近日有安全公司发布预警称“知名激活工具KMSpico内含挖矿病毒”,笔者对相应事件进行一番跟踪分析后发现,原作者的官方版本并不含挖矿病毒。
更准确结论应该是黑客利用搜索引擎排名假冒克隆KMSpico的网页,发布捆绑挖矿软件在内的多种病毒,诱导用户下载,进而窃取用户隐私信息或利用用户电脑挖矿谋取暴利。
再次提醒用户,下载软件应从软件厂商官方网站下载,同时通过签名、哈希校验等途径确认下载的软件是官网原版,而非被恶意篡改的“带毒”版本。
事件分析概述
通过搜索引擎搜索kmspico,发现大量提供kmspico下载的网站。但记得kmspico一直是由作者在MyDigitalLife论坛上发布的。
除第一个结果 www.officialkmspico.com 外,随后的几个相似的域名中的KMSpico则都被捆绑上了包括挖矿病毒在内的恶意软件。
但笔者也不能确定 www.officialkmspico.com 是否真是kmspico的原作者建立的官网,因为之前作者一直都是在在 MyDigitalLife 论坛(https://forums.mydigitallife.net/threads/kmspico-official-thread.65739/)上发布的。
但有一点可以确认,原作者发布的kmspico安装程序是有签名的。同时经过验证,和之前老版本的功能相同,可以正常激活,安装后的的PE文件也都带有作者的签名 ,而且也没有监控到其他恶意行为。
目前发现在搜索引擎中依靠相似域名,显示较靠前的一些假冒网站中的kmspico都被不同程度捆绑了恶意软件,包括但不限于:
同时发现在一些论坛中发布的kmspico也有被捆绑恶意软件的情况。
典型捆绑挖矿病毒的kmspico文件分析
下面以 http://kmspi.co 假冒网页中的kmspico为例,分析其具体的恶意行为。
下载的kmspico竟然是ISO格式的CD-ROM,其中的KMSPico 10.2.2.exe看似就是安装程序了。
双击执行后,它会在C:\Program Files目录下创建同名目录,并执行INSTALL_KMS.bat的脚本。
INSTALL_KMS.bat的脚本内容。
其中win32.exe是恶意挖矿程序,而其他2个看似是KMSpico的安装程序,其实最后测试发现其实也是Downloader,并不是安装程序,整个程序根本没有任何KMS的激活功能。
我们主要关注win32.exe的挖矿功能,看看它是如何在用户电脑上挖矿的。
它首从自身代码中解密出矿池地址和用户名
再从数据节中解密出挖矿程序。
解密出挖矿程序经过分析发现其实是来源于开源的cpuminer-multi,由黑客自行编译。
在github上可找到cpuminer-multi 源码。
https://github.com/tpruvot/cpuminer-multi
然后将之前解密的矿池地址和用户名拼接出创建进程所需的参数 ,通过process hollowing技术创建傀儡进程。
有意思的是,win32.exe会不断遍历进程,寻找进程管理器(taskmgr.exe),一旦发现有taskmgr.exe,就立即结束挖矿的进程。而当没有taskmgr.exe运行时,就再次创建挖矿进程进行挖矿。
因此,用户通过进程管理器查看自己电脑的CPU使用率,是无法发现异常的。%>_<% 只觉得电脑卡卡卡。因为此假冒的kmspico恶意软件在发现用户打开进程管理器后,就关闭挖矿功能了。
但通过procxp或processhacker等工具是可以发现CPU使用率异常,及完整的行为执行链。
另外,笔者还发现此假冒kmspico恶意软件托管在github上。
对提交记录的检索,发现该恶意软件作者早在2017年8月就开始了活动。
不过,早期捆绑的恶意软件是改首页、广告推广等类型。
或许是这样的变现途径不够快,在随后的时间中作者不断更改捆绑恶意软件的类型,最终选择挖矿程序。
总结
通过假冒网站及搜索引擎推广将恶意软件捆绑在正常软件中进行传播早已不是什么新鲜事,用户对此应该有足够安全意识。
平常下载软件应从软件厂商官方网站下载,同时通过签名、哈希校验等途径确认下载的软件是官网原版,而非被恶意篡改的“带毒”版本,慎用一些所谓“破解版”。