Sophos研究人員發(fā)現(xiàn)有數(shù)據(jù)庫(kù)服務(wù)器進(jìn)程(sqlservr.exe)啟動(dòng)了有個(gè)下載器可執(zhí)行文件，該下載器會(huì)提取一個(gè)名為MrbMiner的加密貨幣挖礦機(jī)。根據(jù)開(kāi)源情報(bào)分析，研究人員發(fā)現(xiàn)該礦工是由伊朗的一家軟件開(kāi)發(fā)公司創(chuàng)建和控制的。

Microsoft SQL服務(wù)器目錄運(yùn)行的可執(zhí)行文件下載MrbMiner

研究人員分析發(fā)現(xiàn)MrbMiner采用了類似MyKings、Lemon_Duck、Kingminer等加密貨幣挖礦機(jī)使用的技術(shù)來(lái)實(shí)現(xiàn)駐留。

研究人員分析發(fā)現(xiàn)Microsoft SQL Server進(jìn)程 (sqlservr.exe)啟動(dòng)了一個(gè)名為assm.exe的下載器木馬。assm.exe程序會(huì)從web 服務(wù)器下載一個(gè)加密貨幣挖礦機(jī)payload，然后連接到C2服務(wù)器來(lái)報(bào)告是否成功下載和執(zhí)行挖礦礦工。

在大多數(shù)案例中，payload是一個(gè)名為sys.dll的文件，雖然該文件的后綴是dll，但并不是一個(gè)Windows DLL文件，而是含有加密貨幣挖礦機(jī)二進(jìn)制文件、配置文件和相關(guān)文件的zip壓縮包。

研究人員從GitHub上找到了一個(gè)相同命名的sys.dll payload。許多都完全都有Linux版本的加密貨幣挖礦機(jī)payload，但其配置文件使用了不同的加密貨幣錢包地址而不是Windows版本的。

MrbMiner加密貨幣挖礦機(jī)payload包含一個(gè)kernel級(jí)的設(shè)備驅(qū)動(dòng)WinRing0x64.sys和一個(gè)名為Windows Update Service.exe的挖礦機(jī)可執(zhí)行文件來(lái)混淆其真實(shí)目的?？蓤?zhí)行文件是XMRig 挖礦機(jī)的修改版本。

WinRing0x64.sys 文件是一個(gè)kernel 驅(qū)動(dòng)，允許用戶應(yīng)用獲取ring0 級(jí)的資源。這樣攻擊者就可以訪問(wèn)CPU 寄存器這樣的特征，還可以直接讀寫內(nèi)存。此外，加密貨幣挖礦機(jī)使用驅(qū)動(dòng)來(lái)修改MSR 寄存器來(lái)禁用CPU預(yù)取器，CPU預(yù)取器可以帶來(lái)6-7%的性能提升。該驅(qū)動(dòng)是標(biāo)準(zhǔn)的功能，在2019年12月加入到XMRig 挖礦機(jī)中。

不同源域名之間共享的可疑文件

研究人員在MrbMiner 樣本中發(fā)現(xiàn)了一個(gè)名為sys.dll的zip文件。

進(jìn)一步分析發(fā)現(xiàn)了大量的相關(guān)文件和URL。研究人員在挖礦機(jī)配置文件中發(fā)現(xiàn)了一個(gè)硬編碼的域名——vihansoft.ir。

該域名與許多含有礦工副本的zip文件有關(guān)系，包括名為agentx.dll 和 hostx.dll的文件。這些不同的zip文件包含的payload包括Windows Security Service.exe、Windows Host Management.exe、Install Windows Host.exe、Installer Service.exe、Microsoft Media Service.exe和名為linuxservice和 netvhost的Linux ELF可執(zhí)行文件。

許多這些相同的文件都是從其他域名下載的，包括mrbfile.xyz 和 mrbftp.xyz。其他惡意文件都保存在這些站點(diǎn)上，zip文件名為sys.dll 和 syslib.dll，zip文件中的payload為Windows Security Service.exe、SecurityService.exe和PowerShellInstaller.exe。

與伊朗有關(guān)

研究人員分析發(fā)現(xiàn)大多數(shù)攻擊活動(dòng)的目標(biāo)都是聯(lián)網(wǎng)的服務(wù)器。挖礦的配置、域名和IP地址等相關(guān)記錄都指向了同一個(gè)源頭：一家位于伊朗的小軟件開(kāi)發(fā)公司。

Payload位置和C2服務(wù)器地址都是硬編碼在下載器中的。C2和payload服務(wù)器使用的域名——vihansoft.ir，都是一家位于伊朗的軟件開(kāi)發(fā)公司注冊(cè)的。Payload 也是vihansoft.ir域名相關(guān)的IP地址直接下載的。

研究人員礦工payload是從vihansoft 域名的web root目錄下載的。加密貨幣數(shù)據(jù)發(fā)送給了位于poolmrb.xyz 和 mrbpool.xyz 域名的錢包地址。礦工惡意軟件是從vihansoft.ir、mrbfile和mrbftp等域名下載的，這些域名會(huì)與poolmrb/mrbpool 域名進(jìn)行通信。

Mrb域名和vihansoft都沒(méi)有可用的WHOIS信息，但是他們都使用相同的WHOIS 隱私服務(wù)——WhoisGuard，來(lái)隱藏域名所有者信息。

本文翻譯自：

https://news.sophos.com/en-us/2021/01/21/mrbminer-cryptojacking-to-bypass-international-sanctions/

【責(zé)任編輯：趙寧寧 TEL：（010）68476606】