Sophos研究人員發現有數據庫服務器進程(sqlservr.exe)啟動了有個下載器可執行文件，該下載器會提取一個名為MrbMiner的加密貨幣挖礦機。根據開源情報分析，研究人員發現該礦工是由伊朗的一家軟件開發公司創建和控制的。

Microsoft SQL服務器目錄運行的可執行文件下載MrbMiner

研究人員分析發現MrbMiner采用了類似MyKings、Lemon_Duck、Kingminer等加密貨幣挖礦機使用的技術來實現駐留。

研究人員分析發現Microsoft SQL Server進程 (sqlservr.exe)啟動了一個名為assm.exe的下載器木馬。assm.exe程序會從web 服務器下載一個加密貨幣挖礦機payload，然后連接到C2服務器來報告是否成功下載和執行挖礦礦工。

在大多數案例中，payload是一個名為sys.dll的文件，雖然該文件的后綴是dll，但并不是一個Windows DLL文件，而是含有加密貨幣挖礦機二進制文件、配置文件和相關文件的zip壓縮包。

研究人員從GitHub上找到了一個相同命名的sys.dll payload。許多都完全都有Linux版本的加密貨幣挖礦機payload，但其配置文件使用了不同的加密貨幣錢包地址而不是Windows版本的。

MrbMiner加密貨幣挖礦機payload包含一個kernel級的設備驅動WinRing0x64.sys和一個名為Windows Update Service.exe的挖礦機可執行文件來混淆其真實目的?？蓤绦形募荴MRig 挖礦機的修改版本。

WinRing0x64.sys 文件是一個kernel 驅動，允許用戶應用獲取ring0 級的資源。這樣攻擊者就可以訪問CPU 寄存器這樣的特征，還可以直接讀寫內存。此外，加密貨幣挖礦機使用驅動來修改MSR 寄存器來禁用CPU預取器，CPU預取器可以帶來6-7%的性能提升。該驅動是標準的功能，在2019年12月加入到XMRig 挖礦機中。

不同源域名之間共享的可疑文件

研究人員在MrbMiner 樣本中發現了一個名為sys.dll的zip文件。

進一步分析發現了大量的相關文件和URL。研究人員在挖礦機配置文件中發現了一個硬編碼的域名——vihansoft.ir。

該域名與許多含有礦工副本的zip文件有關系，包括名為agentx.dll 和 hostx.dll的文件。這些不同的zip文件包含的payload包括Windows Security Service.exe、Windows Host Management.exe、Install Windows Host.exe、Installer Service.exe、Microsoft Media Service.exe和名為linuxservice和 netvhost的Linux ELF可執行文件。

許多這些相同的文件都是從其他域名下載的，包括mrbfile.xyz 和 mrbftp.xyz。其他惡意文件都保存在這些站點上，zip文件名為sys.dll 和 syslib.dll，zip文件中的payload為Windows Security Service.exe、SecurityService.exe和PowerShellInstaller.exe。

與伊朗有關

研究人員分析發現大多數攻擊活動的目標都是聯網的服務器。挖礦的配置、域名和IP地址等相關記錄都指向了同一個源頭：一家位于伊朗的小軟件開發公司。

Payload位置和C2服務器地址都是硬編碼在下載器中的。C2和payload服務器使用的域名——vihansoft.ir，都是一家位于伊朗的軟件開發公司注冊的。Payload 也是vihansoft.ir域名相關的IP地址直接下載的。

研究人員礦工payload是從vihansoft 域名的web root目錄下載的。加密貨幣數據發送給了位于poolmrb.xyz 和 mrbpool.xyz 域名的錢包地址。礦工惡意軟件是從vihansoft.ir、mrbfile和mrbftp等域名下載的，這些域名會與poolmrb/mrbpool 域名進行通信。

Mrb域名和vihansoft都沒有可用的WHOIS信息，但是他們都使用相同的WHOIS 隱私服務——WhoisGuard，來隱藏域名所有者信息。

本文翻譯自：

https://news.sophos.com/en-us/2021/01/21/mrbminer-cryptojacking-to-bypass-international-sanctions/

【責任編輯：趙寧寧 TEL：（010）68476606】