這篇文章給大家分享的是有關(guān)WebCobra是一款什么軟件的內(nèi)容。小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過(guò)來(lái)看看吧。

創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比綏江網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式綏江網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋綏江地區(qū)。費(fèi)用合理售后完善，10年實(shí)體公司更值得信賴。

前言

近期，McAfee Lab的研究人員發(fā)現(xiàn)了一款新型的俄羅斯惡意軟件，這款惡意軟件名叫“WebCobra”，它可以利用目標(biāo)設(shè)備的計(jì)算能力來(lái)挖加密貨幣。

實(shí)際上，惡意挖礦軟件是很難被檢測(cè)到的。當(dāng)設(shè)備被感染后，惡意軟件會(huì)在系統(tǒng)后臺(tái)悄悄運(yùn)行，唯一可能暴露痕跡的就是設(shè)備性能的下降。由于惡意軟件會(huì)增加設(shè)備計(jì)算能力的消耗，設(shè)備的運(yùn)行速度會(huì)顯著降低，隨之而來(lái)的除了用戶使用過(guò)程中的反感，還有電費(fèi)賬單上的“天文數(shù)字”，畢竟挖一個(gè)比特幣需要消耗的成本大約在531美元到26170美元之間…

毫無(wú)疑問(wèn)，加密貨幣價(jià)值的增長(zhǎng)正在吸引越來(lái)越多的網(wǎng)絡(luò)犯罪分子投身于惡意挖礦的行列中。

下圖顯示的是門羅幣價(jià)格走勢(shì)與惡意挖礦軟件發(fā)展趨勢(shì)之間的關(guān)系對(duì)應(yīng)圖：

在此之前，McAfee Lab曾對(duì)加密貨幣文件注入工具CoinMiner進(jìn)行了分析，感興趣的同學(xué)可以瀏覽【分析報(bào)告】。

WebCobra這款惡意軟件在感染了目標(biāo)設(shè)備之后，會(huì)在后臺(tái)悄悄植入Cryptonight Miner或Claymore的Zcash Miner，具體需要根據(jù)WebCobra掃描到的目標(biāo)設(shè)備架構(gòu)來(lái)確定。我們認(rèn)為，這款惡意軟件主要通過(guò)PUP流氓安裝器來(lái)實(shí)現(xiàn)傳播，目前全球范圍都受到了影響，受感染用戶最多的地區(qū)分別是巴西、南非和美國(guó)。

與其他惡意挖礦軟件不同的是，WebCobra會(huì)根據(jù)受感染設(shè)備的配置和架構(gòu)來(lái)選擇植入不同的挖礦工具。

惡意行為分析

惡意軟件的Dropper是一個(gè)Windows安裝程序，它會(huì)檢測(cè)系統(tǒng)運(yùn)行環(huán)境。在x86系統(tǒng)上，它會(huì)向正在運(yùn)行的進(jìn)程中注入Cryptonight Miner代碼，然后啟用進(jìn)程監(jiān)控。在x64系統(tǒng)上，它會(huì)檢測(cè)GPU配置，然后從遠(yuǎn)程服務(wù)器下載并執(zhí)行Claymore的Zcash Minner。

啟動(dòng)之后，惡意軟件會(huì)使用下列命令下載并解壓一個(gè)受密碼保護(hù)的Cabinet壓縮文件：

這個(gè)CAB文件包含以下兩個(gè)文件：

1、 LOC：用于解密data.bin的DLL文件；

2、 bin：包含了經(jīng)過(guò)加密處理的惡意Payload；

CAB文件使用了下列腳本來(lái)執(zhí)行ERDNT.LOC：

ERDNT.LOC會(huì)解密data.bin，然后利用下列路徑將執(zhí)行流傳遞給它：

[PlainText_Byte]= (([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E

程序會(huì)在檢測(cè)了當(dāng)前運(yùn)行環(huán)境之后啟動(dòng)對(duì)應(yīng)的Miner，整個(gè)過(guò)程如下圖所示：

當(dāng)data.bin被解密并執(zhí)行之后，它會(huì)嘗試執(zhí)行一些反調(diào)試、反模擬和反沙箱技術(shù)，并檢測(cè)當(dāng)前系統(tǒng)上運(yùn)行的其他安全產(chǎn)品，而這些都是這款惡意軟件保護(hù)自己不被檢測(cè)到的一些基本手段。

大多數(shù)安全產(chǎn)品都會(huì)通過(guò)掛鉤API函數(shù)來(lái)監(jiān)控惡意軟件的行為，為了避免被檢測(cè)到，WebCobra會(huì)在內(nèi)存中以數(shù)據(jù)文件的形式加載ntdll.dll和user32.dll，然后重寫這些函數(shù)的前八個(gè)字節(jié)（解除API hook）。

未設(shè)置hook的ntdll.dll API

LdrLoadDllZwWriteVirtualMemoryZwResumeThreadZwQueryInformationProcessZwOpenSemaphoreZwOpenMutantZwOpenEventZwMapViewOfSectionZwCreateUserProcessZwCreateSemaphoreZwCreateMutantZwCreateEventRtlQueryEnvironmentVariableRtlDecompressBuffer

未設(shè)置hook的user32.dll API

SetWindowsHookExWSetWindowsHookExA

感染x86系統(tǒng)

惡意軟件會(huì)向svchost.exe注入惡意代碼，并利用無(wú)限循環(huán)來(lái)檢測(cè)所有打開的窗口，然后使用下面列表中的字符串來(lái)匹配窗口的標(biāo)題欄。這也是WebCobra采用的另一種檢測(cè)機(jī)制，它會(huì)根據(jù)這個(gè)檢測(cè)結(jié)果來(lái)判斷當(dāng)前環(huán)境是否是專門用來(lái)分析惡意軟件的隔離環(huán)境。

adwemsiavzfarbarglaxdelfixrogueexeasw_av_popup_wndclasssnxhk_border_mywndAvastCefWindowAlertWindowUnHackMeesethackerAnVirRogueuVSmalware

惡意軟件會(huì)根據(jù)打開窗口的標(biāo)題欄來(lái)判斷運(yùn)行環(huán)境：

進(jìn)程監(jiān)控執(zhí)行之后，它會(huì)使用Miner的配置文件創(chuàng)建一個(gè)svchost.exe的實(shí)例，并注入Cryptonignt Miner代碼：

最后，惡意軟件會(huì)讓Cryptonight Miner在后臺(tái)靜默運(yùn)行，并利用目標(biāo)主機(jī)的全部CPU資源來(lái)挖礦：

感染x64系統(tǒng)

惡意軟件首先會(huì)檢測(cè)是否運(yùn)行了Wireshark：

然后檢測(cè)GPU品牌和型號(hào)，只有在檢測(cè)到下列GPU的時(shí)候它才會(huì)運(yùn)行：

RadeonNvidiaAsus

如果檢測(cè)成功，惡意軟件會(huì)創(chuàng)建下面隱藏文件夾，然后從遠(yuǎn)程服務(wù)器下載并執(zhí)行Zcash Miner：

C:\Users\AppData\Local\WIXToolset 11.2

最后，惡意軟件會(huì)在%temp%\–xxxxx.cMD中植入一個(gè)batch文件來(lái)刪除Dropper（[WindowsFolder]\{DE03ECBA-2A77-438C-8243-0AF592BDBB20}\*.*）：

Miner的配置文件如下：

配置文件中包含：

礦池地址：5.149.254.170用戶名：49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C密碼：soft-net

這份配置文件包含：

礦池地址：eu.zec.slushpool.com用戶名：pavelcom.nln密碼：zzz

總結(jié)

毫無(wú)疑問(wèn)，惡意挖礦軟件還會(huì)不斷進(jìn)化，因?yàn)榫W(wǎng)絡(luò)犯罪分子肯定不會(huì)放過(guò)這種相對(duì)來(lái)說(shuō)比較輕松的賺錢方式。而且跟勒索軟件相比，惡意挖礦軟件的風(fēng)險(xiǎn)會(huì)更低，并且不需要目標(biāo)用戶直接性地“支付費(fèi)用”。只要隱蔽性夠高，只要不被發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子就可以躺著把錢賺了。

入侵威脅指標(biāo)

IP地址

5.149.249[.]13:22245.149.254[.]170:2223104.31.92[.]212

域名

emergency.fee.xmrig[.]comminer.fee.xmrig[.]com saarnio[.]rueu.zec.slushpool[.]com

哈希（SHA-256）

5E14478931E31CF804E08A09E8DFFD091DB9ABD684926792DBEBEA9B827C9F372ED8448A833D5BBE72E667A4CB311A88F94143AA77C55FBDBD36EE235E2D9423F4ED5C03766905F8206AA3130C0CDEDEC24B36AF47C2CE212036D6F9045693501BDFF1F068EB619803ECD65C4ACB2C742718B0EE2F462DF795208EA913F3353BD4003E6978BCFEF44FDA3CB13D618EC89BF93DEBB75C0440C3AC4C1ED247274206AD9DDC92869E989C1DF8E991B1BD18FB47BCEB8ECC9806756493BA3A1A17D6615BFE5A8AE7E0862A03D183E661C40A1D3D447EDDABF164FC5E6D4D183796E0F31285AE705FF60007BF48AEFBC7AC75A3EA507C2E76B01BA5F478076FA5D1B3AA0DBF77D5AA985EEA52DDDA522544CA0169DCA4AB8FB5141ED2BDD2A5EC16CE

感謝各位的閱讀！關(guān)于“WebCobra是一款什么軟件”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！

新聞標(biāo)題：WebCobra是一款什么軟件
本文URL：http://jinyejixie.com/article28/posicp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、企業(yè)建站、網(wǎng)站設(shè)計(jì)、電子商務(wù)、面包屑導(dǎo)航、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)