WebCobra挖矿软件分析
字数 2281 2025-08-18 11:36:36

WebCobra挖矿恶意软件深度分析与防御指南

一、概述

WebCobra是一种利用受害者计算机资源进行加密货币挖矿的恶意软件,由McAfee实验室研究人员发现。该恶意软件会根据系统架构(x86或x64)选择不同的挖矿策略,具有高度隐蔽性和环境适应性。

1.1 挖矿恶意软件特点

  • 静默运行,难以检测
  • 主要症状为系统性能下降
  • 增加电力消耗
  • 主要挖掘Monero和Zcash加密货币
  • 与加密货币价格走势正相关

1.2 传播方式

  • 通过流氓安装程序传播
  • 主要感染地区:巴西、南非和美国

二、技术分析

2.1 初始感染载体

  • Microsoft安装程序(MSI)格式
  • 包含加密的CAB文件(密码保护)
  • CAB文件包含两个组件:
    • ERDNT.LOC:解密DLL
    • data.bin:加密的恶意负载

2.2 解密机制

使用以下算法解密data.bin:

PlainText_Byte = (([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E

2.3 反分析技术

  1. 反调试/反沙箱

    • 检查窗口标题栏文本匹配特定字符串(安全工具相关)
    • 如果检测到分析环境则终止进程

  2. API Unhooking

    • 将ntdll.dll和user32.dll作为数据文件加载
    • 覆盖关键API函数的前8个字节
    • 受影响API包括:
      • ntdll.dll: LdrLoadDll, ZwWriteVirtualMemory等
      • user32.dll: SetWindowsHookExW, SetWindowsHookExA

2.4 系统架构适配

WebCobra会根据系统架构采取不同策略:

x86系统:

  1. 将Cryptonight miner代码注入svchost.exe
  2. 启动进程监视器
  3. 消耗几乎所有CPU资源

x64系统:

  1. 检查是否运行Wireshark(若运行则终止)
  2. 检查GPU品牌(仅支持Radeon/Nvidia/Asus)
  3. 创建隐藏目录:C:\Users\AppData\Local\WIX Toolset 11.2
  4. 从远程服务器下载Claymore's Zcash miner
  5. 执行挖矿程序后删除初始安装程序

三、挖矿配置分析

3.1 Cryptonight miner配置

  • 矿池: 5.149.254.170
  • 用户名: 49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C
  • 密码: soft-net

3.2 Claymore's Zcash miner配置

  • 矿池: eu.zec.slushpool.com
  • 用户名: pavelcom.nln
  • 密码: zzz

四、MITRE ATT&CK技术映射

技术ID 技术名称 描述
T1071 应用层协议 通过C&C通道通信
T1059 命令行界面 使用命令行执行操作
T1179 Hooking 通过unhook API规避检测
T1005 本地系统数据 从本地系统收集数据
T1083 文件和目录发现 发现系统文件和目录
T1012 查询注册表 查询注册表信息
T1082 系统信息发现 收集系统信息
T1057 进程发现 枚举运行中的进程
T1124 系统时间发现 获取系统时间
T1055 进程注入 将代码注入svchost.exe
T1022 数据加密 加密通信和数据
T1027 数据混淆 混淆数据和代码
T1026 多层加密 使用多层加密技术
T1107 文件删除 感染后删除文件

五、感染指标(IoCs)

5.1 IP地址

  • 149.249.13:2224
  • 149.254.170:2223

5.2 域名

  • fee.xmrig.com
  • ru.zec.slushpool.com

5.3 文件哈希(SHA-256)
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六、检测与防御

6.1 检测方法

  1. 系统监控

    • 异常高的CPU/GPU使用率
    • 可疑的svchost.exe进程
    • 隐藏目录中的挖矿程序

  2. 网络监控

    • 连接到已知矿池IP/域名
    • 异常的网络流量模式

  3. 行为检测

    • API unhooking行为
    • 进程注入行为
    • 反分析技术

6.2 防御措施

  1. 终端防护

    • 使用最新版本的McAfee产品(DAT版本8986+可检测)
    • 启用行为检测功能

  2. 系统加固

    • 限制安装未知软件
    • 监控临时目录的文件创建
    • 禁用不必要的脚本执行

  3. 网络防护

    • 阻止连接到矿池域名/IP
    • 监控异常外连流量

  4. 用户教育

    • 避免下载和运行不明来源的软件
    • 警惕系统性能突然下降的情况

七、清除指南

  1. 终止可疑的svchost.exe进程
  2. 删除以下目录和文件:
    • C:\Users\AppData\Local\WIX Toolset 11.2
    • %temp%\–xxxxx.cMD
    • [WindowsFolder]{DE03ECBA-2A77-438C-8243-0AF592BDBB20}*.*
  3. 检查并清理注册表
  4. 使用专业安全工具进行全面扫描

八、总结

WebCobra代表了挖矿恶意软件的演进趋势,具有环境自适应能力和高级反分析技术。与勒索软件相比,挖矿恶意软件风险更低、收益更稳定,因此成为网络犯罪分子的首选。防御此类威胁需要多层防护策略,结合终端保护、网络监控和用户教育。

WebCobra挖矿恶意软件深度分析与防御指南 一、概述 WebCobra是一种利用受害者计算机资源进行加密货币挖矿的恶意软件,由McAfee实验室研究人员发现。该恶意软件会根据系统架构(x86或x64)选择不同的挖矿策略,具有高度隐蔽性和环境适应性。 1.1 挖矿恶意软件特点 静默运行,难以检测 主要症状为系统性能下降 增加电力消耗 主要挖掘Monero和Zcash加密货币 与加密货币价格走势正相关 1.2 传播方式 通过流氓安装程序传播 主要感染地区:巴西、南非和美国 二、技术分析 2.1 初始感染载体 Microsoft安装程序(MSI)格式 包含加密的CAB文件(密码保护) CAB文件包含两个组件: ERDNT.LOC:解密DLL data.bin:加密的恶意负载 2.2 解密机制 使用以下算法解密data.bin: 2.3 反分析技术 反调试/反沙箱 : 检查窗口标题栏文本匹配特定字符串(安全工具相关) 如果检测到分析环境则终止进程 API Unhooking : 将ntdll.dll和user32.dll作为数据文件加载 覆盖关键API函数的前8个字节 受影响API包括: ntdll.dll: LdrLoadDll, ZwWriteVirtualMemory等 user32.dll: SetWindowsHookExW, SetWindowsHookExA 2.4 系统架构适配 WebCobra会根据系统架构采取不同策略: x86系统: 将Cryptonight miner代码注入svchost.exe 启动进程监视器 消耗几乎所有CPU资源 x64系统: 检查是否运行Wireshark(若运行则终止) 检查GPU品牌(仅支持Radeon/Nvidia/Asus) 创建隐藏目录: C:\Users\AppData\Local\WIX Toolset 11.2 从远程服务器下载Claymore's Zcash miner 执行挖矿程序后删除初始安装程序 三、挖矿配置分析 3.1 Cryptonight miner配置 矿池: 5.149.254.170 用户名: 49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C 密码: soft-net 3.2 Claymore's Zcash miner配置 矿池: eu.zec.slushpool.com 用户名: pavelcom.nln 密码: zzz 四、MITRE ATT&CK技术映射 | 技术ID | 技术名称 | 描述 | |--------|----------|------| | T1071 | 应用层协议 | 通过C&C通道通信 | | T1059 | 命令行界面 | 使用命令行执行操作 | | T1179 | Hooking | 通过unhook API规避检测 | | T1005 | 本地系统数据 | 从本地系统收集数据 | | T1083 | 文件和目录发现 | 发现系统文件和目录 | | T1012 | 查询注册表 | 查询注册表信息 | | T1082 | 系统信息发现 | 收集系统信息 | | T1057 | 进程发现 | 枚举运行中的进程 | | T1124 | 系统时间发现 | 获取系统时间 | | T1055 | 进程注入 | 将代码注入svchost.exe | | T1022 | 数据加密 | 加密通信和数据 | | T1027 | 数据混淆 | 混淆数据和代码 | | T1026 | 多层加密 | 使用多层加密技术 | | T1107 | 文件删除 | 感染后删除文件 | 五、感染指标(IoCs) 5.1 IP地址 149.249.13:2224 149.254.170:2223 5.2 域名 fee.xmrig.com ru.zec.slushpool.com 5.3 文件哈希(SHA-256) 六、检测与防御 6.1 检测方法 系统监控 : 异常高的CPU/GPU使用率 可疑的svchost.exe进程 隐藏目录中的挖矿程序 网络监控 : 连接到已知矿池IP/域名 异常的网络流量模式 行为检测 : API unhooking行为 进程注入行为 反分析技术 6.2 防御措施 终端防护 : 使用最新版本的McAfee产品(DAT版本8986+可检测) 启用行为检测功能 系统加固 : 限制安装未知软件 监控临时目录的文件创建 禁用不必要的脚本执行 网络防护 : 阻止连接到矿池域名/IP 监控异常外连流量 用户教育 : 避免下载和运行不明来源的软件 警惕系统性能突然下降的情况 七、清除指南 终止可疑的svchost.exe进程 删除以下目录和文件: C:\Users\AppData\Local\WIX Toolset 11.2 %temp%\–xxxxx.cMD [WindowsFolder]{DE03ECBA-2A77-438C-8243-0AF592BDBB20}*.* 检查并清理注册表 使用专业安全工具进行全面扫描 八、总结 WebCobra代表了挖矿恶意软件的演进趋势,具有环境自适应能力和高级反分析技术。与勒索软件相比,挖矿恶意软件风险更低、收益更稳定,因此成为网络犯罪分子的首选。防御此类威胁需要多层防护策略,结合终端保护、网络监控和用户教育。