0×1 概述數字貨幣「挖礦」, 通俗講就是猜數字求解,猜對即可獲得數字貨幣獎勵。目前已知的數字貨幣約有100多種,包括比特幣、萊卡幣、門羅幣等常見型別,並且近年來其價格呈快速增長趨勢。以比特幣為例,目前1比特幣價格為14841美元,摺合人民幣97140元;而在2017年年初1比特幣價格僅為1000美元,在短短的一年內其價格上漲十幾倍。巨大的利潤吸引越來越多的挖礦者投入更多的計算資源挖礦,並將算盤打到廣大網友頭上。 騰訊電腦管家近日捕獲的HSR幣挖礦木馬,隱藏在「絕地求生」輔助程式中,而由於「絕地求生」對電腦效能要求較高,不法分子瞄準」絕地求生」玩家電腦,相當於找到了「絕佳」的挖礦機器。經分析,已確定該挖礦木馬名為tlMiner,由一遊戲輔助團隊投放,目前已影響了數十萬臺使用者機器。 絕地求生小輔助啟動流程:
(HSR幣,網上戲稱為「紅燒肉」幣,是一種新的去中心化、開源、跨系統的數字加密貨幣,具有雙重側鏈,同時相容區塊鏈和DAG兩種分散式系統,HSR於今年6月完成ICO,8月20日上線中國比特幣交易平臺,目前交易價格接近200人民幣,且仍在上漲;與比特幣類似,HSR幣數量也是固定的,總量大約為8400萬) 0×2 詳細分析這款輔助採用易語言編寫,包含輔助主程式,依賴庫以及白利用檔案tlwgft.dat。
主程式加了4層殼:兩層upx壓縮,一層簡單的加密殼,以及部分VM程式碼。其中解密演算法也被混淆,以此對抗反編譯。
被解密的程式碼每4位元組為一組,與0Xc2e22c1c做減法即可解密。
輔助啟動後會拷貝系統的白檔案,覆蓋到當前目錄tlwgft.dat,預設拷貝mshat.exe。如果拷貝失敗,則從內建列表依次拷貝,可被利用的系統檔案列表如下:
拷貝完畢則啟動tlwgft.dat程序,主程式內建一個PE檔案mgr.exe,利用記憶體載入方式替換tlwgfz的記憶體為mgr,替換時會刻意抹掉PE頭,以對抗記憶體dump。tlwgft此時屬於輔助主介面程式,負責輔助的更新,模組投放,以及挖礦木馬投放。 主程式啟動後,聯網訪問一份程序列表。
這是一份木馬的程序檢查黑名單,大部分是安全類軟體,如果本機有以下程序在執行,則提示使用者關閉或解除安裝這些軟體。
輔助主介面:
輔助開啟後,從伺服器拉取配置檔案,目前已知該輔助有3個伺服器:
下載後解壓檔案,是輔助的一些功能配置檔案。
拉取完輔助配置檔案,會從伺服器拉取挖礦程式pubghsr.exe。
下載成功後Pubghsr被釋放在c:\windows\system\wininit.exe,並設定為開機啟動。 程式基於ccMiner 2.0開源挖礦程式,ccMiner是基於NVIDIA GPU的挖礦程式,相容windows,Linux,目前支援包括bitcoin 、HSR、Sibcoin 在內的58種虛擬幣的挖掘。
目前該挖礦木馬專門挖取HSR幣,以目前的交易價格,1算力每天可獲得人民幣2.014元。
由於個體挖礦產出能力有限,很可能顆粒無收,該木馬會藉助礦池挖礦,已連線礦池地址: hcash.uupool.cn: 雙優礦池,使用者名稱為tlwg.TCCS3hcash-shanghai.globalpool.cc: 新星上海礦池,tlwg.PUBG礦池作為一個平臺,所有有計算能力的機器都可以參與挖礦,若獲得獎勵,則按其機器的算力高低分配。目前HSR幣的產量大概每天624.93個。
HSR幣從12月15號價格開始上漲,目前交易價格為人民幣174元,且還在上漲。
0×3 溯源該輔助工具雖然存在已久,但此次發現的挖礦木馬是在12月8號輔助新版釋出後纔開始植入輔助工具。從傳播趨勢看,該木馬從12月8號開始影響使用者機器,並在12月20號達到最高峰值,僅20號當天就有近20萬臺機器受到該挖礦木馬影響。
該輔助程式在12月22日晚宣佈停用。
但巨大的利益驅使不法分子在12月25號重新開放輔助及挖礦功能。
根據留下的社交群號碼,找到多個超級群,且這些超級群也都是滿員狀態。
從建立日期看,有些是挖礦木馬投放當天建立的。
根據社交群檔案找到輔助的下載地址:
開啟後得到網盤下載地址,在該資源目錄下,發現除了絕地求生輔助,還有其它加速器破解版。
經驗證,該加速器同樣被植入挖礦木馬:
已知這兩款程式是由某網咖聯盟團隊開發,在BBS上也可以發現絕地求生小輔助,而且下載量也過萬。
進入其工會頻道,頻道內24小時機器人喊話推廣這款輔助,公告上也提示使用者解除安裝掉防毒軟體。
此外,下載站也在瘋狂傳播該輔助程式。經分析,網上搜索「吃雞」、「絕地求生」等關鍵詞,在搜尋頁面置頂的下載站輔助程式同樣攜帶挖礦木馬。從圖可知,僅通過該下載器下載輔助的人次就已高達10萬。
0×4 安全建議1、 開啟系統自動更新,及時打補丁,防止惡意木馬利用; 2、 伺服器避免使用弱口令,不給不法分子可乘之機; 3、 機器卡慢時應立即檢視CPU使用情況,若發現可疑程序可及時關閉; 4、 不瀏覽色情、輔助等被標記為不可信的網站; 5、 不使用輔助及來路不明的軟體,使用軟體前先用安全軟體進行掃描,使用騰訊電腦管家攔截查殺該類挖礦木馬。 |