-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-05-02
- 在线时间18634小时
-
- 发帖786294
- 搜Ta的帖子
- 精华0
- 飞翔币209891
- 威望215717
- 飞扬币2613068
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 786294
- 飞翔币
- 209891
- 威望
- 215717
- 飞扬币
- 2613068
- 信誉值
- 8
|
—
本帖被 任逍遥 执行锁定操作(2024-06-28)
—
[font=-apple-system, BlinkMacSystemFont, "]近期,火绒威胁情报系统监测到Rozena挖矿病毒正通过伪装成APEX游戏辅助进行传播。该病毒被激活后,会通过各种手段常驻用户计算机中,并在后台利用受害者终端进行挖矿,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]查杀图[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]该病毒的执行流程,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]执行流程图[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]一、 样本分析[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]Rozena[font=-apple-system, BlinkMacSystemFont, "]挖矿病毒使用多种混淆手段来对抗如:字符串混淆,将所有字符串都进行加密来防止被杀毒软件特征识别,相关代码,如下图所示:[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]字符串混淆[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]为了避免用户层被 hook 的敏感函数检测到敏感行为,[font=-apple-system, BlinkMacSystemFont, "]Rozena[font=-apple-system, BlinkMacSystemFont, "]使用syscall直接系统调用,绕过应用层的一些检测,相关代码,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]使用syscall进行系统调用[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]Rozena[font=-apple-system, BlinkMacSystemFont, "]挖矿病毒启动后,会对操作系统进行一些设置(添加相关路径到杀毒软件白名单、关闭自动更新、将休眠和待机超时设置为永不),方便后续操作,相关代码,如下图所示:[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]对操作系统进行设置[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]还会向系统hosts文件中写入数据,屏蔽大部分杀毒软件的官方网站,如下图所示:[font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]hosts[font=-apple-system, BlinkMacSystemFont, "]屏蔽杀毒软件官方[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]对系统设置完成之后,会判断当前进程是否为updater.exe,如果不是就会将自身复制到“C:ProgramFilesGoogleChromeupdater.exe”伪装成Google更新程序,添加任务计划中并运行,相关代码如下图所示:[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]复制自身并添加任务计划[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]被添加后的任务计划信息,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]任务计划信息[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]Rozena[font=-apple-system, BlinkMacSystemFont, "]挖矿病毒还可以通过注册表来进行持久化操作(调试过程中并未调用),如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]注册表持久化[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]如果当前进程为updater.exe会通过傀儡进程(Process Hollowing)的方式,将看门狗(WatchDog)注入到conhost.exe用来监控任务计划和updater.exe是否被删除等持久化操作,相关代码,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]傀儡进程注入[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]在看门狗(WatchDog)中每隔5秒进行检测一次,任务计划和updater.exe是否被删除,如果被删除就会创建一个新的,查看,相关代码,如下图所示:[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]持久化代码[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]使用相同的注入手段将挖矿程序(XMRig)注入进Explorer中,火绒剑查看进程的信息,如下图所示:[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]火绒剑进程信息[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]通过查看该进程的字符串信息可知,该挖矿程序为XMRig 6.19.3,如下图所示:[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]XMRig[font=-apple-system, BlinkMacSystemFont, "]版本信息[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]二、附录[font=-apple-system, BlinkMacSystemFont, "]C&C[font=-apple-system, BlinkMacSystemFont, "]:[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]HASH[font=-apple-system, BlinkMacSystemFont, "]:[font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]
|
