各位老铁们好，相信很多人对明硕｜复杂挖矿木马米纳斯技术分析都不是特别的了解，因此呢，今天就来为大家分享下关于明硕｜复杂挖矿木马米纳斯技术分析以及的问题知识，还望可以帮助大家，解决大家的一些困惑，下面一起来看看吧！

重建Minas复杂感染链

虽然目前无法重现整个感染过程，但可以从执行的PowerShell中回顾其套路，如下图所示：

图1. Minas攻击执行流程

PowerShell脚本首先进入系统，运行后通过调度程序从远程服务器下载lgntoerr.gif文件；该脚本解密lgntoerr.gif文件并生成.NET DLL，然后加载该DLL；NET DLL 提取并解密三个文件：两个DLL 和一个加密的有效负载，并将其放置在程序数据目录中；NET DLL也会首先创建一个任务，以便在系统启动时可以通过任务计划自动运行合法的ilasm.exe。成分；任务计划程序从ProgramData 目录启动ilasm.exe；然后ilasm.exe在同一目录中启动一个DLL，劫持Fusion.dll并融合它，该.dll加载第二个解密的DLL；该DLL 创建一个挂起的dllhost。 exe 进程并从加密的二进制文件中解密有效负载；然后，解密的有效负载作为DLL 加载到dllhost.exe 进程中； dllhost.exe将进程中的PID保存到ProgramData目录下的文件中，并将控制权传递的payload进行解密；最后，有效负载DLL 提取并在内存中启动挖矿程序DLL。经过搜索和比对数据库，确认该恶意软件名为Minas。技术人员对感染链的重建表明，它源自作为任务运行的PowerShell 脚本，该脚本通常是通过GPO 创建的。

图2. 编码的PowerShell 命令

Minas技术剖析说明

PowerShell 脚本的核心功能是启动恶意软件安装过程。为此，PowerShell 脚本从远程服务器下载加密的有效负载，使用自定义XOR 加密算法（密钥“fuckkasd9akey”）对其进行解密，并将有效负载加载到内存中：

图3. 解码后的PowerShell 命令

有效负载是.NET 二进制文件(DLL) 传递的三个参数：

$a.GetType(“I.C”).GetMethod(“I”).Invoke($null, ([Byte[]]($d),”A5D9FD13″,0));

$d：NET DLL 作为字节数组； A5D9FD13：（用于解密.NET DLL中资源的密钥）； 0：（用于防止创建多个主负载进程的参数）。此.NET 二进制文件（以下简称“安装程序”）负责后续安装.NET DLL 资源中包含的恶意软件组件。

首先，使用哈希函数（Ap、SDBM、RS）安装程序创建目录结构：

图4. 示例文件和目录

接下来，它将检查系统上是否存在合法的ilasm.exe 文件（版本4.0.30319 位于%windir%\Microsoft.NET\Framework64\v4.0.30319\ilasm.exe 或版本2.0.50727 位于%windir %\Microsoft .NET\Framework64\v2.0.50727\ilasm.exe）（如果您的系统上存在ilasm.exe，则它应该位于这些目录之一）。如果未找到该文件，安装过程将终止，一旦找到ilasm.exe，它将创建一个计划任务作为持久机制：

接下来，安装程序启动之前为ilasm.exe 创建的任务，该任务反过来加载位于同一目录中的恶意fusion.dll 库，假设它使用合法的fusion.dll （DLL 劫持）。

恶意软件执行过程由两个加载器组成：DLL hijacker-fusion.dll和下一阶段加载器{SDBMHash(MachineName)}.dll，而DLL劫持者的检查则通过以下步骤：

隐藏ilasm.exe进程的控制台；判断进程名称是否为ilasm.exe，否则终止进程；基于SDBM哈希函数，构建路径C:\ProgramData\{SDBMHash(MachineName)}\{SDBMHash(MachineName)}.dll尝试通过LoadLibraryA API函数将DLL加载到内存中。 {SDBMHash(MachineName)}.dll DLL 再次检查进程名称是否为ilasm.exe。然后，生成文件路径C:\ProgramData\{SDBMHash({SDBMHash(MachineName)})}并检查是否存在。如果该文件存在，它会从中读取一个值（十进制数），该十进制数是dllhost.exe 进程的PID 乘以上次Minas 运行创建的0x1F4，然后加载程序尝试使用该值终止该进程PID。

接下来，它读取并解密位于C:\ProgramData\{ApHash(MachineName)}\{RSHash(MachineName)}\{RSHash(MachineName)} 的主要有效负载（矿工）。此外，加载程序还会创建一个进程环境变量(SetEnvironmentVariable) 配置，其值为{“addr”:”185.243.112.239:443″,”p”:”143e256609bcb0be5b9f9c8f79bdf8c9″}。

图5. 通过流程传递参数

之后，{SDBMHash(MachineName)}.dll创建一个挂起的dllhost.exe进程，创建一个部分，将其映射到dllhost.exe进程，并写入之前读取和解密的文件（原始的矿工组件加载器）。然后它读取dllhost.exe 进程的内存，确定主线程的入口点并将其重写为：

将创建的dllhost.exe进程中的PID乘以0x1F4并写入C:\ProgramData\{SDBMHash({SDBMHash(MachineName)})}后，dllhost.exe进程恢复，ilasm.exe进程终止。最后，dllhost.exe将控制流传递给解密后的原始加载程序，使加载程序将XMRig矿工（DLL文件形式的XMRig矿工程序集）映射到进程内存中，然后使用反射加载启动它，矿工获得使用GetEnvironmentVariable 变量配置值来挖掘加密货币的流程环境。

图6. 进程环境变量值