驱动程序csrss.exe是什么进程

2018年4月23日,星期一加密货币挖矿活动"挖出煤炭而不是钻石"执行摘要今年1月份,比特币推出了新型分叉加密货币-比特票(Bitvote).
不久,Talos就发现了一种新的挖矿活动,受此活动影响的系统遍布印度、印度尼西亚、越南以及其他几个与比特票有联系的国家/地区.
在此活动中,攻击者选择了以比特币的这种新型分叉币为目标,以获得尽早采用的优势.
除此之外,值得注意的是,这一活动使用内核模式驱动程序来管理命令和控制(C2)基础设施、配置、下载及执行功能,以及负载保护.
除了负载保护之外,在内核中实现此功能非常罕见,这意味着攻击背后的幕后黑手技术知识达到了中高级水平.
攻击的负载和配置嵌入在经过专门修改的GIF动画文件中,并作为自由博客平台托管网页的一部分进行发布.
该活动在2月份和3月份很活跃,迄今为止,给攻击者带来的回报有限.
引言开源项目的好处之一在于,其他人能够创建所谓的"分叉"(即,原始源代码存储库的副本),并通过利用新的开发团队和单独的开发过程来创建一个单独的项目,从本质上将开发过程分离开来(分叉).
加密货币也会出现分叉.
自比特币首次发行以来,托管服务GitHub上已经有超过18000种比特币代码分叉,尽管其中只有少数几种成功作为比特币的替代品推出.
虽然有些分叉(例如比特币现金、比特币黄金或莱特币)相当成功,但大多数新分叉都消亡了,没有引起很多用户注意.
创建分叉的一个常见原因是改进所谓的"一个CPU一票"(one-CPU-one-vote)原则,该原则规定网络如何决定交易有效性的规则.
在比特币创始人中本聪(SatoshiNakamoto)提出的原始计划中,矿工根据投入的计算资源量按比例获得奖励,而未明确提及应该用何种硬件进行挖矿.
但有些人采用了"一个CPU一票"原则,照字面来说,就只能用台式机CPU进行挖矿.
最初的比特币挖矿做法是使用标准台式机系统CPU和GPU,然而人们已将这种做法抛之脑后,改用基于ASIC的专用硬件系统,这需要对挖矿软件进行大量前期投资,才能实现显著的回报.
在这样的发展趋势之下,许多家庭用户从挖掘比特币转向挖掘门罗币等其他货币,门罗币经过专门设计,目的是阻碍攻击者使用ASIC挖矿.
门罗币也日益成为恶意挖矿僵尸网络的首选货币,我们已经在最近的一篇博文中介绍了这种情况.
1月20日,有一群不知名的开发人员推出了一种名为比特票的新型比特币分叉币,他们对于如何改进"一个CPU一票"原则提出自己的见解,并为台式机用户提供更公平的机会来成功挖掘加密货币.
比特票利用Cryptonight算法工作,门罗币也是采用这种算法.
该算法让标准台式机CUP可以在挖矿过程中成为平等的参与者.
随着网络犯罪分子日益减少对勒索软件的依赖,转而更倾向于进行加密货币挖矿,无怪乎恶意攻击者决定将魔爪伸向比特票,并开发出一种恶意活动,导致数以百计的系统感染改版cpuminer挖矿软件,并且将受影响的系统加入了比特票的矿池中.
这篇博文重点讲述比特票的驱动程序功能,但我们也将简要描述植入程序,以及这个活动中使用的最终加密货币挖矿负载.
具有意外功能的计算器:植入程序在调查面向终端的AMP产品遥测数据时,我们发现了一种伪装成计算器应用的植入程序.
该植入程序在现实中使用广泛,并在2月6日被阻止.
它可能会植入某种(可能)有害的应用安装程序中,然后假借某版本MicrosoftToolkit的名义,在托管网站上随着该安装程序一起发布传播.
此MicrosoftToolkit应能让用户无需拥有有效的许可证,就能激活不同版本的MicrosoftOffice和Windows.
但是,上述MicrosoftToolkit捆绑包不仅会安装许多可能有害的应用(PUA),而且还会安装一个名称为calculator.
exe的文件,通过该文件植入随机命名的内核模式驱动程序.
至少在2017年最后一个季度前后,就开始出现早期的计算器形式的植入程序变体.
通常,植入程序的恶意功能(使用MFC框架编写)是在\system32\drivers文件夹中安装驱动程序.
该驱动程序使用包含八个随机字符的基本文件名(例如djkeuihk.
sys),或者使用原始名称DrToolKrl.
sys.
创建驱动程序后,植入程序将创建一项与驱动程序同名的Windows服务,因为驱动程序文件会通过启动该服务将驱动程序加载到内核内存中.
在植入驱动程序之前,植入程序会检查自身运行环境是不是虚拟机、调试程序或者沙盒环境.
如果检测到虚拟机环境,则不会植入恶意驱动程序,而会继续执行计算器功能.
特洛伊木马计算器GUI植入程序会检查以下环境:ParallelsVMwareVirtualBoxJoeBoxGFISandbox(CWSandbox)AnubisSandboxie面向Windows的调试工具如果未检测到调试或分析环境,植入程序会检查操作系统的版本,以便植入适当的32或64位版本的rootkit驱动程序.
它还会尝试与驱动程序通信,以确保驱动程序尚未加载.
检查操作系统的位数并准备植入驱动程序罪魁祸首:驱动程序该驱动程序使用属于"JiangsuinnovationsafetyassessmentCo.
,Ltd.
"的已过期签名证书.
这意味着WindowsVista及更高版本的64位Windows系统不会加载该驱动程序,因为这些系统强制执行有效的驱动程序签名.
一方面,这似乎意味着攻击者的失败,因为攻击只能针对较旧的Windows版本,可能会在功能较差的CPU上执行.
另一方面,这也可能成为攻击者的优势,因为旧系统更有可能没有完全更新,因而未受到最新安全软件的保护.
因此,如果这种攻击只能影响较旧的CPU,那它被检测出来的概率也更小.
该驱动程序具有以下功能:管理C2基础设施的配置解析在自由博客平台上托管的配置文件,以解码隐藏在C2博文所含GIF动画文件中的信息.
下载并执行最终负载(在我们的案例中,最终负载是比特票矿池挖矿软件代理)防止驱动程序被删除防止驱动程序注册表项被第三方访问(读写)防止进程和线程终止下载并安装新驱动程序版本禁用用户帐户控制(UAC)除了能够保护自身及其负载之外,核心驱动程序还超乎寻常地包含下载和执行功能,已知的恶意软件下载程序很少能在内核模式下实现这一点.
这表明,驱动程序创建者具有越来越高的技术水平,而且可能还是这种比特票挖矿业务的幕后操纵者.
但是,驱动程序也可能由通用第三方工具包创建,攻击者只需以简单的方式指定配置和负载URL.
攻击者指定配置后,便可以使用该工具包生成驱动程序并为之签名,这也可以解释为何驱动程序样本采用的是过期证书签名.
然而,我们找不到能证实这一解释的生成程序样本.
配置管理该驱动程序最初包含几条硬编码URL.
这些URL指向一些免费博客平台,例如Blogspot(Blogger)和俄罗斯博客平台LiveJournal.
在访问这些硬编码URL之前,植入程序会尝试从植入程序正文中硬编码的特殊URL下载一份GIF文件.
下载的GIF文件在偏移0xA0000中包含加密数据blob,具有包括新命令和控制位置的驱动程序配置块,以及用于下载负载的更新后URL.
配置数据块以包含幻数双字'lKTD'('DTKl')的报头开头,后跟包含解码配置中所有字节的简单加法校验和的双字、静态双字XOR解密密钥以及块中配置记录的双字计数.
下载和解码驱动程序配置每个配置记录大小都为407个字节,并且包含记录的类型(它可能表示负载记录、驱动程序更新记录或C2记录),后跟URL,以及指向HTML解析函数的指针、启动时使用的本地文件路径和参数.
该配置被解码并加载到DriverEntry函数中由驱动程序创建的设备对象的DeviceExtension块中.
设备扩展块是与设备对象关联的最重要的数据结构.
它的内部结构是驱动程序定义的,通常用于维护设备状态信息并为任何内核定义的对象提供内存.
在我们的案例中,DeviceExtension还存储恶意驱动程序的内存配置.
包含驱动程序配置的GIF通过查询Google的DNS解析器8.
8.
8.
8,可以解析任何主机的IP地址.
建议防御者阻止从标准内部网络终端到外部DNS解析器的直接通信,这将阻止驱动程序下载和执行负载以及连接到僵尸网络C2服务器(在内部网路中称为"核心服务器").
在这个活动中用作核心服务器的主机是cdn[.
]rmb666[.
]me.
在分析时,域名解析为185.
180.
14.
16,这也与其他恶意域关联.
该域注册于2017年12月20日,似乎已专门用于这个活动.
IP地址托管在捷克共和国.
该域现在已经更改了提供商,转而指向托管于乌克兰的IP地址91.
213.
8.
57.
思科UmbrellaInvestigate工具提供的国家/地区分布图表明,该活动在印度尼西亚最活跃,同时波及许多其他国家/地区(如印度、阿尔及利亚和越南).
受影响最严重的国家是印度尼西亚和印度将初始数据发布到C2服务器时,驱动程序使用非常具体的用户代理字符串'Mozilla/5.
0(WindowsNT6.
1;Win64;x64)AppleWebKit/520.
16(KHTML,likeGecko)Chrome/61Safari/517',这可能是不错的网络检测指标.
核心服务器初始发布请求示例下载和执行功能上传配置后,驱动程序会遍历记录并尝试访问指定的URL.
如果URL托管HTML文件,驱动程序将解析该页以查找满足关联HTML解析函数所设条件的图像URL.
如果找到目标图像URL,驱动程序将下载该图像文件.
下载的图像文件是GIF格式,直接附加了PE可执行文件负载.
然后,驱动程序从图像中提取负载,将负载保存到由配置记录设置的目标路径下,通过将进程上下文更改为Windows资源管理器(explorer.
exe)并使用标准WinExecWindowsAPI函数启动下载的文件来执行负载.
驱动程序通过调用ZwQuerySystemInformationAPI以获取SYSTEM_PROCESS_INFORMATION结构的阵列来查找Windows资源管理器进程标识符(PID),系统中每个进程均有一个进程标识符.
在"explorer.
exe"的上下文中执行负载驱动程序保护除了核心的"下载和执行"功能外,该驱动程序还实施了几种保护技术,以保护驱动程序的文件、自身内存配置、服务和负载进程.
为了保护自身,驱动程序将自己的图像和配置记录存储在注册表项中.
这样,如果原始驱动程序被从磁盘中删除或被修改,则系统会用原始驱动程序替换修改后的文件,或者创建新的驱动程序副本.
如果驱动程序无法恢复到原来位置,它将生成一个新的八字符随机名称,将驱动程序的原始版本保存到新生成的路径下,并创建一项指向该路径的新服务.
配置存储在驱动程序服务使用的注册表项的DataInfo值中.
例如:\HKLM\System\CurrentControlSet\Services\kemamiti\DataInfo.
服务注册表项受驱动程序保护,只要驱动程序在内存中处于活动状态,就不允许对其进行访问.
驱动程序拒绝访问驱动程序服务注册表项隐藏驱动程序驱动程序尝试从已加载模块的InLoadOrderLinks链接列表中删除自身来实现隐藏.
驱动程序访问自己的_DRIVER_OBJECT对象DriverSection指针,该指针指向一个具有_LDR_DATA_TABLE_ENTRY结构的区域,用于保存有关已加载模块的信息.
驱动程序通过修改上一个列表成员的Flink(转发链接)成员和下一个列表成员的Blink(向后链接)成员,从而将自己从InLoadOrder链接列表中.
驱动程序还将_DRIVER_OBJECT对象的DriverName域以及_LDR_DATA_TABLE_ENTRY结构中的FullDllName域清零.
驱动程序将其名称清零,但BaseDllName仍然保留这样,当许多实用程序检查加载的模块列表时,系统便不会显示驱动程序模块的名称.
例如,如果我们使用MatthieuSuiche开发的WinDbg扩展命令SwishDbgExt来显示内核回调,则系统不会显示驱动程序模块名称,但我们仍然可以跟踪超链接来破译和分析回调代码.
清零后,驱动程序模块名称未分配给回调负载进程保护除了保护模块及其注册表项之外,驱动程序还可以防止负载进程终止,并且如果所有线程都终止,驱动程序可以重新启动进程.
这是利用一个文档化内核机制和注册对象回调来实现的,让用户可以提供函数,当触发注册的内核事件(如打开进程)时,内核将调用该函数.
通过为进程对象调用ObRegisterCallbacks来实现对进程的保护.
当内核发起回调时,rootkit会更改DesiredAccess掩码以防止其他进程终止负载.
还有某种附加筛选功能,如果创建负载句柄的进程不是explorer.
exe或csrss.
exe,则进程将无法终止负载.
驱动程序拒绝对负载进程的访问系统回调以前,Windows内核模式rootkit刚刚出现时,它们经常利用非文档化操作系统结构和表格(如系统服务调度表[SSDT]或中断描述符表).
但是现在,它们通常使用文档化接口(例如系统回调),以避免受到Windows内核安全机制检测.
我们的驱动程序样本还了解Windows保护机制,并且使用文档化回调来注册多种函数,从而实现自我保护.
该驱动程序用于注册回调的函数如下:CmRegisterCallback-用于保护注册表值的注册表回调PsSetCreateProcessNotifyRoutine-如果负载进程终止,则重新生成负载PsSetLoadImageNotifyRoutine-禁用用户帐户控制PsSetCreateThreadNotifyRoutine-注册表和驱动程序文件保护ObRegisterCallbacks-防止负载终止最终负载-挖矿软件最终负载是改版的cpuminer应用,它下载在\winserv,exe中.
该挖矿软件被改为使用TCP端口5700自动连接到btv.
vvpool.
com站点并加入比特票矿池.
该应用似乎只对开源加密货币挖矿软件cpuminer进行了小幅改动,不值得进一步调查.
该挖矿软件连接到TCP端口5700上的矿池,并发送其地址在撰写本文之时,我们可以看到,此次挖矿活动的收入仅为4400多个比特票,将近1500美元.
使用比特票区块探测器可以轻松检查并搜索到发送至地址1C9BLDgbx8geYzc5sNPDUhpHWFqAEqHRHB(属于僵尸网络)的交易.
尽管该僵尸网络规模较小,攻击者还是赚了1500多美元.
考虑到普通CPU所能产生的平均算力为125hash/s,而此次挖矿活动的最高算力为340Khash/s,说明参与此次活动的僵尸网络大约有2500个.
似乎攻击者一心想要挖比特票,但如果他们尝试挖掘其他更为成熟的加密货币(例如门罗币),回报会高得多.
经历最初的高算力后,该活动迅速下降到12Khash/s该挖掘活动在2月16日开始,可以在vvpool.
com网站上的统计信息中看到.
结论近来,许多勒索软件攻击面临重重困难,发展趋势不明,于是网络犯罪分子纷纷转而开始挖掘加密货币,这并不足为奇.
除了挖掘门罗币等成熟的加密货币外,恶意攻击者还会率先采用一些新型加密货币.
比特票只是其中之一,比特票是比特币的分叉币,是1月20日推出的.
攻击者创建了特洛伊木马计算器应用,目的是汇集大量受感染的机器来挖掘比特票.
值得注意的是,除了针对新型加密货币外,此活动还会部署内核模式驱动程序,以便为最终负载提供完整的基础设施.
该驱动程序的功能包括下载负载、重新加载恶意软件配置,以及隐藏恶意模块并防止检测和删除这些模块.
使用内核模式驱动程序对于日常恶意软件活动来说是很不寻常的方法,并且要求开发人员至少掌握适当的技术知识.
攻击者用于对驱动程序进行签名的证书已过期,这表明攻击者可能有意针对使用最新操作系统的用户比例较小的地理区域.
虽然这种新型加密货币只带来了有限的回报,但我们认为攻击者在未来会延续这种趋势,因为会有更多的加密货币允许使用商用台式机CUP挖矿.
防护思科客户可通过其他方式检测并阻止此威胁,包括:高级恶意软件防护(AMP)解决方案可以有效防止执行威胁发起者使用的恶意软件.
CWS或WSA的Web扫描功能可以阻止访问恶意网站,并检测这些攻击中所用的恶意软件.
邮件安全设备可以拦截威胁发起者在攻击活动中发出的恶意邮件.
网络安全设备(例如NGFW、NGIPS和MerakiMX)可以检测与此威胁相关的恶意活动.
AMPThreatGrid可帮助识别恶意二进制文件,使所有思科安全产品都有内置保护措施.
Umbrella,我们的安全互联网网关(SIG),可阻止用户连接恶意域、IP和URL(无论用户是否位于公司网络上).
开源Snort用户规则集客户可以在Snort.
org上下载出售的最新规则包,保持最新状态.
感染指标(IOC)驱动程序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植入程序(CALCULATORXXXX.
EXE)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植入程序工具包8185b8a3629dc1fb5090a12f0418ce91ee1908117487e3316f96ba17fa64a5db改版的比特票CPUMINER87c27f08d1eaa1ad2addd6af381829c037d55186ceded7249d5af0a62e464032用于下载配置的域hxxp://image.
bcn2018.
com/hxxp://image.
cheap2019.
com/hxxp://image.
docu2018.
com/hxxp://image.
gxb2018.
com/hxxp://image.
japchn2018.
com/hxxp://image.
pply2018.
com/hxxp://image.
succe2018.
com/hxxp://image.
yyxp2019.
com/hxxp://img.
rmb777.
me/用于下载负载和较新驱动程序版本的硬编码URL(可能被从配置站点下载的新配置取代)hxxp://1022k.
blogspot.
com/2018/02/1022s.
htmlhxxp://7mlftakc3qt48.
livejournal.
com/721.
htmlhxxp://bbx2018.
blogspot.
com/2018/02/1026i.
htmlhxxp://bct2018.
blogspot.
com/2018/02/1027i.
htmlhxxp://btv2018.
blogspot.
com/2018/02/blog-post.
htmlhxxp://check2018.
livejournal.
com/517.
htmlhxxp://earthjor.
livejournal.
com/721.
htmlhxxp://gba2019.
livejournal.
com/767.
htmlhxxp://hbrhzuds1199.
livejournal.
com/799.
htmlhxxp://hrb2019.
livejournal.
com/620.
htmlhxxp://iphone2019.
livejournal.
com/635.
htmlhxxp://kawakaw.
livejournal.
com/594.
htmlhxxp://livegoogle.
livejournal.
com/546.
htmlhxxp://lovejoin2019.
blogspot.
com/2018/02/1031.
htmlhxxp://myinsterschool.
blogspot.
com/2018/02/1032.
htmlhxxp://myqnewworld.
blogspot.
com/2018/02/1030.
htmlhxxp://nha2019.
livejournal.
com/749.
htmlhxxp://talkto2018.
livejournal.
com/518.
htmlhxxp://tpshadow66655.
livejournal.
com/545.
htmlhxxp://xabx2019.
livejournal.
com/559.
htmlhxxp://xmr1022.
livejournal.
com/763.
htmlhxxp://xmr1022x.
livejournal.
com/656.
htmlhxxp://xmr2019.
blogspot.
com/2018/01/1021s.
htmlhxxp://xmr2019.
blogspot.
com/2018/01/my-sister.
htmlhxxp://xmr2019.
livejournal.
com/1165.
htmlhxxp://xmr2019.
livejournal.
com/748.
htmlC2的URLhxxp://down.
rmb666.
me/dr.
php发布者:VANJASVAJCER;发布时间:12:44PM标签:比特票、加密货币、内核模式、挖矿、ROOTKIT