Minas 是一個多階段的 Cryptominer 惡意軟件
Minas 是一種專為加密貨幣挖掘而設計的惡意軟件,它是一種利用 XMRIG 應用程序的陰險威脅,該應用程序最初用於合法的 Monero 挖掘。這種特殊類型的惡意軟件會對受感染的機器施加巨大壓力,從而危及系統及其硬件的整體健康狀況。
Minas 採用各種複雜的技術來逃避檢測並確保其壽命。它的主要目標是從事加密貨幣的挖掘,這一過程涉及利用計算機能力解決複雜的數學問題以生成數字貨幣。
挖礦行為需要強大的硬件,這促使網絡犯罪分子經常利用毫無戒心的受害者的設備或為此目的利用整個殭屍網絡,而不是投資於他們自己的設備。
Minas 感染鏈,一步一步
感染鏈總結如下:
- 通過任務計劃程序,執行 PowerShell 腳本,從遠程服務器獲取 lgntoerr.gif 文件。
- 解密後,lgntoerr.gif 轉換為 .NET DLL,然後加載。
- .NET DLL 提取並解密三個文件:兩個 DLL 和一個加密的負載,將它們放在 ProgramData 目錄中。
- .NET DLL 創建一個任務,以在系統啟動期間使用任務計劃程序自動運行合法的 ilasm.exe 組件。
- 任務計劃程序從 ProgramData 目錄啟動 ilasm.exe。
- ilasm.exe 啟動 fusion.dll,一個惡意 DLL 劫持程序,也駐留在同一目錄中。
- fusion.dll 加載第二個解密的 DLL。
- 第二個 DLL 生成一個掛起的 dllhost.exe 進程。
- 加密二進製文件中的有效負載由第二個 DLL 解密。
- 解密後的有效載荷作為 DLL 注入到 dllhost.exe 進程中。
- dllhost.exe 進程的進程 ID (PID) 保存在 ProgramData 目錄下的一個文件中。
- 控制被傳遞到 dllhost.exe 進程中的解密有效負載。
- 有效負載 DLL 在計算機內存中提取並執行礦工 DLL。
- 本質上,這些步驟概述了感染鏈的進展,每個階段都有助於惡意礦工組件的執行。
為什麼 Cryptominers 對整個系統構成威脅?
通過利用 CPU 和 GPU 等系統資源,加密礦工消耗大量計算能力來生成數字貨幣。這種未經授權的過度使用可能會獨占高達 100% 的設備資源,導致頻繁的系統死機、崩潰和其他嚴重問題,使受影響的設備幾乎無法使用。
而且,系統的過度應變很可能導致過熱。當與通風不良、室溫高和類似條件等其他因素相結合時,這種過熱會對硬件造成不可逆轉的損壞,實質上是“燒毀”組件。
總而言之,設備上存在 Minas 或類似惡意軟件可能會造成可怕的後果。這些包括系統性能下降、系統故障、數據永久丟失、硬件退化和大量財務損失。