可蠕变XMRig活动利用BYOVD和定时杀戮开关实现隐蔽
可蠕变XMRig活动利用BYOVD和定时杀戮开关实现隐蔽作者:James Bentley
来源:Securityaffairs.com
引用:https://securityaffairs.com/188388/malware/wormable-xmrig-campaign-leverages-byovd-and-timed-kill-switch-for-stealth.html
研究人员发现一起通过盗版软件传播的可蠕变加密货币劫持活动,该活动使用BYOVD和基于时间的逻辑炸弹部署自定义的XMRig挖矿软件。
此次活动通过盗版的“高级”软件安装程序传播,安装一个基于XMRig的复杂挖矿软件。其核心是一个名为Explorer.exe的控制器二进制文件,它被设计成一个持久的状态机,通过命令行参数(安装程序、看门狗、活跃感染、清理)切换角色。
“Explorer.exe二进制文件是感染的主要协调节点。在传统的恶意软件设计中,功能通常被划分为线性执行流程:下载器下载有效载荷,执行它,然后退出。然而,Explorer.exe(控制器)作为一个持久的状态机运行。”Trellix发布的报告指出。“它根据在执行过程中传递给它的特定命令行参数确定其行为模式,允许单个二进制文件在感染生命周期中扮演多个不同的操作角色:安装程序、看门狗、有效载荷管理器和清理者。”
它将逻辑(“大脑”)与有效载荷(“肌肉”)分开,包括挖矿软件、看门狗和一个用于内核访问的易受攻击的驱动器(BYOVD)。
恶意软件利用一个名为WinRing0x64.sys的合法但易受攻击的驱动器,使用BYOVD(自带易受攻击的驱动器)技术。它不是创建自己的恶意驱动器,而是加载这个旧的、已签名的驱动器以获得内核级访问(Ring 0访问)。
通过这种访问,它修改了特定的CPU设置(模型特定寄存器),以禁用干扰Monero的RandomX挖矿算法的硬件预取器。因为RandomX依赖于随机内存访问,关闭这些功能可以减少缓存冲突,将挖矿性能提高15%至50%。
有效载荷嵌入在二进制文件的资源部分,解压缩后写入磁盘作为隐藏的系统文件,伪装成合法软件。一个循环的看门狗系统确保组件在终止后重新启动,积极重启挖矿软件,甚至杀死真正的Windows资源管理器,以干扰用户。
恶意软件包括一个基于时间的杀戮开关,设定于2025年12月23日,触发一个受控的清理例程。
报告继续指出:“在sub_14000D180函数中的一个重要发现是一个硬编码的时间检查,充当‘杀戮开关’或‘定时炸弹’。这个机制通过检索本地系统时间并与预定截止日期(2025年12月23日)进行比较来操作。”
该恶意软件在2025年12月23日之前处于活跃阶段:恶意软件继续执行标准感染程序,安装持久模块并启动挖矿软件。
在2025年12月23日之后,这表明该活动不是为了无限期运行。它暗示了一个“一次性使用”的生命周期,可能定时的与租用的命令与控制(C2)基础设施到期、预期的加密货币市场(特别是Monero难度调整)的变化或计划过渡到新的恶意软件变种相吻合。
这个XMRig变种包括一个蠕虫模块,可以通过USB驱动器传播,而不仅仅是手动下载。它默默地监听Windows系统通知中的新可移动设备,而不是不断扫描它们。当插入USB驱动器时,恶意软件将其explorer.exe文件复制到设备上,将其隐藏在文件夹中,并创建一个伪装成驱动器图标的恶意快捷方式。当在另一台计算机上打开USB时,快捷方式可以执行恶意软件,从而实现进一步的传播。
威胁行为者似乎正在对有限的系统测试感染链和持久性功能,包括“Barusu”杀戮开关,然后在扩大规模之前。
挖矿池数据显示有一个活跃的工人,其算力适中,2025年11月活动零星,从12月8日开始出现明显激增,这表明新的感染节点的新一轮部署或激活。
“这次活动是一个强有力的提醒,表明通用恶意软件仍在不断创新。通过结合社会工程学、合法软件伪装、蠕虫式传播和内核级利用,攻击者创建了一个弹性强且效率高的僵尸网络。”报告总结道。“特别是使用BYOVD技术的做法,突出了现代操作系统安全模型中的一个关键弱点:对已签名驱动器的信任。”
页:
[1]