學習成長

2021.04.14 ｜ 5933次觀看

在家工作新冠肺炎資訊安全

電腦變慢竟是「挖礦病毒」在搞鬼！？遠端工作該如何避免惡意攻擊？｜資訊安全

肺炎疫情改變了很多公司的作業方式，當遠端作業、在家工作成為一種常見模式時，該如何提高資訊安全、避免常見的惡意程式攻擊呢？近幾年崛起的「挖礦病毒」該如何應對，本文提供識別方式與建議作法。

原文作者：Trend Labs 趨勢科技全球技術支援與研發中心
原文標題：電腦變慢了?竟是挖礦病毒!跟你一起在家工作!
原文出處：資安趨勢部落格

本文導覽

下載 Zoom 等會議軟體請確認來自官方！

一場突發的冠狀病毒（COVID-19，俗稱武漢肺炎）疫情，使得突然切換成在家工作的企業，幾乎沒有時間來加強遠端工作安全措施。

駭客因此見縫擦針想辦法利用視訊會議軟體等工具來散播惡意軟體也讓企業資安更加防不慎防。

如果近日發現電腦速度變慢，先回想看看是不是曾在非官方下載中心，下載了夾帶惡意程式的視訊軟體，導致電腦偷偷被「挖儣」了！

提醒大家，挖礦程式習慣假冒成熱門的程式，比如看似正常的更新程式，或是利用社交工程手法，如近期爆量的冠狀病毒（COVID-19，俗稱武漢病毒）疫情網路釣魚事件，在家工作者下載任何軟體都要隨時提高警覺。

趨勢科技發現有惡意份子利用視訊會議軟體 Zoom的合法安裝程式來偷渡挖礦( coinmining )病毒，吸引想安裝該軟體的使用者在無意間去下載了惡意檔案。

有問題的檔案並非來自Zoom的官方下載中心，而是來自詐騙網站。

圖1. 利用Zoom安裝程式偷渡的64.exe（一個虛擬貨幣挖礦病毒）程式碼片段
▲ 圖片來源：資安趨勢部落格

中了挖礦病毒會怎樣？

以下列舉三個常遇到的狀況：

1. 網路變慢、電費暴增？可能是它暗中搞鬼！

虛擬加密貨幣挖礦攻擊已成為網路犯罪集團越來越喜愛的賺錢管道。

原因為何？

因為，受害者並不曉得自己已經遭到感染，因此惡意程式可以潛伏在受害者的電腦上全年 365天24小時偷偷在背後挖礦。近來有越來越多駭客利用精密的攻擊來入侵企業 IT 系統與雲端伺服器以提高其挖礦的獲利。

不過還是有許多駭客專門攻擊一般家用的電腦系統（例如路由器），原因是這類設備相對上較缺乏資安防護。歹徒只要能集合夠多的這類裝置，將它們收編至所謂的殭屍網路，就等於擁有一座源源不絕的金礦。

♦兩招教你檢查電腦是否中了挖礦病毒！
✅檢查電腦的 CPU 使用率，若有異常飆高現象可以關閉瀏覽器頁面並觀察 CPU 使用率是否回歸正常
✅免費下載 PC-cillin雲端版檢測確認

2. 手機又沒電？當心遇到榨乾電力的挖礦程式

一個新的 Android 挖礦程式：「ANDROIDOS_HIDDENMINER」，會假冒成正常的 Google Play 更新程式 (google.android.provider) 並且使用了Google Play的圖示。

HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦，直到電力耗盡為止。這也會使得手機過熱，甚至故障。HiddenMiner使用多種技術隱蔽自己，讓一般使用者很難發現手機已經受到感染。除了在桌面使用透明圖標外，也無法在應用程式列表中發現它。

3. 電腦突然發出擾人噪音到底是出了什麼問題？

其實電腦的噪音大多是來自風扇，其中一個原因是當電腦的CPU使用率飆高，也會導致電腦溫度升高，於是風扇就需要增加轉速來散熱，風散噪音也增加了，您可以檢查一下CPU是否有使用異常或是關閉一些執行中的程式降低CPU使用率。

惡意檔案分析

下載有問題安裝程式的使用者會獲得比原本預期更多的東西，因為同時也下載了用AutoIt編譯的惡意軟體Trojan.Win32.MOOZ.THCCABO。它會帶入以下檔案：

檔案	描述
64.exe	偵測為Coinminer.Win64.MOOZ.THCCABO
asacpiex.dll (前5個位元是NULL)	包含Coinminer.Win64.MOOZ.THCCABO的壓縮檔
CR_Debug_Log.txt (前5個位元被置換的asacpiex.dll)	包含Coinminer.Win64.MOOZ.THCCABO的壓縮檔
CL_Debug_Log.txt	7-zip 壓縮程式
SystemCheck.xml	用於工作排程
ZoomInstaller.exe	合法的Zoom安裝程式版本4.4.0.0

壓縮檔asascpiex.dll的前5個字元為NULL，用0x00替換過使其難以確認原始檔案特徵碼（即0x37 0x7A 0xBC 0xAF 0x27，會被識別為7-Zip壓縮檔）。此檔很快被複製為CR_Debug_log.txt。7-Zip壓縮程式CL_Debug_log.txt被用來解壓縮此受密碼保護的壓縮檔。

該檔會用cpuinfo標誌位確認受感染系統的架構。如果是64位元系統就會植入64.exe。這包軟體並不含用於32位元系統的32.exe，這意味著該惡意軟體目前只在64位元環境執行。

該檔案使用WMI查詢收集如GPU資訊之類對挖礦活動來說很有用的資料。它還會收集關於CPU、系統、作業系統版本、視訊控制器和處理器等詳細資訊。

圖7. 檢查視訊控制器詳細資訊的程式碼

它還會檢查是否已啟用Microsoft SmartScreen和Windows Defender，以及系統內是否正在執行以下防毒軟體：

程序名稱	防毒軟體
AvastUI.exe / AvastSvc.exe	Avast
avguix.exe / AVGUI.exe	AVG
avp.exe / avpui.exe	Kaspersky
dwengine.exe	Dr. Web
egui.exe / ekrn.exe	ESET NOD32
MBAMService.exe	Malwarebytes

使用HTTP GET將收集到的資訊送到hxxps://2no.co/1IRnc。

CR_Debug_log.txt是個用7-Zip壓縮的檔案，裡面包含了虛擬貨幣挖礦病毒64.exe。它很快地會以helper.exe形式複製到%appdata%\Roaming\Microsoft\Windows\資料夾。這是個用AutoIt編譯的惡意軟體，裡面包含了7-Zip壓縮程式和受密碼保護壓縮過的Tor檔。為了保持持續性，它使用-SystemCheck參數來建立工作排程。

使用工作排程啟動helper.exe後，它會用-SystemCheck91137參數生成自己。

圖12. helper.exe檔案屬性命令列內的-SystemCheck91137

為了躲避偵測，helper.exe會檢查下列程序是否在執行中。除了安全軟體外，此列表還包含了其他會監視挖礦活動的工具：

aida64.exe
AnVir.exe
anvir64.exe
GPU-Z.exe
HWiNFO32.exe
HWiNFO64.exe
i7RealTempGT.exe
OpenHardwareMonitor.exe
pchunter64.exe
perfmon.exe
ProcessHacker.exe
ProcessLasso.exe
procexp.exe
procexp64.exe
RealTemp.exe
RealTempGT.exe
speedfan.exe
SystemExplorer.exe
taskmgr.exe
VirusTotalUpload2.exe

然後它會生成Tor檔並開始進行挖礦活動。

建議作法

突然間需要轉換成在家工作使得企業幾乎沒有時間來加強安全措施以確保自身滿足遠端工作的需求。而駭客想辦法利用視訊會議軟體之類的工具來散播惡意軟體也讓企業更加容易受害。

建議使用者只從官方網站下載安裝程式以避免中毒。使用者還應該遵循最佳實作來保護在家工作的環境。同時建議採用多層次防護以有效地偵測和封鎖威脅，無論其位在系統中的何處。

入侵指標

網址

2no(.)co/1IRnc
hxxps://2no(.)co/1O5aW

檔案

SHA-256	趨勢科技病毒碼偵測	趨勢科技預判式機器學習偵測
d65e8a784c2ba0d9f7a029e1817b78b31324fb8c988e0467fd693b0efd890756 (安裝程式)	Trojan.Win32.MOOZ.THCCABO	Troj.Win32.TRX.XXPE50FFF034
04b560d234e8706d5e43532e9e674ee54ed6f63d62795fb0e5776e23da7eb4d8 (64.exe)	Coinminer.Win64.MOOZ.THCCABO	N/A

※ 原文出處：Zoomed In: A Look into a Coinminer Bundled with Zoom Installer

｜加入【Trend Micro趨勢科技】，2023最新職缺看這裡

｜關於【資訊安全】，職場力還要提醒您這些事

★ 追蹤【104職場力】粉絲專頁、職場更給力 ★

在家工作新冠肺炎資訊安全