WebCobra挖矿恶意软件深度分析与防御指南<\/h1>

一、概述<\/h2>
WebCobra是一种利用受害者计算机资源进行加密货币挖矿的恶意软件，由McAfee实验室研究人员发现。该恶意软件会根据系统架构（x86或x64）选择不同的挖矿策略，具有高度隐蔽性和环境适应性。<\/p>

1.1 挖矿恶意软件特点<\/h3>

静默运行，难以检测<\/li>
主要症状为系统性能下降<\/li>
增加电力消耗<\/li>
主要挖掘Monero和Zcash加密货币<\/li>

与加密货币价格走势正相关<\/li> <\/ul>

1.2 传播方式<\/h3>

通过流氓安装程序传播<\/li>

主要感染地区：巴西、南非和美国<\/li> <\/ul>

二、技术分析<\/h2>

2.1 初始感染载体<\/h3>

Microsoft安装程序(MSI)格式<\/li>
包含加密的CAB文件(密码保护)<\/li>

CAB文件包含两个组件：

ERDNT.LOC：解密DLL<\/li>

data.bin：加密的恶意负载<\/li> <\/ul> <\/li> <\/ul>

2.2 解密机制<\/h3>

使用以下算法解密data.bin：<\/p>

PlainText_Byte = (([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E
<\/code><\/pre>
2.3 反分析技术<\/h3>


反调试\/反沙箱<\/strong>：<\/p>

检查窗口标题栏文本匹配特定字符串(安全工具相关)<\/li>
如果检测到分析环境则终止进程<\/li>
<\/ul>
<\/li>

API Unhooking<\/strong>：<\/p>

将ntdll.dll和user32.dll作为数据文件加载<\/li>
覆盖关键API函数的前8个字节<\/li>
受影响API包括：

ntdll.dll: LdrLoadDll, ZwWriteVirtualMemory等<\/li>
user32.dll: SetWindowsHookExW, SetWindowsHookExA<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
2.4 系统架构适配<\/h3>
WebCobra会根据系统架构采取不同策略：<\/p>
x86系统：<\/h4>

将Cryptonight miner代码注入svchost.exe<\/li>
启动进程监视器<\/li>
消耗几乎所有CPU资源<\/li>
<\/ol>
x64系统：<\/h4>

检查是否运行Wireshark(若运行则终止)<\/li>
检查GPU品牌(仅支持Radeon\/Nvidia\/Asus)<\/li>
创建隐藏目录：C:\Users\AppData\Local\WIX Toolset 11.2<\/code><\/li>
从远程服务器下载Claymore's Zcash miner<\/li>
执行挖矿程序后删除初始安装程序<\/li>
<\/ol>
三、挖矿配置分析<\/h2>
3.1 Cryptonight miner配置<\/h3>

矿池: 5.149.254.170<\/li>
用户名: 49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C<\/li>
密码: soft-net<\/li>
<\/ul>
3.2 Claymore's Zcash miner配置<\/h3>

矿池: eu.zec.slushpool.com<\/li>
用户名: pavelcom.nln<\/li>
密码: zzz<\/li>
<\/ul>
四、MITRE ATT&CK技术映射<\/h2>



技术ID<\/th>
技术名称<\/th>
描述<\/th>
<\/tr>
<\/thead>


T1071<\/td>
应用层协议<\/td>
通过C&C通道通信<\/td>
<\/tr>

T1059<\/td>
命令行界面<\/td>
使用命令行执行操作<\/td>
<\/tr>

T1179<\/td>
Hooking<\/td>
通过unhook API规避检测<\/td>
<\/tr>

T1005<\/td>
本地系统数据<\/td>
从本地系统收集数据<\/td>
<\/tr>

T1083<\/td>
文件和目录发现<\/td>
发现系统文件和目录<\/td>
<\/tr>

T1012<\/td>
查询注册表<\/td>
查询注册表信息<\/td>
<\/tr>

T1082<\/td>
系统信息发现<\/td>
收集系统信息<\/td>
<\/tr>

T1057<\/td>
进程发现<\/td>
枚举运行中的进程<\/td>
<\/tr>

T1124<\/td>
系统时间发现<\/td>
获取系统时间<\/td>
<\/tr>

T1055<\/td>
进程注入<\/td>
将代码注入svchost.exe<\/td>
<\/tr>

T1022<\/td>
数据加密<\/td>
加密通信和数据<\/td>
<\/tr>

T1027<\/td>
数据混淆<\/td>
混淆数据和代码<\/td>
<\/tr>

T1026<\/td>
多层加密<\/td>
使用多层加密技术<\/td>
<\/tr>

T1107<\/td>
文件删除<\/td>
感染后删除文件<\/td>
<\/tr>
<\/tbody>
<\/table>
五、感染指标(IoCs)<\/h2>
5.1 IP地址<\/h3>

149.249.13:2224<\/li>
149.254.170:2223<\/li>
<\/ul>
5.2 域名<\/h3>

fee.xmrig.com<\/li>
ru.zec.slushpool.com<\/li>
<\/ul>
5.3 文件哈希(SHA-256)<\/h3>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<\/code><\/pre>
六、检测与防御<\/h2>
6.1 检测方法<\/h3>


系统监控<\/strong>：<\/p>

异常高的CPU\/GPU使用率<\/li>
可疑的svchost.exe进程<\/li>
隐藏目录中的挖矿程序<\/li>
<\/ul>
<\/li>

网络监控<\/strong>：<\/p>

连接到已知矿池IP\/域名<\/li>
异常的网络流量模式<\/li>
<\/ul>
<\/li>

行为检测<\/strong>：<\/p>

API unhooking行为<\/li>
进程注入行为<\/li>
反分析技术<\/li>
<\/ul>
<\/li>
<\/ol>
6.2 防御措施<\/h3>


终端防护<\/strong>：<\/p>

使用最新版本的McAfee产品(DAT版本8986+可检测)<\/li>
启用行为检测功能<\/li>
<\/ul>
<\/li>

系统加固<\/strong>：<\/p>

限制安装未知软件<\/li>
监控临时目录的文件创建<\/li>
禁用不必要的脚本执行<\/li>
<\/ul>
<\/li>

网络防护<\/strong>：<\/p>

阻止连接到矿池域名\/IP<\/li>
监控异常外连流量<\/li>
<\/ul>
<\/li>

用户教育<\/strong>：<\/p>

避免下载和运行不明来源的软件<\/li>
警惕系统性能突然下降的情况<\/li>
<\/ul>
<\/li>
<\/ol>
七、清除指南<\/h2>

终止可疑的svchost.exe进程<\/li>
删除以下目录和文件：

C:\Users\AppData\Local\WIX Toolset 11.2<\/code><\/li>
%temp%\–xxxxx.cMD<\/code><\/li>
[WindowsFolder]{DE03ECBA-2A77-438C-8243-0AF592BDBB20}*.*<\/code><\/li>
<\/ul>
<\/li>
检查并清理注册表<\/li>
使用专业安全工具进行全面扫描<\/li>
<\/ol>
八、总结<\/h2>
WebCobra代表了挖矿恶意软件的演进趋势，具有环境自适应能力和高级反分析技术。与勒索软件相比，挖矿恶意软件风险更低、收益更稳定，因此成为网络犯罪分子的首选。防御此类威胁需要多层防护策略，结合终端保护、网络监控和用户教育。<\/p>

技术ID<\/th>	技术名称<\/th>	描述<\/th> <\/tr> <\/thead>
T1071<\/td>	应用层协议<\/td>	通过C&C通道通信<\/td> <\/tr>
T1059<\/td>	命令行界面<\/td>	使用命令行执行操作<\/td> <\/tr>
T1179<\/td>	Hooking<\/td>	通过unhook API规避检测<\/td> <\/tr>
T1005<\/td>	本地系统数据<\/td>	从本地系统收集数据<\/td> <\/tr>
T1083<\/td>	文件和目录发现<\/td>	发现系统文件和目录<\/td> <\/tr>
T1012<\/td>	查询注册表<\/td>	查询注册表信息<\/td> <\/tr>
T1082<\/td>	系统信息发现<\/td>	收集系统信息<\/td> <\/tr>
T1057<\/td>	进程发现<\/td>	枚举运行中的进程<\/td> <\/tr>
T1124<\/td>	系统时间发现<\/td>	获取系统时间<\/td> <\/tr>
T1055<\/td>	进程注入<\/td>	将代码注入svchost.exe<\/td> <\/tr>
T1022<\/td>	数据加密<\/td>	加密通信和数据<\/td> <\/tr>
T1027<\/td>	数据混淆<\/td>	混淆数据和代码<\/td> <\/tr>
T1026<\/td>	多层加密<\/td>	使用多层加密技术<\/td> <\/tr>
T1107<\/td>	文件删除<\/td>	感染后删除文件<\/td> <\/tr> <\/tbody> <\/table> 五、感染指标(IoCs)<\/h2> 5.1 IP地址<\/h3> 149.249.13:2224<\/li> 149.254.170:2223<\/li> <\/ul> 5.2 域名<\/h3> fee.xmrig.com<\/li> ru.zec.slushpool.com<\/li> <\/ul> 5.3 文件哈希(SHA-256)<\/h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code><\/pre> 六、检测与防御<\/h2> 6.1 检测方法<\/h3> 系统监控<\/strong>：<\/p> 异常高的CPU\/GPU使用率<\/li> 可疑的svchost.exe进程<\/li> 隐藏目录中的挖矿程序<\/li> <\/ul> <\/li> 网络监控<\/strong>：<\/p> 连接到已知矿池IP\/域名<\/li> 异常的网络流量模式<\/li> <\/ul> <\/li> 行为检测<\/strong>：<\/p> API unhooking行为<\/li> 进程注入行为<\/li> 反分析技术<\/li> <\/ul> <\/li> <\/ol> 6.2 防御措施<\/h3> 终端防护<\/strong>：<\/p> 使用最新版本的McAfee产品(DAT版本8986+可检测)<\/li> 启用行为检测功能<\/li> <\/ul> <\/li> 系统加固<\/strong>：<\/p> 限制安装未知软件<\/li> 监控临时目录的文件创建<\/li> 禁用不必要的脚本执行<\/li> <\/ul> <\/li> 网络防护<\/strong>：<\/p> 阻止连接到矿池域名\/IP<\/li> 监控异常外连流量<\/li> <\/ul> <\/li> 用户教育<\/strong>：<\/p> 避免下载和运行不明来源的软件<\/li> 警惕系统性能突然下降的情况<\/li> <\/ul> <\/li> <\/ol> 七、清除指南<\/h2> 终止可疑的svchost.exe进程<\/li> 删除以下目录和文件： C:\Users\AppData\Local\WIX Toolset 11.2<\/code><\/li> %temp%\–xxxxx.cMD<\/code><\/li> [WindowsFolder]{DE03ECBA-2A77-438C-8243-0AF592BDBB20}.<\/code><\/li> <\/ul> <\/li> 检查并清理注册表<\/li> 使用专业安全工具进行全面扫描<\/li> <\/ol> 八、总结<\/h2> WebCobra代表了挖矿恶意软件的演进趋势，具有环境自适应能力和高级反分析技术。与勒索软件相比，挖矿恶意软件风险更低、收益更稳定，因此成为网络犯罪分子的首选。防御此类威胁需要多层防护策略，结合终端保护、网络监控和用户教育。<\/p>

WebCobra挖矿恶意软件深度分析与防御指南<\/h1>

一、概述<\/h2> WebCobra是一种利用受害者计算机资源进行加密货币挖矿的恶意软件，由McAfee实验室研究人员发现。该恶意软件会根据系统架构（x86或x64）选择不同的挖矿策略，具有高度隐蔽性和环境适应性。<\/p>

二、技术分析<\/h2>

2.4 系统架构适配<\/h3> WebCobra会根据系统架构采取不同策略：<\/p>

三、挖矿配置分析<\/h2>

五、感染指标(IoCs)<\/h2>

六、检测与防御<\/h2>

一、概述<\/h2>
WebCobra是一种利用受害者计算机资源进行加密货币挖矿的恶意软件，由McAfee实验室研究人员发现。该恶意软件会根据系统架构（x86或x64）选择不同的挖矿策略，具有高度隐蔽性和环境适应性。<\/p>

2.4 系统架构适配<\/h3>
WebCobra会根据系统架构采取不同策略：<\/p>