用勺子挖金——门罗币挖矿恶意软件的卷土重来
“罪犯流向金钱流动之处。”这句话在近期网络犯罪分子中确实应验,我们的安全分析师团队在今年4月中旬发现并检测到部署XMRig加密货币挖矿程序的恶意软件在两年沉寂后再次活跃。
由Sean Cartagena、Josemaria Grana和Andrew Go进行的分析指出,可能的驱动因素之一是2025年初至5月门罗币(XMR)的 rally,从196美元涨至285美元,涨幅达45%,并在4月出现显著峰值。这一峰值与随后转换为门罗币的高调比特币盗窃案 coincident。据报道,该盗窃及后续转换由美国单人 orchestrated。此外,XMRig——一个合法的开源工具,设计用于挖掘门罗币加密货币——在4月进行了 significant 优化更新。这些更新可能鼓励了用户(包括威胁行为者)利用最新版本的承诺。
一年内门罗币价值 surge,表现优于比特币和以太坊。
这是过去的同一个XMRig威胁吗?
当前XMRig威胁的明显特点是其多阶段方法和使用LOLBAS(Living Off the Land Binaries and Scripts)技术。这些技术利用预装的Windows工具,如PowerShell,用于下载和执行其 payload、检测规避和 scheduled task 持久化。这些初始行为与2023年观察到的恶意XMRig二进制文件不同,后者将当前二进制版本缩小至约1MB,并仅专注于加密货币挖矿。
一个 notable 观察是脚本以纯文本编写,没有任何形式的编码或混淆。脚本甚至包含直接注释描述命令的使用,表明它可能由LLMs创建或从某个恶意软件工具包或“脚本小子”的作品中复制。尽管脚本可能以简单方式编写,但这种 simplicity 证明有效,在发现时 antivirus vendors 的声誉评分非常低(根据VirusTotal)。当前二进制版本 targeting 更多样化的国家,仍包括俄罗斯,但现在也添加了比利时、希腊和中国。相比之下,根据我们的遥测和情报数据,2023年版本主要影响俄罗斯、阿塞拜疆和乌兹别克斯坦。
攻击链
近期XMRig加密货币挖矿攻击的关键阶段。
批处理文件1.cmd的内容
阶段1:“批处理”回归基础
截至本文撰写时,恶意软件用于到达受害者机器的初始向量仍未知。恶意行为始于svchost.exe创建一个cmd进程,执行Windows批处理文件1.cmd(在其他来源中称为S1.bat)。首次观察时,它是新出现的野外样本,在VirusTotal上检测不超过五次。
执行时,1.cmd首先检查标记文件(check.txt)是否已存在于系统上的%APPDATA%\Temp路径下。如果标记文件存在,批处理文件结束执行。否则,批处理文件修改注册表以将C:\路径排除在Windows Defender扫描之外。1.cmd脚本然后连接到notif[.]su,并使用PowerShell Invoke-WebRequest命令下载S2.bat到C:\Temp文件夹。发现时,notif[.]su是一个新注册的域名,少数 antivirus vendors 将其标记为恶意。
一旦下载,1.cmd通过PowerShell以“-WindowStyle Hidden”参数执行S2.bat,以向用户隐藏窗口。它还创建一个名为"RunS2BatchScript"的 scheduled task,以在受害者机器每次启动时以最高权限运行S2.bat。
阶段2:持久化技术
我们在S2.bat中识别了多种技术,旨在在交付加密货币挖矿 payload 之前建立持久化和规避防御。
S2.bat还检查标记文件的存在以验证机器是否已被感染。脚本检查是否以管理员权限运行,并在必要时尝试提升自身权限。为了加强在受害者机器上的立足点,Windows Defender被设置为跳过扫描C:\驱动器。这是使用PowerShell中的Add-MpPreference –ExclusionPath完成的。
S2.bat中的初始权限和标记文件存在检查
S2.bat通过使用’net stop’和’sc config’命令禁用Windows更新服务,停止相关进程和服务:
- Wuauserv(Windows更新服务)
- BITS(后台智能传输)
- UsoSvc(更新协调器服务)
- DoSvc(交付优化服务)
- WaaSMedicSvc(Windows更新医疗服务)
- TrustedInstaller
它还使用Windows计划任务禁用更新相关任务,防止未来更新以维持持久化并避免可能的检测或移除。
Windows更新服务的禁用
S2.bat然后连接到notif[.]su,该域名假装是真实的nanopool[.]org镜像下载页面之一,欺骗系统下载 supposedly 合法的加密货币挖矿程序。恶意XMRig挖矿程序的文件名根据ping显示哪个服务器最接近受害者而不同。
恶意XMRig挖矿程序的下载和执行
恶意XMRig挖矿程序的下载和执行
阶段3:挖矿时间
一旦恶意XMRig挖矿程序(名为miner.exe)运行,它会在%AppData%\frxpfpjpzvub\dvrctxctzmmr.exe处放置一个重命名的自身副本。然后它在HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DJKONTAH中创建注册表项,值指向放置的副本作为持久化形式。
Miner.exe还在%temp%文件夹中放置一个名为djhtniluoblq.sys的文件。这个.sys文件是WinRing0驱动程序,XMRig的合法组件。它用于执行任务,如注册表修改、直接内存读/写操作和权限提升。
所有托管在notif[.]su上的恶意XMRig挖矿程序文件(例如,eu1.exe、eu2.exe、ws1.exe、na1.exe、as.exe、au1.exe)行为类似,差异在于DateTimeStamp和混淆恶意代码的 deobfuscation 密钥。它们共享相同的文件大小,在相同位置放置副本为dvrctxctzmmr.exe,并创建名为“DJKONTAH”的注册表项。它们还在相同文件路径放置相同的WinRing0驱动程序,但具有不同的随机文件名。
根据我们的OSINT调查,从notif[.]su下载的可执行文件的最后更新副本来自2025年4月15日。阶段1批处理文件s1.bat最后来源于4月17日,然而它在4月22日更新为空白文件,整个域名在几周后被关闭。
结论
具有未混淆行为和使用LOLBAS技术的恶意软件仍然可以被威胁行为者有效使用,溜过裂缝并执行其 payloads。G DATA的XDR(扩展检测和响应)解决方案可以在这些恶意批处理脚本尝试使用这些LOLBAS技术时检测其行为,提供基于行为和活动的另一层保护。
用户还必须意识到其系统中加密货币挖矿感染的可能迹象,例如:
- 网络流量连接到可疑域名,如notif[.]su
- 添加具有随机文件名的可疑文件:
- “dvrctxctzmmr.exe”在%APPDATA%文件夹中
- “djhtniluoblq.sys”在%TEMP%文件夹中
- “check.txt”在%TEMP%文件夹中
- 持久化的注册表项:
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DJKONTAH
入侵指标
1.cmd
a57688c151a42d8a2b78f72d23ae7e6c2d6a458edd50f0a4649cc630614763b0
Script.Trojan-Downloader.Agent.BSD
S2.bat
3acf8d410f30186a800d5e8c3b0b061a6faf7c0939b129d230de42e9034ce6c3
Script.Trojan.Coinminer.EF
miner.exe
f4386aaa87c922d5d7db28d808ad6471b1c4deb95d82a9e6cfe8421196c5610b
Win64.Trojan-Dropper.Coinminer.857JR9
notif[.]su
MALWARE
MITRE TTPs
- Command and Scripting Interpreter: Windows Command Shell – T1059.003
- Command and Scripting Interpreter: PowerShell – T1059.001
- Scheduled Task/Job: Scheduled Task – T1053.005
- System Services: Service Execution – T1569.002
- Exploitation for Privilege Escalation – T1068
- Service Stop – T1489
- System Service Discovery - T1007
- Impair Defenses: Disable or Modify Tools - T1562.001
- Exploitation for Privilege Escalation - T1068
- Query Registry - T1012
- System Information Discovery - T1082
- Non-Standard Port - T1571