進位下載器模塊。

針對Windows，二進位文件會寫入C:Users[username]AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupTrustedInstaller.exe，而針對Linux，二進位文件會寫入/tmp/systems/systemd。

在檢索並運行二進位下載器模塊後，Python腳本（在我們的樣本中為connectionpool.py）會運行自毀常式，刪除其自身。在上文代碼截圖中，我們可以看到惡意代碼被使用特殊標記#-+-和#-_-#括了起來。在成功執行下載器後，該惡意組件會打開這一Python文件，找到這些特殊標記並刪除中間的所有內容，然後保存修改後的Python文件。正因如此，研究人員才難以從挖礦惡意軟體追溯到這一Kodi附加組件。

挖礦惡意可執行文件

由Python寫成的下載器模塊（Windows為64位EXE，Linux為64位ELF）包含第二階段Payload的加密挖礦配置和下載器的下載地址。

二進位下載器從受密碼保護的ZIP文件中獲取適合於被感染操作系統的第二階段Payload，這些Payload是用於不同GPU的挖礦二進位文件和惡意啟動器/更新器模塊。所有這些二進位文件都是針對64位Windows和64位Linux編譯的，並且基於開源挖礦軟體XMRStak。

挖礦惡意程序的配置如下：

{「monero」:{「default」:{「wallet」:」49WAk6TaCMX3HXN22nWPQAfBjP4J3ReUKg9tu3FoiPugcJs3fsnAvyGdrC41HZ4N6jcHEiwEGvH7z4Sn41PoZtLABFAVjm3″,」password」:」」,」name」:」」,」email」:」」,」weight」:1,」format」:{「rig」:」」,」address」:」%w%.%n%/%e%」,」password」:」%p%」}},」pools」:[{「host」:」xmr-us-east1.nanopool.org:14444″},{「host」:」xmr-eu1.nanopool.org:14444″},{「host」:」xmr-asia1.nanopool.org:14444″}]}}

受影響設備

如果用戶在Windows或Linux設備上使用Kodi播放器，並且安裝了來自第三方組件庫的附加組件，或者使用了預裝組件庫的現有版本，那麼可能會受到這一挖礦惡意軟體的影響。

要檢查自己的設備是否感染，需要使用可靠地反惡意軟體產品進行掃描。ESET將該惡意軟體檢測為：Win64/CoinMiner.II、Win64/CoinMiner.MK、Linux/CoinMiner.BC、Linux/CoinMiner.BJ、Linux/CoinMiner.BK、Linux/CoinMiner.CU。

總結

該惡意軟體最初成功滲入了Kodi播放器的一些主要附加組件庫，儘管目前這些存在問題的組件庫都已經被關閉或清除了威脅，但已經被感染的設備卻仍處於危險之中。從下圖可以看出，目前還有許多設備正在為攻擊者挖掘門羅幣。

根據Nanopool提供的惡意軟體開發者門羅幣錢包的統計數據，在撰寫本文時，至少有4774名用戶受到惡意軟體的影響，並且總計已經產生6257門羅幣（約5700歐元、6700美元）。

除了通過流行的媒體播放器Kodi實現分發，這個惡意軟體還採用了一種有趣的技術。通過利用Kodi附加組件的複雜腳本功能，這些惡意組件可以在Kodi支持的操作系統（Android、Linux、macOS和Windows）上運行，儘管此次攻擊者只選擇了其中的兩個操作系統。

攻擊者可能已經將目標瞄準更多的操作系統。通過為這些系統量身定做挖礦程序（例如，使這些設備再感染病毒後仍能保持較低的功耗），從而試圖感染Kodi支持的更多類型的操作系統。隨著大家對系統安全重視程度的加大，應用程序附加組件和腳本功能可能成為網路犯罪分子青睞的目標。在過去，攻擊者使用Microsoft Office中的Visual Basic宏感染用戶，而我們今天所分析的Kodi可能就是下一個VBA。

IoC

由於包含惡意組件（Bubbles和Gaia）的原始組件庫已經被刪除，所以我們提供了仍然包含惡意代碼的鏡像組件庫地址，以及部分惡意版本Kodi的地址。

值得注意的是，這些文件來源的管理者很可能並不清楚其中存在著惡意軟體。

Bubbles的鏡像：

github[.]com/yooperman17/trailerpark/blob/master/repository/repository.bubbles.3/repository.bubbles.3-4.2.0[.]zip

github[.]com/yooperman17/trailerpark/blob/master/repository/common/script.module.urllib.3/script.module.urllib.3-1.22.3[.]zip

Gaia的鏡像：

github[.]com/josephlreyes/gaiaorigin/blob/master/common/script.module.python.requests/script.module.python.requests-2.16.1[.]zip

github[.]com/josephlreyes/gaiaorigin/blob/master/common/script.module.simplejson/script.module.simplejson-3.4.1[.]zip

此前在XvBMC組件庫中的惡意文件：

github[.]com/XvBMC/repository.xvbmc/tree/b8f5dd59961f2e452d0ff3fca38b26c526c1aecb/Dependencies/script.module[.]simplejson

github[.]com/XvBMC/repository.xvbmc/tree/b8f5dd59961f2e452d0ff3fca38b26c526c1aecb/Dependencies/script.module.python[.]requests

github[.]com/XvBMC/repository.xvbmc/blob/b8f5dd59961f2e452d0ff3fca38b26c526c1aecb/Dependencies/zips/script.module.python.requests/script.module.python.requests-2.16.3[.]zip

github[.]com/XvBMC/repository.xvbmc/blob/b8f5dd59961f2e452d0ff3fca38b26c526c1aecb/Dependencies/zips/script.module.simplejson/script.module.simplejson-3.4.1[.]zip

惡意版本的Kodi：

archive[.]org/download/retrogamesworld7_gmail_Kodi_20180418/kodi[.]zip

archive[.]org/download/DuggzProBuildWithSlyPVRguideV0.3/DuggzProBuildWithSlyPVRguideV0.3[.]zip

ukodi1[.]xyz/ukodi1/builds/Testosterone%20build%2017[.]zip

C&C URL：

openserver[.]eu/ax.php

kodinet.atspace[.]tv/ax.php

kodiupdate.hostkda[.]com/ax.php

kodihost[.]rf.gd/ax.php

updatecenter[.]net/ax.php

stearti.atspace[.]eu/ax.php

mastercloud.atspace[.]cc/ax.php

globalregistry.atspace.co[.]uk/ax.php

meliova.atwebpages[.]com/ax.php

krystry.onlinewebshop[.]net/ax.php

下載器模塊（Windows）：

openserver[.]eu/wib

kodinet.atspace[.]tv/wib

kodiupdate.hostkda[.]com/wib

kodihost.rf[.]gd/wib

updatecenter[.]net/wib

bitbucket[.]org/kodiserver/plugin.video.youtube/raw/HEAD/resources/lib/wib

gitlab[.]com/kodiupdate/plugin.video.youtube/raw/master/resources/lib/wib

www.dropbox[.]com/s/51fgb0ec9lgmi0u/wib?dl=1&raw=1

下載器模塊（Linux）：

openserver[.]eu/lib

kodinet.atspace[.]tv/lib

kodiupdate.hostkda[.]com/lib

kodihost.rf[.]gd/lib

updatecenter[.]net/lib

bitbucket[.]org/kodiserver/plugin.video.youtube/raw/HEAD/resources/lib/lib

gitlab[.]com/kodiupdate/plugin.video.youtube/raw/master/resources/lib/lib

www.dropbox[.]com/s/e36u2wxmq1jcjjr/lib?dl=1&raw=1

挖礦二進位文件（Windows）：

updatecenter[.]net/wub

openserver[.]eu/wub

glocato.atspace[.]eu/wub

oraceur.hostkda[.]com/wub

dilarti.1free-host[.]com/wub

utudict.vastserve[.]com/wub

encelan.atspace[.]cc/wub

挖礦二進位文件（Linux）：

updatecenter[.]net/lub

openserver[.]eu/lub

glocato.atspace[.]eu/lub

oraceur.hostkda[.]com/lub

dilarti.1free-host[.]com/lub

utudict.vastserve[.]com/lub

encelan.atspace[.]cc/lub

附加組件哈希值：

B8FD019D4DAB8B895009B957A7FEBAEFCEBAFDD1

BA50EAA31441D5E2C0224B9A8048DAF4015735E7

717C02A1B040187FF54425A64CB9CC001265C0C6

F187E0B6872B096D67C2E261BE41910DAF057761

4E2F1E9E066D7D21CED9D690EF6119E59CF49176

53E7154C2B68EDBCCF37FB73EEB3E042A1DC7108

FF9E491E8E7831967361EDE1BD26FCF1CD640050

3CC8B10BDD5B98BEA94E97C44FFDFB1746F0C472

389CB81D91D640BA4543E178B13AFE53B0E680B5

6DA595FB63F632EE55F36DE4C6E1EB4A2A833862

9458F3D601D30858BBA1AFE1C281A1A99BF30542

B4894B6E1949088350872BDC9219649D50EE0ACA

79BCC4F2D19A394DD2DB2B601208E1D1EA57565B

AAAEDE03F6C014CEE8EC0D9C0EA4FC7B0E67DB59

C66B5ADF3BDFA87B0731512DD2654F4341EBAE5B

F0196D821381248EB8717F47C70D8C235E83A12E

7CFD561C215DC04B702FE40A199F0B60CA706660

挖礦程序和下載器模塊哈希值（Windows）：

挖礦程序和下載器模塊哈希值（Linux）：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！