克隆合法软件传播加密货币挖矿机
字数 1222 2025-08-20 18:18:04

克隆合法软件传播加密货币挖矿机技术分析报告

一、攻击概述

本报告详细分析了一种通过克隆合法软件传播加密货币挖矿机的恶意攻击技术。攻击者通过以下方式实施攻击:

  1. 选择目标软件:PDFescape(用于PDF文件编辑、添加注释和填表的合法软件)
  2. 创建克隆基础设施:在控制的服务器上重建软件合作者的基础设施
  3. 修改安装包:复制所有MSI文件并修改其中一个(亚洲字体包)加入恶意payload

二、技术实现细节

1. 攻击载体

  • 文件类型:Windows安装程序包文件(MSI)
  • 具体文件:pdfescape-desktop-Asian-and-extended-font-pack.msi
  • 数字签名:修改后的安装器没有原始数字签名(关键检测指标)

2. 恶意行为流程

安装阶段

"C:\Windows\System32\msiexec.exe" /i pdfescape-desktop-Asian-and-extended-font-pack.msi

文件释放

  1. 在System32文件夹中释放:
    • xbox-service.exe(恶意服务)
    • setup.log.dll(恶意DLL,伪装成日志文件)

执行流程

  1. xbox-service.exe以"xboxservice"服务形式运行
  2. 通过rundll32执行恶意DLL: 
    rundll32 C:\Windows\System32\setup.log.dll

3. 恶意DLL分析

资源结构

  • 包含两个可执行文件(嵌入在Resources中)

恶意功能

  1. HOSTS文件修改

    • 阻止受感染机器与PDF相关应用的更新服务器通信
    • 阻止与安全软件的通信

  2. 持久化机制

    • 避免远程清除和修复受感染的机器

  3. 浏览器脚本注入

    • 嵌入链接:http://carma666.byethost12.com/32.html
    • 下载CoinHive的JS脚本(用于加密货币挖矿)

三、防御与检测方案

1. 检测指标

文件指标

  • System32目录下异常文件:
    • xbox-service.exe
    • setup.log.dll

网络指标

  • 与carma666.byethost12.com的通信
  • CoinHive JS脚本下载行为

行为指标

  • 异常的rundll32执行: 
    rundll32 C:\Windows\System32\setup.log.dll
  • HOSTS文件被修改

2. 防御措施

  1. 安装前检查

    • 验证软件数字签名
    • 检查文件哈希值是否与官方发布一致

  2. 运行时防护

    • 监控System32目录下的异常文件创建
    • 拦截异常的rundll32执行行为

  3. 网络防护

    • 阻止与已知恶意域名(如byethost12.com)的通信
    • 检测CoinHive脚本的下载行为

  4. 系统加固

    • 设置HOSTS文件为只读
    • 限制对System32目录的写入权限

四、影响范围统计

根据Comodo统计数据:

  • 受影响用户:12,810名
  • 受影响国家:100个
  • 受感染最严重的前10个国家(参见原文图表)

五、总结与建议

该攻击展示了高级持续性威胁(APT)的典型特征:

  1. 利用合法软件的声誉
  2. 精心构建的克隆基础设施
  3. 隐蔽的持久化机制
  4. 经济动机(加密货币挖矿)

安全建议

  1. 仅从官方渠道下载软件
  2. 部署端点检测与响应(EDR)解决方案
  3. 定期审计系统关键目录和文件
  4. 保持安全软件更新以检测此类变种攻击
克隆合法软件传播加密货币挖矿机技术分析报告 一、攻击概述 本报告详细分析了一种通过克隆合法软件传播加密货币挖矿机的恶意攻击技术。攻击者通过以下方式实施攻击: 选择目标软件:PDFescape(用于PDF文件编辑、添加注释和填表的合法软件) 创建克隆基础设施:在控制的服务器上重建软件合作者的基础设施 修改安装包:复制所有MSI文件并修改其中一个(亚洲字体包)加入恶意payload 二、技术实现细节 1. 攻击载体 文件类型 :Windows安装程序包文件(MSI) 具体文件 :pdfescape-desktop-Asian-and-extended-font-pack.msi 数字签名 :修改后的安装器 没有原始数字签名 (关键检测指标) 2. 恶意行为流程 安装阶段 文件释放 在System32文件夹中释放: xbox-service.exe(恶意服务) setup.log.dll(恶意DLL,伪装成日志文件) 执行流程 xbox-service.exe以"xboxservice"服务形式运行 通过rundll32执行恶意DLL: 3. 恶意DLL分析 资源结构 包含两个可执行文件(嵌入在Resources中) 恶意功能 HOSTS文件修改 : 阻止受感染机器与PDF相关应用的更新服务器通信 阻止与安全软件的通信 持久化机制 : 避免远程清除和修复受感染的机器 浏览器脚本注入 : 嵌入链接:http://carma666.byethost12.com/32.html 下载CoinHive的JS脚本(用于加密货币挖矿) 三、防御与检测方案 1. 检测指标 文件指标 System32目录下异常文件: xbox-service.exe setup.log.dll 网络指标 与carma666.byethost12.com的通信 CoinHive JS脚本下载行为 行为指标 异常的rundll32执行: HOSTS文件被修改 2. 防御措施 安装前检查 : 验证软件数字签名 检查文件哈希值是否与官方发布一致 运行时防护 : 监控System32目录下的异常文件创建 拦截异常的rundll32执行行为 网络防护 : 阻止与已知恶意域名(如byethost12.com)的通信 检测CoinHive脚本的下载行为 系统加固 : 设置HOSTS文件为只读 限制对System32目录的写入权限 四、影响范围统计 根据Comodo统计数据: 受影响用户:12,810名 受影响国家:100个 受感染最严重的前10个国家(参见原文图表) 五、总结与建议 该攻击展示了高级持续性威胁(APT)的典型特征: 利用合法软件的声誉 精心构建的克隆基础设施 隐蔽的持久化机制 经济动机(加密货币挖矿) 安全建议 : 仅从官方渠道下载软件 部署端点检测与响应(EDR)解决方案 定期审计系统关键目录和文件 保持安全软件更新以检测此类变种攻击