加密货币新威胁——KryptoCibule
ESET研究人员近日发现了一款新的加密货币窃取恶意软件——KryptoCibule,是加密货币的新威胁。该恶意软件使用受害者的资源来进行加密货币挖矿,通过替换剪贴板的钱包地址来劫持交易,窃取于加密货币相关的文件,并部署了多种绕过检测的技术。在通信基础设施方面,KryptoCibule广泛使用了Tor网络和BitTorrent协议。
KryptoCibule恶意软件是用C# 语言编写的,同时还部署了一些合法的软件,比如安装包中含有Tor和Transmissiontorrents客户端,其他的软件是在运行时下载的,包括Apache httpd和Buru SFTP 服务器。KryptoCibule 不同组件和之间的关系如图1所示:
图 1. KryptoCibule组件和工具
恶意软件首次执行时,主机会分配一个唯一的id,格式为{adjective}-{noun},其中{adjective}和{noun} 是从硬编码的列表中随机选取的词,列表中包含有超过1000万个组合。然后,该id可以用来识别与C2 服务器通信的主机。
时间轴
研究人员分析发现了该恶意软件的多个版本,最早可以追溯到2018年12月。图2 是KryptoCibule 随时间的变化情况。
图 2. KryptoCibule更新和功能变化时间轴
受害者分布
恶意软件主要攻击捷克和斯洛伐克。统计数据显示,有超过85%的受害者位于捷克和斯洛伐克。
图 3. 受害者分布
几乎所有的恶意torrents都指向uloz.to,捷克和斯洛伐克比较流行的文件共享网站。
图 4. uloz.to上的恶意torrents
Torrents
KryptoCibule使用BitTorrent协议来向新的受害者进行传播,同时下载其他的工具和更新。
初始化
KryptoCibule是通过含有恶意torrent的zip文件进行传播的,其中内容伪装为破解后的软件安装包,如游戏。KryptoCibule 安装器中有最常见的5个安装包,如图5所示。packed.001是恶意软件,packed.002是想要下载的软件的安装包。两者都用Setup.exe中包含的密钥进行XOR 加密了。
Setup.exe 执行后,会解码恶意软件和安装包软件。然后在后台启动恶意软件,在前台显示合法软件的安装。
图 5. Dead.Cells.Incl.All.DLC中的内容
其他软件和更新
恶意软件使用BitTorrent协议来下载恶意软件的更新和其他软件。
KryptoCibule会安装一个transmission-daemon torrent客户端,并通过在9091端口的 RPC接口来发布命令对其进行管理。RPC接口使用硬编码的凭证superman:krypton。
为安装恶意软件要使用的其他软件,比如SFTP服务器,启动器组件会向%C C%/softwareinfo?title= software name 发送一个HTTP GET请求,并接收到一个含有要下载的torrent的磁力URI和其他关于程序安装和执行信息的JSON 响应。响应示例如图 6 所示。
{"Magnet": "magnet:?xt=urn[:]btih:67yd647nivxhumoedvwnwnzve55b3bxj dn=free-BuruServer-x64-v1.7.3.zip", "Version": 1,"ExecutableRelativePath": "", "ExecutableFileName": "buru.exe","ExecutableArgs": "run", "InstallFile": "", "HasCustomConfig": true}
图 6. GET /softwareinfo?title=ssh_server 请求的响应示例
反检测和反分析技术
恶意软件使用不同的技术来避免被检测到,同时使用了一些基本的反分析保护。
可执行文件包含在一个伪装成合法InstallShield程序的zip文件中。恶意代码位于一个XOR加密的文件中,密钥硬编码在Setup.exe文件中。
然后恶意软件会安装到硬编码的路径%ProgramFiles(x86)%\Adobe\Acrobat Reader DC\Reader\update 中,然后使用合法的Adobe Acrobat Reader 可执行文件对Tor和自己命名。安装文件夹中包含的文件如图7所示:
图 7. 安装文件夹中的部分文件
Armsvc.exe就是恶意软件,ADelRCP.exe是Tor可执行文件。文件名都是使用的真实的Adobe Reader安装文件的名字。
为实现驻留,KryptoCibule创建了一个定时任务使用下面的命令每5分钟运行一次:
schtasks.exe /CREATE /SC MINUTE /MO 5 /TN “Adobe Update Task” /TR \””%ProgramFiles(x86)%\Adobe\Acrobat Reader DC\Reader\Update\armsvc.exe\”” [/RL HIGHEST] /F [/RU SYSTEM]
在首次执行payload和进去主循环之前,恶意软件还会检查机器上是否安装了以下软件。如果找到了任意一个匹配的名字,就停止运行所有的组件并退出:
·cain
·filemon
·netmon
·netstat
·nmwifi
·perfmon
·processhacker
·procexp
·procexp64
·procmon
·regmon
·tasklist
·taskmgr
·tcpvcon
·tcpview
·wireshark
杀毒软件绕过
在初始化加密货币挖矿机之前,恶意软件会对字符串avast、avg、eset的rootSecurityCenter2\AntiVirusProduct WMI的对象进行检查,如图8所示。如果检测到任意的字符串,就不会安装加密货币挖矿机组件。
图 8. 用于检查特定安全产品的函数
此外,恶意软件还会创建防火墙规则来允许其组件通信的流量。还会创建拦截ESET Kernel 服务(ekrn.exe)的流量,如图9所示:
图 9. 拦截ESET Kernel 服务(ekrn.exe)流量的防火墙规则
Tor网络
KryptoCibule还自带了伪装成为ADelRCP.exe tor.exe命令行工具和配置文件——libstringutils.dll,如图10所示:
图 10. 恶意软件使用的Tor配置文件
恶意软件在端口9050上设置了SOCKS代理,用于通过Tor网络中继与C2服务器的通信。这不仅可以对通信进行加密还可以使得无法追踪URI背后的服务器以及真实服务器。
配置文件的第二部分会在受害者主机上搭建洋葱匿名服务,只有通过Tor网络才可以访问。首次启动这些服务时,Tor会为主机自动生成一个.onion URI。然后这个唯一的主机名会被发送到 %C C%/transferhost/ unique name 。
窃取加密货币
KryptoCibule有3个组件可以利用受感染的主机来获取加密货币。
加密货币挖矿
最新的KryptoCibule版本使用XMRig 来利用受害者主机的CPU进行门罗币挖矿,使用kawpowminer 来进行以太币挖矿。以太币挖矿只针对于特定的CPU。这两个程序都会通过Tor 代理连接到运营者控制的挖矿服务器。
剪贴板劫持
第二个组件会伪装成SystemArchitectureTranslation.exe,使用AddClipboardFormatListener 函数来监控剪贴板的变化,并应用替换规则来把特定地址替换为自己的地址。监听代码如图11所示。0x31D对应WM_CLIPBOARDUPDATE常数。
图 11. 监听剪贴板hook的监听器函数代码
剪贴板的规则格式为:
会匹配加密货币钱包地址,并替换为攻击者控制的钱包地址。当settings.cfg文件变化后,该组件使用FileSystemWatcher 来重新加载替换规则。
文件窃取
第三个组件会寻找含有特定项的文件名。这些项主要有加密货币、钱包和挖矿机相关,也有一些seed、密码等。研究人员分析过程中发现的特定项如图13所示:
["wallet.dat", "utc--2014", "utc--2015", "utc--2016", "utc--2017", "utc--2018", "utc--2019", "utc--2020", ".address.txt", "electrum", "bitcoin", "litecoin", "ethereum", "cardano", "zcash", "monero", "cripto", "krypto", "binance", "tradeogre", "coinbase", "tether", "daedalus", "stellar", "tezos", "chainlink", "blockchain", "verge", "bittrex", "ontology", "vechain", "doge", "qtum", "augur", "omisego", "digibyte", "seele", "enjin", "steem", "bytecoin", "zilliqa", "zcoin", "miner", "xmrig", "xmr-stak","electroneum", "heslo", "waves", "banka", "crypto", "hesla", "seed", "metamask", "antminer", "trezor", "ledger", "private", "trx", "exodus", "password", "jaxx", "guarda", "atomic.exe", "copay.exe", "Green Address Wallet.exe", "msigna.exe", "ArmoryQT.exe", ".ssh", ".aws", "Desktop"]
图 13. 寻找的特定项列表
此外,KryptoCibule还会安装一个合法的Apache httpd服务器作为没有任何限制的前向转发的代理,该服务器在洋葱服务的9999端口上是可达的。
参考及来源:https://www.welivesecurity.com/2020/09/02/kryptocibule-multitasking-multicurrency-cryptostealer/
相较于股市而言,币圈投资具备着24小时不间断交易、t+0涨跌双向交易以及低门槛、公正透明等诸多优势。因此币圈市场逐渐占据着投资市场的巨大份额,越来越多的投资者愿意把资金投入到币圈行业,而不再是过去单单的股票市场了。
随着越来越多投资者的加入,学习炒币知识和相关技巧很有必要!
欢迎大家来一起交流,互相学习!
------
延伸阅读:
在比特币的交易中常犯的三个错误,第三个最致命
币圈的风向标比特币,到今天已经诞生11年了。就像人们持续的痴迷于证券、外汇等传统金融一样,数字货币的交易受到越来越多的人的追捧。继彩民、股民之后,由一个名词应时而生,那就是“币民”。就像还不懂事的孩子一样,币民在数字货币的交易中经常会犯错,以下便是币民最常犯的三个错误,其中第三个最致命。
第一:没有一个完备的资金方案,总是喜欢梭*。其实犯错并不可耻,可是它会打击我们的自信心。在币圈中,我们常见的就是币民常常会把手头的盈余全部投资数字货币。然后在数字货币的交易中,往往缺乏耐心,总是喜欢全仓交易,上来就梭*。诚然,没有人能够准确的预测比特币、以太坊未来的价格走势,可是你不得不相信,完备的资金方案,其实也是我们制胜的关键。从概率学的角度讲,完备的资金方案能够让我们尽量做到不损失本金,这样心态就不会蹦。从市场的角度讲,任何一个货币对,大部分的时间都是在走盘整,然后把握市场规律,合理规划资金,严格执行止盈止损,在币市中获利的可能性就会大大增加。
第二:FOMO一词在币圈也是存在的,FOMO也成为“局外人困境”。在投资市场,FOMO表示投资者经常会担心自己错失了机会,错过了行情。往往就是这样,你最担心什么就会吸引什么。这种恐慌和焦虑会让人做出错误的决定,对于策略的执行不够严格。比如有的人会出现频繁下单,因为你从感觉自己建仓早了,没有找到合适的点位。这样就会经常陷入一错再错的恶性循环,对未来的预期很难达成。我们都知道,在币圈没有涨停、跌停的概念,所以的交易都是T+0,所以在比特币等数字货币的交易过程中,就应该更加的果敢和决绝。
第三:拒绝杠杆交易。在币圈,很多交易所都在长期期权交易,众所周知,期权是带杠杆的。小编认为,借币或者借钱交易的这种杠杆形式,仅仅是一种尝试,那么币民应该尽量少参与为秒。杠杆效应本身就是一种极其复杂的运算,同时借入归还的过程又非常繁琐,很容易让人在交易中发生错误。君不见无数币民一夜之间把仓爆,数万资金变成了早晨看到的一条爆仓提醒短信。这点是非常致命的,也是无法挽回的。
总之,在加密数字货币这个交易市场中有交易行为,就是遵守这个市场的规则。否则,你就有可能被这个市场深套,成为庄家的韭菜。
虽然现在市场看起来并没有想象中的那么美好,但有句话说得很好:“机会永远是给有准备的人”,我们要对将来的机会做好准备。许多人都不知道应该怎么炒币,毕竟不是任何人能够准确判断什么时候买入,什么时候卖出的,在这种情况下我们应该如何去赚取更多的钱?笔者这边建议直接使用智能量化交易软件就可以全自动赚钱了。如果你没了解过量化交易,或者不知道市面上哪些智能量化比较好的话,这里笔者推荐QT智能量化机器人,QT智能量化机器人是适用于币圈现货的一款全自动炒币机器人。QT炒币机器人具有以下八大优势:
1.全网首创,策略灵活设置、一键执行,让交易真正的活起来。全网首创,可以根据币种灵活设置策略,科学分配资金,准确把握每一个支撑位,灵活变通,盈利更容易;
2.设定区间,只在区间内交易,防止高位建仓。价格暴涨,持有的币会持续持有,获得利润奔跑!超越价格区间上限,交易停止,防止高位循环建仓造成成本失控;
3.追踪止盈,开启追踪止盈功能,在达到利润目标的情况下,持续跟踪以获取更大盈利,所以比如设定盈利5%平仓,实际交易下来利润往往大大的超过预期;
4.延迟建仓,达到设定的建仓(或补仓)点位时,如果价格继续下降,则延迟建仓,把握每一个细节,最大程度上拉低平均成本,更容易获利;
5.平仓方式可选,分为整体平仓和网格收割两种。整体平仓计算全部成本,网格收割每单单独计算,达到盈利目标自动平仓,可以根据市场活跃程度,灵活选择;
6.可拓展性,如果你是交易的老手,可以尝试着制定不同的策略,在交易中可以实现不同的效果,比如QT可以实现高频交易,总之你可以大胆尝试;
7.自带演示账户,演示模式和实盘模式一键切换,演示账户为虚拟资金,也会按照核心算法严格执行策略,方便客户自行验证策略,同时也方便演示和推广;
8.价格合理,市场上很多炒币机器人都售价8800元甚至是1万多,高额的软件成本,让客户在交易中存在很大的心理负担,也就是说资金不够在这场交易中甚至连软件费用都赚不出来。QT炒币机器人售价仅为140U/年,价格合理,同时又有高佣金的推广费用,支持试用;
------------------
推荐阅读: