僵尸网络 Stantinko 犯罪活动新增加密货币挖矿
ESET 研究人员发现,Stantinko 僵尸网络背后的犯罪分子正在向他们控制的肉鸡分发加密货币挖矿模块。 Stantinko 僵尸网络 的操纵者已经通过一种新方法扩展了其工具集从受其控制的肉鸡中获利。多达 50 万的僵尸网络自 2012 年以来一直保持活跃,主要针对俄罗斯,乌克兰,白俄罗斯和哈萨克斯坦的用户,现在分发了一个加密货币挖矿模块。门罗币是一种加密货币,其汇率在 2019 年在 50 美元至 110 美元之间波动,自 2018 年 8 月以来,它一直是僵尸网络的获利手段。在此之前,僵尸网络进行了点击欺诈,广告注入,社交网络欺诈和密码窃取攻击。 在本文中,我们将介绍 Stantinko 的加密货币挖矿模块并对其功能进行分析。 该模块最显着的功能是它的混淆方式阻碍了分析并避免了检测。由于源代码级混淆以及随机性使用,而且 Stantinko 的操纵者会为每个新的受害者编译此模块,因此该模块的每个样本都是唯一的。 我们将在另一篇文章中为恶意软件分析人员介绍该模块的混淆技术,并提供一种处理其中某些问题的可行方法。 由于 Stantinko 一直在不断开发新的产品并改进其现有的自定义混淆器和模块,这些混淆器和模块被严重混淆,因此跟踪每个小的改进和修改非常困难。因此,我们决定仅提及和描述与早期样本相比比较重要的调整。最终,在本文中我们打算仅描述模块当前的状态。 修改后的开源加密货币挖矿软件 Stantinko 的加密货币挖矿模块通过挖掘加密货币来耗尽受感染机器的大部分资源,它是 xmr-stak 的大幅修改后的开源加密货币挖矿版本。为了逃避检测,删除了所有不必要的字符串甚至整个函数。其余的字符串和函数被严重混淆。ESET 安全产品将此恶意软件检测为 Win{32,64}/CoinMiner.Stantinko.。 挖矿代理的使用 CoinMiner.Stantinko 不会直接与其矿池进行通信,而是通过 IP 地址为从 YouTube 视频的描述中获取的代理进行通信。使用了与银行恶意软件 Casbaneiro 类似的技术在 YouTube 视频描述中隐藏数据。Casbaneiro 使用看起来更为合法的频道和描述,但目的大致相同:存储加密的 C&C。 此类视频的描述由以十六进制格式的挖矿的代理 IP 地址字符串组成。例如,图1中显示的 YouTube 视频的描述为 “03101f1712dec626”,它对应于两个十六进制格式的 IP 地址- 03101f17 对应于十进制点分四进制格式的 3.16.31[.]23,而 12dec626 对应 18.222.198[.]38。截至本文,格式已稍作调整。 IP地址当前用 “!!!!” 括起来,简化了解析过程,并防止了 YouTube 视频 HTML 结构的更改导致解析器无法正常工作。