明硕|复杂挖矿木马米纳斯技术分析

摘要近期,技术人员在用户现场检测时发现系统进程中存在一段可疑的 Shellcode,随后对其进行了深入调查,最终在系统的隐蔽位置中发现了挖矿木马——Minas。

各位老铁们好,相信很多人对明硕|复杂挖矿木马米纳斯技术分析都不是特别的了解,因此呢,今天就来为大家分享下关于明硕|复杂挖矿木马米纳斯技术分析以及的问题知识,还望可以帮助大家,解决大家的一些困惑,下面一起来看看吧!

重建Minas复杂感染链

虽然目前无法重现整个感染过程,但可以从执行的PowerShell中回顾其套路,如下图所示:

图1. Minas攻击执行流程

PowerShell脚本首先进入系统,运行后通过调度程序从远程服务器下载lgntoerr.gif文件;该脚本解密lgntoerr.gif文件并生成.NET DLL,然后加载该DLL;NET DLL 提取并解密三个文件:两个DLL 和一个加密的有效负载,并将其放置在程序数据目录中;NET DLL也会首先创建一个任务,以便在系统启动时可以通过任务计划自动运行合法的ilasm.exe。成分;任务计划程序从ProgramData 目录启动ilasm.exe;然后ilasm.exe在同一目录中启动一个DLL,劫持Fusion.dll并融合它,该.dll加载第二个解密的DLL;该DLL 创建一个挂起的dllhost。 exe 进程并从加密的二进制文件中解密有效负载;然后,解密的有效负载作为DLL 加载到dllhost.exe 进程中; dllhost.exe将进程中的PID保存到ProgramData目录下的文件中,并将控制权传递的payload进行解密;最后,有效负载DLL 提取并在内存中启动挖矿程序DLL。经过搜索和比对数据库,确认该恶意软件名为Minas。技术人员对感染链的重建表明,它源自作为任务运行的PowerShell 脚本,该脚本通常是通过GPO 创建的。

图2. 编码的PowerShell 命令

Minas技术剖析说明

PowerShell 脚本的核心功能是启动恶意软件安装过程。为此,PowerShell 脚本从远程服务器下载加密的有效负载,使用自定义XOR 加密算法(密钥“fuckkasd9akey”)对其进行解密,并将有效负载加载到内存中:

图3. 解码后的PowerShell 命令

明硕|复杂挖矿木马米纳斯技术分析

有效负载是.NET 二进制文件(DLL) 传递的三个参数:

$a.GetType(“I.C”).GetMethod(“I”).Invoke($null, ([Byte[]]($d),”A5D9FD13″,0));

$d:NET DLL 作为字节数组; A5D9FD13:(用于解密.NET DLL中资源的密钥); 0:(用于防止创建多个主负载进程的参数)。此.NET 二进制文件(以下简称“安装程序”)负责后续安装.NET DLL 资源中包含的恶意软件组件。

首先,使用哈希函数(Ap、SDBM、RS)安装程序创建目录结构:

图4. 示例文件和目录

接下来,它将检查系统上是否存在合法的ilasm.exe 文件(版本4.0.30319 位于%windir%\Microsoft.NET\Framework64\v4.0.30319\ilasm.exe 或版本2.0.50727 位于%windir %\Microsoft .NET\Framework64\v2.0.50727\ilasm.exe)(如果您的系统上存在ilasm.exe,则它应该位于这些目录之一)。如果未找到该文件,安装过程将终止,一旦找到ilasm.exe,它将创建一个计划任务作为持久机制:

接下来,安装程序启动之前为ilasm.exe 创建的任务,该任务反过来加载位于同一目录中的恶意fusion.dll 库,假设它使用合法的fusion.dll (DLL 劫持)。

恶意软件执行过程由两个加载器组成:DLL hijacker-fusion.dll和下一阶段加载器{SDBMHash(MachineName)}.dll,而DLL劫持者的检查则通过以下步骤:

明硕|复杂挖矿木马米纳斯技术分析

隐藏ilasm.exe进程的控制台;判断进程名称是否为ilasm.exe,否则终止进程;基于SDBM哈希函数,构建路径C:\ProgramData\{SDBMHash(MachineName)}\{SDBMHash(MachineName)}.dll尝试通过LoadLibraryA API函数将DLL加载到内存中。 {SDBMHash(MachineName)}.dll DLL 再次检查进程名称是否为ilasm.exe。然后,生成文件路径C:\ProgramData\{SDBMHash({SDBMHash(MachineName)})}并检查是否存在。如果该文件存在,它会从中读取一个值(十进制数),该十进制数是dllhost.exe 进程的PID 乘以上次Minas 运行创建的0x1F4,然后加载程序尝试使用该值终止该进程PID。

接下来,它读取并解密位于C:\ProgramData\{ApHash(MachineName)}\{RSHash(MachineName)}\{RSHash(MachineName)} 的主要有效负载(矿工)。此外,加载程序还会创建一个进程环境变量(SetEnvironmentVariable) 配置,其值为{“addr”:”185.243.112.239:443″,”p”:”143e256609bcb0be5b9f9c8f79bdf8c9″}。

图5. 通过流程传递参数

之后,{SDBMHash(MachineName)}.dll创建一个挂起的dllhost.exe进程,创建一个部分,将其映射到dllhost.exe进程,并写入之前读取和解密的文件(原始的矿工组件加载器)。然后它读取dllhost.exe 进程的内存,确定主线程的入口点并将其重写为:

将创建的dllhost.exe进程中的PID乘以0x1F4并写入C:\ProgramData\{SDBMHash({SDBMHash(MachineName)})}后,dllhost.exe进程恢复,ilasm.exe进程终止。最后,dllhost.exe将控制流传递给解密后的原始加载程序,使加载程序将XMRig矿工(DLL文件形式的XMRig矿工程序集)映射到进程内存中,然后使用反射加载启动它,矿工获得使用GetEnvironmentVariable 变量配置值来挖掘加密货币的流程环境。

图6. 进程环境变量值

用户评论

明硕|复杂挖矿木马米纳斯技术分析
面瘫脸

作为一名安全研究者,我一直关注着挖矿木马的变化趋势,这篇文章对Minas的技术分析非常细致,尤其是关于其多层次加密和挖矿策略的描述让我印象深刻!

    有20位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
发型不乱一切好办

感觉这个复杂挖矿木马就如同一个精密机器,作者一步步揭开了它的秘密。看完这篇分析之后总觉得有一种“Aha!”的感觉,这种深入的技术解析真是太棒了!

    有11位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
冷风谷离殇

对技术细节不多了解,但我能感受到文章的专业性很高。希望以后博主也能多关注一些入门级安全知识,帮助更多人理解网络威胁。

    有6位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
男神大妈

这个Minas木马听起来确实很可怕,居然能利用CPU、GPU进行挖矿,效率也太高了吧!我最近听说不少电脑突然运行很缓慢,这会不会就是它的作祟?

    有10位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
孤败

标题一看就知道是专业人士写的技术文章,看得懂一半已经觉得很了不起了。作为 layman 真的是只能膜拜大神们了!希望以后能够看到更通俗易懂的解读。

    有13位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
自繩自縛

我一直担心这种挖矿木马会变得越来越复杂,文章分析结果让我更加肯定了这个担忧。我们需要提高安全意识,做好防御工作!

    有11位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
珠穆郎马疯@

我理解作者想要揭露Minas的机制,但我对一些技术细节还是一头雾水,感觉需要更深入的学习才能完全理解。希望以后能有更多实践案例来佐证分析结果。

    有11位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
烟雨离殇

感谢博主的细心研究成果!对于安全领域爱好者来说,这样的深度分析非常宝贵。如果可以加入一下对抗Minas的手段和策略分享,那将会更加实用!

    有13位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
顶个蘑菇闯天下i

感觉这篇文章写得比较学术化,缺乏一些趣味性和可读性,也许可以尝试用更口语化的语言表达,让更多人了解这方面的知识。

    有13位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
◆乱世梦红颜

文章分析得很全面,对Minas的挖矿机制、数据加密等方面都进行深入探讨,让我受益匪浅!建议作者可以定期更新一些最新安全技术趋势和案例分享。

    有14位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
安陌醉生

虽然我并不擅长网络安全,但看了这篇之后感觉这个Minas木马确实很棘手。我们应该提高警惕,及时升级软件系统,保护自己免受攻击的侵害!

    有9位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
有恃无恐

文章对Complex挖矿木马的分析很有帮助,不过我觉得可以更注重实际应用场景和防护措施,这样才能让读者更好地理解和应对这些威胁。

    有7位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
空巷

作者的技术分析非常到位,能够清晰地理解Minas背后的运作机制。希望以后还能更多地关注类似复杂木马的案例研究,为安全领域的进步贡献力量!

    有7位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
遗憾最汹涌

我个人觉得这篇文章有点枯燥,缺乏一些生动的例子和场景描述。尽管技术分析很全面,但读来却让人比较沉闷。

    有10位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
╭摇划花蜜的午后

对Minas木马了解不多,只能说博主写的分析篇幅太长了,内容也过于专业化,让普通人难以理解。希望能更侧重实际应用案例,让读者更容易接受和消化信息!

    有11位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
景忧丶枫涩帘淞幕雨

这篇文章真是太赞了!作者非常专业,深入浅出地讲解了Minas木马的技术细节。希望以后博主能够继续分享更多精彩的安全技术分析文章!

    有17位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
﹎℡默默的爱

我是一个小白玩家,对网络安全基本没了解过,感觉这篇分析文章有些过于专业,建议作者在阐述某些技术概念时可以增加一些通俗易懂的解释或者比喻,这样更容易让一般人理解。

    有19位网友表示赞同!

明硕|复杂挖矿木马米纳斯技术分析
素婉纤尘

Minas真是太厉害了,居然可以利用多种加密方式来隐藏它的 Tracks! 这也让我更加意识到网络安全的重要性。我们应该时刻提高警惕,加强自身安全意识!

    有6位网友表示赞同!

原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/97258.html

(0)
小su's avatar小su
上一篇 2024年8月29日 下午7:00
下一篇 2024年8月29日 下午7:03

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注