MrbMiner:伊朗加密货币挖矿恶意软件攻击SQL服务器

安全
研究人员发现一个与伊朗软件公司有关的加密货币挖矿恶意软件——MrbMiner。

Sophos研究人员发现有数据库服务器进程(sqlservr.exe)启动了有个下载器可执行文件,该下载器会提取一个名为MrbMiner的加密货币挖矿机。根据开源情报分析,研究人员发现该矿工是由伊朗的一家软件开发公司创建和控制的。

MrbMiner:伊朗加密货币挖矿恶意软件攻击SQL服务器

Microsoft SQL服务器目录运行的可执行文件下载MrbMiner

研究人员分析发现MrbMiner采用了类似MyKings、Lemon_Duck、Kingminer等加密货币挖矿机使用的技术来实现驻留。

研究人员分析发现Microsoft SQL Server进程 (sqlservr.exe)启动了一个名为assm.exe的下载器木马。assm.exe程序会从web 服务器下载一个加密货币挖矿机payload,然后连接到C2服务器来报告是否成功下载和执行挖矿矿工。

MrbMiner:伊朗加密货币挖矿恶意软件攻击SQL服务器

在大多数案例中,payload是一个名为sys.dll的文件,虽然该文件的后缀是dll,但并不是一个Windows DLL文件,而是含有加密货币挖矿机二进制文件、配置文件和相关文件的zip压缩包。

MrbMiner:伊朗加密货币挖矿恶意软件攻击SQL服务器

研究人员从GitHub上找到了一个相同命名的sys.dll payload。许多都完全都有Linux版本的加密货币挖矿机payload,但其配置文件使用了不同的加密货币钱包地址而不是Windows版本的。

MrbMiner:伊朗加密货币挖矿恶意软件攻击SQL服务器

MrbMiner加密货币挖矿机payload包含一个kernel级的设备驱动WinRing0x64.sys和一个名为Windows Update Service.exe的挖矿机可执行文件来混淆其真实目的。可执行文件是XMRig 挖矿机的修改版本。

WinRing0x64.sys 文件是一个kernel 驱动,允许用户应用获取ring0 级的资源。这样攻击者就可以访问CPU 寄存器这样的特征,还可以直接读写内存。此外,加密货币挖矿机使用驱动来修改MSR 寄存器来禁用CPU预取器,CPU预取器可以带来6-7%的性能提升。该驱动是标准的功能,在2019年12月加入到XMRig 挖矿机中。

不同源域名之间共享的可疑文件

研究人员在MrbMiner 样本中发现了一个名为sys.dll的zip文件。

MrbMiner:伊朗加密货币挖矿恶意软件攻击SQL服务器

进一步分析发现了大量的相关文件和URL。研究人员在挖矿机配置文件中发现了一个硬编码的域名——vihansoft.ir。

MrbMiner:伊朗加密货币挖矿恶意软件攻击SQL服务器

 

该域名与许多含有矿工副本的zip文件有关系,包括名为agentx.dll 和 hostx.dll的文件。这些不同的zip文件包含的payload包括Windows Security Service.exe、Windows Host Management.exe、Install Windows Host.exe、Installer Service.exe、Microsoft Media Service.exe和名为linuxservice和 netvhost的Linux ELF可执行文件。

MrbMiner:伊朗加密货币挖矿恶意软件攻击SQL服务器

许多这些相同的文件都是从其他域名下载的,包括mrbfile.xyz 和 mrbftp.xyz。其他恶意文件都保存在这些站点上,zip文件名为sys.dll 和 syslib.dll,zip文件中的payload为Windows Security Service.exe、SecurityService.exe和PowerShellInstaller.exe。

MrbMiner:伊朗加密货币挖矿恶意软件攻击SQL服务器

与伊朗有关

研究人员分析发现大多数攻击活动的目标都是联网的服务器。挖矿的配置、域名和IP地址等相关记录都指向了同一个源头:一家位于伊朗的小软件开发公司。

Payload位置和C2服务器地址都是硬编码在下载器中的。C2和payload服务器使用的域名——vihansoft.ir,都是一家位于伊朗的软件开发公司注册的。Payload 也是vihansoft.ir域名相关的IP地址直接下载的。

研究人员矿工payload是从vihansoft 域名的web root目录下载的。加密货币数据发送给了位于poolmrb.xyz 和 mrbpool.xyz 域名的钱包地址。矿工恶意软件是从vihansoft.ir、mrbfile和mrbftp等域名下载的,这些域名会与poolmrb/mrbpool 域名进行通信。

Mrb域名和vihansoft都没有可用的WHOIS信息,但是他们都使用相同的WHOIS 隐私服务——WhoisGuard,来隐藏域名所有者信息。

本文翻译自:

https://news.sophos.com/en-us/2021/01/21/mrbminer-cryptojacking-to-bypass-international-sanctions/

【责任编辑:赵宁宁 TEL:(010)68476606】

 

责任编辑:赵宁宁 来源: 嘶吼网
相关推荐

2021-10-22 11:52:26

加密货币NPM数字货币

2022-02-09 11:10:06

云计算服务恶意软件

2021-06-25 10:00:19

Python 存储库恶意软件

2021-04-26 23:27:41

僵尸网络漏洞恶意代码

2021-05-13 09:30:54

攻击恶意软件恶意挖矿

2021-12-28 00:42:47

加密货币挖矿运营

2018-03-15 08:07:06

2022-01-07 18:33:56

加密货币恶意软件攻击

2019-05-22 15:10:43

2023-11-13 16:29:07

2024-01-10 15:46:06

2021-04-05 17:55:16

GitHub恶意软件加密货币

2024-01-18 17:43:47

2021-12-08 11:49:43

KMSPico加密货币Red Canary

2020-12-30 13:14:12

比特币加密货币区块链

2024-08-30 11:35:20

2018-09-11 08:47:03

2011-12-22 14:56:56

2022-04-13 12:09:07

黑客木马网络攻击

2018-04-03 09:00:00

点赞
收藏

51CTO技术栈公众号