由於比特幣價格的上漲,惡意軟件樣本正在增加。 DDoS 攻擊與加密貨幣挖礦攜手合作,以提高攻擊者攻擊的收入和盈利能力。擁有成千上萬的潛在受害者只會增強這種願望。
本文介紹了我們最近對DirtyMoe 病毒的調查結果。 DirtyMoe 的漏洞利用工具包是PurpleFox,NuggetPhantom 惡意軟件是它的初始迭代。最早提及該病毒可能要追溯到那一年。在過去的幾年中,惡意軟件經歷了顯著的轉變。最初的批次通常不穩定並引起明顯的症狀。當前樣本仍在使用反取證、反跟踪和反調試策略。
DirtyMoe 病毒是模塊化的、不可檢測的和不可追踪的,這要歸功於一個簡單的概念,即它會產生風險。 Cryptojacking 和DDoS 攻擊是該病毒的主要目標。 EternalBlue 和至少另外三個漏洞允許DirtyMoe 作為具有系統級權限的Windows 服務運行。惡意軟件開發人員可以遠程訪問數千個DirtyMoe 實例,他們可以使用這些實例在幾個小時內更改惡意軟件的功能。當用戶請求某個功能時,DirtyMoe 只需下載一個加密的有效載荷,然後注入它。
本地和網絡惡意軟件層包括DirtyMoe 的防禦和隱藏機制。受VMProtect 保護的服務是DirtyMoe 的核心。 Rootkit 功能(如服務、註冊表項和驅動程序隱藏)是從Windows 驅動程序中提取的。其他功能包括在系統分區上隱藏指定文件並將任意DLL 注入每個新生成的進程。如前所述,與母服務器的網絡連接既不是預先配置的,也不是手動啟動的。 DirtyMoe 使用一組硬編碼DNS 服務器向單個硬編碼域發出DNS 請求。但是,使用一組不同的DNS 查詢來獲取最終的IP 地址和端口。我們無法阻止來自Google、Cloudflare 和其他DNS 服務器的DNS 查詢,因為阻止最後一個IP 地址並不能阻止感染。
比特幣的人氣迅速攀升,在其他加密貨幣更驚人的收益的推動下,將曾經的利基行業推向了公眾的視線。威脅者在發現這一趨勢時就利用了這一趨勢。一些殭屍網絡和惡意惡意軟件具有加密貨幣挖礦功能。威脅參與者可能會使用數百台受感染的機器來生成加密貨幣。 DirtyMoe 病毒是現代且複雜的惡意軟件。這種威脅已經影響到歐洲、亞洲和俄羅斯。專家說DirtyMoe 感染了100,000 台PC。
研究人員將DirtyMoe 的早期版本監控為NuggetPhantom,因為它們不穩定並且很容易被網絡安全工具檢測到。從那時起,它發生了顯著發展,成為一種難以捉摸的模塊化威脅,展示了許多反檢測和反分析策略。
模塊化結構
DirtyMoe 病毒本質上是模塊化的,這是它最顯著的特點。 DirtyMoe Core 是最重要的部分。它的主要功能之一是下載更新並在將它們放置在安全的地方進行存儲之前對其進行加密。顧名思義,Core 的其他職責之一是將損壞的代碼傳輸到DirtyMoe Executioner。可以通過操作的命令和控制服務器檢索注入的代碼,可以稱為MOE 對像或模塊。惡意軟件的行為可能會根據威脅參與者的目標而改變。黑客可能會向DirtyMoe 注入所需的加密負載。一個DirtyMoe 案例可能會花費幾個小時。 DirtyMoe 的有效負載包括數據收集惡意軟件、勒索軟件和特洛伊木馬。它用於DDoS 攻擊和加密貨幣挖礦。
強大的隱藏和自衛能力
DirtyMoe 使用VMProtect 來保護其最危險的核心。額外的Windows 驅動程序也用於執行許多類似rootkit 的功能,例如服務和註冊表項隱藏。該驅動程序還有許多其他可用選項,包括隱藏受感染PC 上的某些文件或將任意DLL 注入新進程的能力。