WebCobra是一款什么軟件

這篇文章給大家分享的是有關(guān)WebCobra是一款什么軟件的內(nèi)容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

前言

近期，McAfee Lab的研究人員發(fā)現(xiàn)了一款新型的俄羅斯惡意軟件，這款惡意軟件名叫“WebCobra”，它可以利用目標(biāo)設(shè)備的計算能力來挖加密貨幣。

實際上，惡意挖礦軟件是很難被檢測到的。當(dāng)設(shè)備被感染后，惡意軟件會在系統(tǒng)后臺悄悄運行，唯一可能暴露痕跡的就是設(shè)備性能的下降。由于惡意軟件會增加設(shè)備計算能力的消耗，設(shè)備的運行速度會顯著降低，隨之而來的除了用戶使用過程中的反感，還有電費賬單上的“天文數(shù)字”，畢竟挖一個比特幣需要消耗的成本大約在531美元到26170美元之間…

毫無疑問，加密貨幣價值的增長正在吸引越來越多的網(wǎng)絡(luò)犯罪分子投身于惡意挖礦的行列中。

下圖顯示的是門羅幣價格走勢與惡意挖礦軟件發(fā)展趨勢之間的關(guān)系對應(yīng)圖：

在此之前，McAfee Lab曾對加密貨幣文件注入工具CoinMiner進行了分析，感興趣的同學(xué)可以瀏覽【分析報告】。

WebCobra這款惡意軟件在感染了目標(biāo)設(shè)備之后，會在后臺悄悄植入Cryptonight Miner或Claymore的Zcash Miner，具體需要根據(jù)WebCobra掃描到的目標(biāo)設(shè)備架構(gòu)來確定。我們認(rèn)為，這款惡意軟件主要通過PUP流氓安裝器來實現(xiàn)傳播，目前全球范圍都受到了影響，受感染用戶最多的地區(qū)分別是巴西、南非和美國。

與其他惡意挖礦軟件不同的是，WebCobra會根據(jù)受感染設(shè)備的配置和架構(gòu)來選擇植入不同的挖礦工具。

惡意行為分析

惡意軟件的Dropper是一個Windows安裝程序，它會檢測系統(tǒng)運行環(huán)境。在x86系統(tǒng)上，它會向正在運行的進程中注入Cryptonight Miner代碼，然后啟用進程監(jiān)控。在x64系統(tǒng)上，它會檢測GPU配置，然后從遠(yuǎn)程服務(wù)器下載并執(zhí)行Claymore的Zcash Minner。

啟動之后，惡意軟件會使用下列命令下載并解壓一個受密碼保護的Cabinet壓縮文件：

這個CAB文件包含以下兩個文件：

1、 LOC：用于解密data.bin的DLL文件；

2、 bin：包含了經(jīng)過加密處理的惡意Payload；

CAB文件使用了下列腳本來執(zhí)行ERDNT.LOC：

ERDNT.LOC會解密data.bin，然后利用下列路徑將執(zhí)行流傳遞給它：

[PlainText_Byte]= (([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E

程序會在檢測了當(dāng)前運行環(huán)境之后啟動對應(yīng)的Miner，整個過程如下圖所示：

當(dāng)data.bin被解密并執(zhí)行之后，它會嘗試執(zhí)行一些反調(diào)試、反模擬和反沙箱技術(shù)，并檢測當(dāng)前系統(tǒng)上運行的其他安全產(chǎn)品，而這些都是這款惡意軟件保護自己不被檢測到的一些基本手段。

大多數(shù)安全產(chǎn)品都會通過掛鉤API函數(shù)來監(jiān)控惡意軟件的行為，為了避免被檢測到，WebCobra會在內(nèi)存中以數(shù)據(jù)文件的形式加載ntdll.dll和user32.dll，然后重寫這些函數(shù)的前八個字節(jié)（解除API hook）。

未設(shè)置hook的ntdll.dll API

LdrLoadDllZwWriteVirtualMemoryZwResumeThreadZwQueryInformationProcessZwOpenSemaphoreZwOpenMutantZwOpenEventZwMapViewOfSectionZwCreateUserProcessZwCreateSemaphoreZwCreateMutantZwCreateEventRtlQueryEnvironmentVariableRtlDecompressBuffer

未設(shè)置hook的user32.dll API

SetWindowsHookExWSetWindowsHookExA

感染x86系統(tǒng)

惡意軟件會向svchost.exe注入惡意代碼，并利用無限循環(huán)來檢測所有打開的窗口，然后使用下面列表中的字符串來匹配窗口的標(biāo)題欄。這也是WebCobra采用的另一種檢測機制，它會根據(jù)這個檢測結(jié)果來判斷當(dāng)前環(huán)境是否是專門用來分析惡意軟件的隔離環(huán)境。

adwemsiavzfarbarglaxdelfixrogueexeasw_av_popup_wndclasssnxhk_border_mywndAvastCefWindowAlertWindowUnHackMeesethackerAnVirRogueuVSmalware

惡意軟件會根據(jù)打開窗口的標(biāo)題欄來判斷運行環(huán)境：

進程監(jiān)控執(zhí)行之后，它會使用Miner的配置文件創(chuàng)建一個svchost.exe的實例，并注入Cryptonignt Miner代碼：

最后，惡意軟件會讓Cryptonight Miner在后臺靜默運行，并利用目標(biāo)主機的全部CPU資源來挖礦：

感染x64系統(tǒng)

惡意軟件首先會檢測是否運行了Wireshark：

然后檢測GPU品牌和型號，只有在檢測到下列GPU的時候它才會運行：

RadeonNvidiaAsus

如果檢測成功，惡意軟件會創(chuàng)建下面隱藏文件夾，然后從遠(yuǎn)程服務(wù)器下載并執(zhí)行Zcash Miner：

C:\Users\AppData\Local\WIXToolset 11.2

最后，惡意軟件會在%temp%\–xxxxx.cMD中植入一個batch文件來刪除Dropper（[WindowsFolder]\{DE03ECBA-2A77-438C-8243-0AF592BDBB20}\*.*）：

Miner的配置文件如下：

配置文件中包含：

礦池地址：5.149.254.170用戶名：49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C密碼：soft-net

這份配置文件包含：

礦池地址：eu.zec.slushpool.com用戶名：pavelcom.nln密碼：zzz

總結(jié)

毫無疑問，惡意挖礦軟件還會不斷進化，因為網(wǎng)絡(luò)犯罪分子肯定不會放過這種相對來說比較輕松的賺錢方式。而且跟勒索軟件相比，惡意挖礦軟件的風(fēng)險會更低，并且不需要目標(biāo)用戶直接性地“支付費用”。只要隱蔽性夠高，只要不被發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子就可以躺著把錢賺了。

入侵威脅指標(biāo)

IP地址

5.149.249[.]13:22245.149.254[.]170:2223104.31.92[.]212

域名

emergency.fee.xmrig[.]comminer.fee.xmrig[.]com saarnio[.]rueu.zec.slushpool[.]com

哈希（SHA-256）

5E14478931E31CF804E08A09E8DFFD091DB9ABD684926792DBEBEA9B827C9F372ED8448A833D5BBE72E667A4CB311A88F94143AA77C55FBDBD36EE235E2D9423F4ED5C03766905F8206AA3130C0CDEDEC24B36AF47C2CE212036D6F9045693501BDFF1F068EB619803ECD65C4ACB2C742718B0EE2F462DF795208EA913F3353BD4003E6978BCFEF44FDA3CB13D618EC89BF93DEBB75C0440C3AC4C1ED247274206AD9DDC92869E989C1DF8E991B1BD18FB47BCEB8ECC9806756493BA3A1A17D6615BFE5A8AE7E0862A03D183E661C40A1D3D447EDDABF164FC5E6D4D183796E0F31285AE705FF60007BF48AEFBC7AC75A3EA507C2E76B01BA5F478076FA5D1B3AA0DBF77D5AA985EEA52DDDA522544CA0169DCA4AB8FB5141ED2BDD2A5EC16CE

感謝各位的閱讀！關(guān)于“WebCobra是一款什么軟件”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！