WebCobra是一款什么軟件

這篇文章給大家分享的是有關WebCobra是一款什么軟件的內容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

前言

近期，McAfee Lab的研究人員發現了一款新型的俄羅斯惡意軟件，這款惡意軟件名叫“WebCobra”，它可以利用目標設備的計算能力來挖加密貨幣。

實際上，惡意挖礦軟件是很難被檢測到的。當設備被感染后，惡意軟件會在系統后臺悄悄運行，唯一可能暴露痕跡的就是設備性能的下降。由于惡意軟件會增加設備計算能力的消耗，設備的運行速度會顯著降低，隨之而來的除了用戶使用過程中的反感，還有電費賬單上的“天文數字”，畢竟挖一個比特幣需要消耗的成本大約在531美元到26170美元之間…

毫無疑問，加密貨幣價值的增長正在吸引越來越多的網絡犯罪分子投身于惡意挖礦的行列中。

下圖顯示的是門羅幣價格走勢與惡意挖礦軟件發展趨勢之間的關系對應圖：

在此之前，McAfee Lab曾對加密貨幣文件注入工具CoinMiner進行了分析，感興趣的同學可以瀏覽【分析報告】。

WebCobra這款惡意軟件在感染了目標設備之后，會在后臺悄悄植入Cryptonight Miner或Claymore的Zcash Miner，具體需要根據WebCobra掃描到的目標設備架構來確定。我們認為，這款惡意軟件主要通過PUP流氓安裝器來實現傳播，目前全球范圍都受到了影響，受感染用戶最多的地區分別是巴西、南非和美國。

與其他惡意挖礦軟件不同的是，WebCobra會根據受感染設備的配置和架構來選擇植入不同的挖礦工具。

惡意行為分析

惡意軟件的Dropper是一個Windows安裝程序，它會檢測系統運行環境。在x86系統上，它會向正在運行的進程中注入Cryptonight Miner代碼，然后啟用進程監控。在x64系統上，它會檢測GPU配置，然后從遠程服務器下載并執行Claymore的Zcash Minner。

啟動之后，惡意軟件會使用下列命令下載并解壓一個受密碼保護的Cabinet壓縮文件：

這個CAB文件包含以下兩個文件：

1、 LOC：用于解密data.bin的DLL文件；

2、 bin：包含了經過加密處理的惡意Payload；

CAB文件使用了下列腳本來執行ERDNT.LOC：

ERDNT.LOC會解密data.bin，然后利用下列路徑將執行流傳遞給它：

[PlainText_Byte]= (([EncryptedData_Byte] + 0x2E) ^ 0x2E) + 0x2E

程序會在檢測了當前運行環境之后啟動對應的Miner，整個過程如下圖所示：

當data.bin被解密并執行之后，它會嘗試執行一些反調試、反模擬和反沙箱技術，并檢測當前系統上運行的其他安全產品，而這些都是這款惡意軟件保護自己不被檢測到的一些基本手段。

大多數安全產品都會通過掛鉤API函數來監控惡意軟件的行為，為了避免被檢測到，WebCobra會在內存中以數據文件的形式加載ntdll.dll和user32.dll，然后重寫這些函數的前八個字節（解除API hook）。

未設置hook的ntdll.dll API

LdrLoadDllZwWriteVirtualMemoryZwResumeThreadZwQueryInformationProcessZwOpenSemaphoreZwOpenMutantZwOpenEventZwMapViewOfSectionZwCreateUserProcessZwCreateSemaphoreZwCreateMutantZwCreateEventRtlQueryEnvironmentVariableRtlDecompressBuffer

未設置hook的user32.dll API

SetWindowsHookExWSetWindowsHookExA

感染x86系統

惡意軟件會向svchost.exe注入惡意代碼，并利用無限循環來檢測所有打開的窗口，然后使用下面列表中的字符串來匹配窗口的標題欄。這也是WebCobra采用的另一種檢測機制，它會根據這個檢測結果來判斷當前環境是否是專門用來分析惡意軟件的隔離環境。

adwemsiavzfarbarglaxdelfixrogueexeasw_av_popup_wndclasssnxhk_border_mywndAvastCefWindowAlertWindowUnHackMeesethackerAnVirRogueuVSmalware

惡意軟件會根據打開窗口的標題欄來判斷運行環境：

進程監控執行之后，它會使用Miner的配置文件創建一個svchost.exe的實例，并注入Cryptonignt Miner代碼：

最后，惡意軟件會讓Cryptonight Miner在后臺靜默運行，并利用目標主機的全部CPU資源來挖礦：

感染x64系統

惡意軟件首先會檢測是否運行了Wireshark：

然后檢測GPU品牌和型號，只有在檢測到下列GPU的時候它才會運行：

RadeonNvidiaAsus

如果檢測成功，惡意軟件會創建下面隱藏文件夾，然后從遠程服務器下載并執行Zcash Miner：

C:\Users\AppData\Local\WIXToolset 11.2

最后，惡意軟件會在%temp%\–xxxxx.cMD中植入一個batch文件來刪除Dropper（[WindowsFolder]\{DE03ECBA-2A77-438C-8243-0AF592BDBB20}\*.*）：

Miner的配置文件如下：

配置文件中包含：

礦池地址：5.149.254.170用戶名：49YfyE1xWHG1vywX2xTV8XZzbzB1E2QHEF9GtzPhSPRdK5TEkxXGRxVdAq8LwbA2Pz7jNQ9gYBxeFPHcqiiqaGJM2QyW64C密碼：soft-net

這份配置文件包含：

礦池地址：eu.zec.slushpool.com用戶名：pavelcom.nln密碼：zzz

總結

毫無疑問，惡意挖礦軟件還會不斷進化，因為網絡犯罪分子肯定不會放過這種相對來說比較輕松的賺錢方式。而且跟勒索軟件相比，惡意挖礦軟件的風險會更低，并且不需要目標用戶直接性地“支付費用”。只要隱蔽性夠高，只要不被發現，網絡犯罪分子就可以躺著把錢賺了。

入侵威脅指標

IP地址

5.149.249[.]13:22245.149.254[.]170:2223104.31.92[.]212

域名

emergency.fee.xmrig[.]comminer.fee.xmrig[.]com saarnio[.]rueu.zec.slushpool[.]com

哈希（SHA-256）

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

感謝各位的閱讀！關于“WebCobra是一款什么軟件”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！