在五花八门的加密钱银ku程序中,LoudMiner显得有些不同寻常。LoudMiner于2019年8月被发现,首要针对macOS和Windows体系。它能经过一些虚拟软件,如macOS上的QEMU和Windows上的VirtualBox,在Tiny Core Linux虚拟机上进行加密钱银发掘活动——这种方法使之在面临不同操作体系时具有很强的适应性。LoudMiner常与盗版的VST(虚拟作业室技能)软件绑缚在一起,让下载的用户不知不觉中招。LoudMiner依据XMRig (一款门罗币ku程序),并用到了矿池,这让咱们无法追溯潜在的交易进程。 散布 在编撰本文时,咱们在一个WordPress站点上发现了137个VST相关运用程序(42个用于Windows,95个用于macOS),该站点的域名于2019年8月24日注册。第一个运用程序——用于Windows的Kontakt Native Instruments 5.7——也是在注册当天上传的。考虑到运用的数量,对它们逐一剖析会有些不切实践,不过咱们能够先把它们都视作歹意木马看待。 ku程序自身则不在此站点上,而是保管在别的29个外部服务器中,服务器可见文末的IoC列表。因为LoudMiner背面的操作人员经常对其做更新,咱们很难盯梢到它的第一个版别。 LoudMiner之所以挑选与音频制造软件绑定,咱们猜想可能有以下几点原因,一是装置这些VST软件的机器往往具有杰出的处理才能;二是音频处理的高CPU耗费可能会掩盖ku的踪影,让用户难以发觉;此外,这些VST软件一般很杂乱,能够借用它们大文件的外壳欲盖弥彰,假装VM映像的存在。攻击者挑选运用虚拟机而不是更精简的计划,这一决议虽不常见实则却十分有用。 以下是攻击者绑缚的一些VST软件样本,以及网站上诱运用户下载的一些“好评”: · Propellerhead Reason · Ableton Live · Sylenth1 · Nexus · Reaktor 6 · AutoTune
图1、图2:该站点管理员对用户的回复 用户反应 咱们观察到,也有一些用户在该站点反应进程说qemu-system-x86_64在他们的Mac上占用了100%的CPU:
图3.用户陈述#1(https://discussions.apple.com/thread/250064603)
图4.用户陈述#2(https://toster.ru/q/608325) 名为“Macloni”的用户表明: 我将不得不重新装置OSX。问题可能是出在了Ableton Live 10身上,我没有从官方网站下载,结果在装置软件的一起也安上了ku程序,彻底占有了我的电脑内存。 一起该用户指示出有2个进程——qemu-system-x86_64和tools-service——占用了25%的CPU资源且以root身份运转。 盗版软件剖析 攻击者对macOS和Windows运用程序设想的整体思路是相同的: · 首要,运用程序与虚拟化软件、Linux映像和用于完成持久性的附加文件绑缚在一起。 · 用户下载运用程序后依照阐明进行装置。 · 先装置扬声器采集器,再装置实践的VST软件。 · LoudMiner躲藏自身,并在重启时变为持久性。 · 发动Linux虚拟机并开端发掘作业。 · 虚拟机中的脚本与C&C服务器联络来更新矿机(装备和二进制文件)。 在剖析不同的运用程序时,咱们现已确认了四个版别的ku机,首要是经过它与实践软件、C&C服务器域绑缚在一起的方法,以及作者创立的版别字符串来区别。 3个macOS的版别 到目前为止,咱们现已识别出这款歹意软件的三个macOS版别。它们都是将自身复制到/usr/local/bin,也都包含了installerdata.dmg中运转QEMU所需的依靠项,并对运转进程设置了恰当的权限。每个ku机都能够一起运转两个映像,每个映像占用128 MB的RAM和一个CPU核。持久性则是经过将RunAtLoad设置为true,并在/Library/LaunchDaemons中增加plist文件来完成的;一起还将KeepAlive设置为true,以保证中止后进程重新发动。每个版别都有以下组件: · QEMU Linux映像。 · 用于发动QEMU映像的Shell脚本。 · 看护进程,用于在发动时发动shell脚本并使其运转。 · 一个带有看护进程的CPU监视器shell脚本,它能够依据CPU运用情况和活动监视器进程是否正在运转来发动/中止发掘。 CPU监视器脚本能够经过加载看护进程来发动发掘活动,中止进程来完毕发掘。假如Activity Monitor进程正在运转,则发掘将中止。此外,它会查看体系闲暇了多长时间(以秒为单位): ioreg -c IOHIDSystem | awk '/HIDIdleTime/ {print $NF/1000000000; exit}' 假如超越2分钟,则开端发掘;如不到2分钟,则查看总CPU运用率: ps -A -o %cpu | awk '{s+=$1} END {print s }' 除以CPU核数: sysctl hw.logicalcpu |awk '{print $2 }') 假如大于85%,就中止发掘。不同版别的脚本自身略有不同,但整体思路是相同的。 装置完成后,会删去一切ku机相关装置文件。
图5. Polyverse.Music.Manipulator.v1.0.1.macOS.dmg的装置 [1][2][3][4]黑客接单网