歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

LoudMiner:偽裝在VST軟件中的跨平臺挖礦軟件

來源:本站整理 作者:佚名 時間:2019-06-26 TAG: 我要投稿

在形形色色的加密貨幣挖礦程序中,LoudMiner顯得有些不同尋常。LoudMiner于2018年8月被發現,主要針對macOS和Windows系統。它能通過一些虛擬軟件,如macOS上的QEMU和Windows上的VirtualBox,在Tiny Core Linux虛擬機上進行加密貨幣挖掘活動——這種方式使之在面對不同操作系統時具有很強的適應性。LoudMiner常與盜版的VST(虛擬工作室技術)軟件捆綁在一起,讓下載的用戶不知不覺中招。LoudMiner基于XMRig (一款門羅幣挖礦程序),并用到了礦池,這讓我們無法追溯潛在的交易過程。
分布
在撰寫本文時,我們在一個WordPress站點上發現了137個VST相關應用程序(42個用于Windows,95個用于macOS),該站點的域名于2018年8月24日注冊。第一個應用程序——用于Windows的Kontakt Native Instruments 5.7——也是在注冊當天上傳的。考慮到應用的數量,對它們逐個分析會有些不切實際,不過我們可以先把它們都視作惡意木馬看待。
挖礦程序本身則不在此站點上,而是托管在另外29個外部服務器中,服務器可見文末的IoC列表。由于LoudMiner背后的操作人員時常對其做更新,我們很難跟蹤到它的第一個版本。
LoudMiner之所以選擇與音頻制作軟件綁定,我們猜測可能有以下幾點原因,一是安裝這些VST軟件的機器往往具有良好的處理能力;二是音頻處理的高CPU消耗可能會掩蓋挖礦的蹤跡,讓用戶難以察覺;此外,這些VST軟件通常很復雜,可以借用它們大文件的外殼掩人耳目,偽裝VM映像的存在。攻擊者選擇使用虛擬機而不是更精簡的方案,這一決定雖不常見實則卻非常有效。
以下是攻擊者捆綁的一些VST軟件樣本,以及網站上誘使用戶下載的一些“好評”:
· Propellerhead Reason
· Ableton Live
· Sylenth1
· Nexus
· Reaktor 6
· AutoTune


圖1、圖2:該站點管理員對用戶的回復
用戶反饋
我們觀察到,也有一些用戶在該站點反饋進程說qemu-system-x86_64在他們的Mac上占用了100%的CPU:

圖3.用戶報告#1(https://discussions.apple.com/thread/250064603)

圖4.用戶報告#2(https://toster.ru/q/608325)
名為“Macloni”的用戶表示:
我將不得不重新安裝OSX。問題可能是出在了Ableton Live 10身上,我沒有從官方網站下載,結果在安裝軟件的同時也安上了挖礦程序,完全占據了我的電腦內存。
同時該用戶指示出有2個進程——qemu-system-x86_64和tools-service——占用了25%的CPU資源且以root身份運行。
盜版軟件分析
攻擊者對macOS和Windows應用程序構想的總體思路是一樣的:
· 首先,應用程序與虛擬化軟件、Linux映像和用于實現持久性的附加文件捆綁在一起。
· 用戶下載應用程序后按照說明進行安裝。
· 先安裝揚聲器采集器,再安裝實際的VST軟件。
· LoudMiner隱藏自身,并在重啟時變為持久性。
· 啟動Linux虛擬機并開始挖掘工作。
· 虛擬機中的腳本與C&C服務器聯系來更新礦機(配置和二進制文件)。
在分析不同的應用程序時,我們已經確定了四個版本的挖礦機,主要是通過它與實際軟件、C&C服務器域捆綁在一起的方式,以及作者創建的版本字符串來區分。
3個macOS的版本
到目前為止,我們已經識別出這款惡意軟件的三個macOS版本。它們都是將自身復制到/usr/local/bin,也都包含了installerdata.dmg中運行QEMU所需的依賴項,并對運行過程設置了適當的權限。每個挖礦機都可以同時運行兩個映像,每個映像占用128 MB的RAM和一個CPU核。持久性則是通過將RunAtLoad設置為true,并在/Library/LaunchDaemons中添加plist文件來實現的;同時還將KeepAlive設置為true,以確保停止后進程重新啟動。每個版本都有以下組件:
· QEMU Linux映像。
· 用于啟動QEMU映像的Shell腳本。
· 守護進程,用于在啟動時啟動shell腳本并使其運行。
· 一個帶有守護進程的CPU監視器shell腳本,它可以根據CPU使用情況和活動監視器進程是否正在運行來啟動/停止挖掘。
CPU監視器腳本可以通過加載守護進程來啟動挖掘活動,終止進程來結束挖掘。如果Activity Monitor進程正在運行,則挖掘將停止。此外,它會檢查系統空閑了多長時間(以秒為單位):
ioreg -c IOHIDSystem | awk '/HIDIdleTime/ {print $NF/1000000000; exit}'
如果超過2分鐘,則開始挖掘;如不到2分鐘,則檢查總CPU使用率:
ps -A -o %cpu | awk '{s+=$1} END {print s }'
除以CPU核數:
sysctl hw.logicalcpu |awk '{print $2 }')
如果大于85%,就停止挖掘。不同版本的腳本本身略有不同,但總體思路是相同的。
安裝完成后,會刪除所有挖礦機相關安裝文件。

圖5. Polyverse.Music.Manipulator.v1.0.1.macOS.dmg的安裝

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺