在五花八门的加密钱银挖矿程序中，LoudMiner显得有些不同寻常。LoudMiner于2019年8月被发现，首要针对macOS和Windows体系。它能经过一些虚拟软件，如macOS上的QEMU和Windows上的VirtualBox，在Tiny Core Linux虚拟机上进行加密钱银发掘活动——这种 *** 使之在面临不同操作体系时具有很强的适应性。LoudMiner常与盗版的VST（虚拟作业室技能）软件绑缚在一起，让下载的用户不知不觉中招。LoudMiner依据XMRig (一款门罗币挖矿程序)，并用到了矿池，这让咱们无法追溯潜在的交易进程。 散布 在编撰本文时，咱们在一个WordPress站点上发现了137个VST相关运用程序（42个用于Windows，95个用于macOS），该站点的域名于2019年8月24日注册。之一个运用程序——用于Windows的Kontakt Native Instruments 5.7——也是在注册当天上传的。考虑到运用的数量，对它们逐一剖析会有些不切实践，不过咱们能够先把它们都视作歹意木马看待。 挖矿程序自身则不在此站点上，而是保管在别的29个外部服务器中，服务器可见文末的IoC列表。因为LoudMiner背面的操作人员经常对其做更新，咱们很难盯梢到它的之一个版别。 LoudMiner之所以挑选与音频制造软件绑定，咱们猜想可能有以下几点原因，一是装置这些VST软件的机器往往具有杰出的处理才能；二是音频处理的高CPU耗费可能会掩盖挖矿的踪影，让用户难以发觉；此外，这些VST软件一般很杂乱，能够借用它们大文件的外壳欲盖弥彰，假装VM映像的存在。攻击者挑选运用虚拟机而不是更精简的计划，这一决议虽不常见实则却十分有用。 以下是攻击者绑缚的一些VST软件样本，以及网站上诱运用户下载的一些“好评”： · Propellerhead Reason · Ableton Live · Sylenth1 · Nexus · Reaktor 6 · AutoTune 图1、图2：该站点管理员对用户的回复 用户反应 咱们观察到，也有一些用户在该站点反应进程说qemu-system-x86_64在他们的Mac上占用了100％的CPU： 图3.用户陈述＃1（https://discussions.apple.com/thread/250064603） 图4.用户陈述＃2（https://toster.ru/q/608325） 名为“Macloni”的用户表明： 我将不得不重新装置OSX。问题可能是出在了Ableton Live 10身上，我没有从官方网站下载，结果在装置软件的一起也安上了挖矿程序，彻底占有了我的电脑内存。 一起该用户指示出有2个进程——qemu-system-x86_64和tools-service——占用了25％的CPU资源且以root身份运转。 盗版软件剖析 攻击者对macOS和Windows运用程序设想的整体思路是相同的: · 首要，运用程序与虚拟化软件、Linux映像和用于完成持久性的附加文件绑缚在一起。 · 用户下载运用程序后依照阐明进行装置。 · 先装置扬声器采集器，再装置实践的VST软件。 · LoudMiner躲藏自身，并在重启时变为持久性。 · 发动Linux虚拟机并开端发掘作业。 · 虚拟机中的脚本与C&C服务器联络来更新矿机(装备和二进制文件)。 在剖析不同的运用程序时，咱们现已确认了四个版别的挖矿机，首要是经过它与实践软件、C＆C服务器域绑缚在一起的 *** ，以及作者创立的版别字符串来区别。 3个macOS的版别 到目前为止，咱们现已识别出这款歹意软件的三个macOS版别。它们都是将自身复制到/usr/local/bin，也都包含了installerdata.dmg中运转QEMU所需的依靠项，并对运转进程设置了恰当的权限。每个挖矿机都能够一起运转两个映像，每个映像占用128 MB的RAM和一个CPU核。持久性则是经过将RunAtLoad设置为true，并在/Library/LaunchDaemons中增加plist文件来完成的；一起还将KeepAlive设置为true，以保证中止后进程重新发动。每个版别都有以下组件: · QEMU Linux映像。 · 用于发动QEMU映像的Shell脚本。 · 看护进程，用于在发动时发动shell脚本并使其运转。 · 一个带有看护进程的CPU监视器shell脚本，它能够依据CPU运用情况和活动监视器进程是否正在运转来发动/中止发掘。 CPU监视器脚本能够经过加载看护进程来发动发掘活动，中止进程来完毕发掘。假如Activity Monitor进程正在运转，则发掘将中止。此外，它会查看体系闲暇了多长时间(以秒为单位): ioreg -c IOHIDSystem | awk '/HIDIdleTime/ {print $NF/1000000000; exit}' 假如超越2分钟，则开端发掘；如不到2分钟，则查看总CPU运用率： ps -A -o %cpu | awk '{s+=$1} END {print s }' 除以CPU核数: sysctl hw.logicalcpu |awk '{print $2 }') 假如大于85%，就中止发掘。不同版别的脚本自身略有不同，但整体思路是相同的。 装置完成后，会删去一切挖矿机相关装置文件。 图5. Polyverse.Music.Manipulator.v1.0.1.macOS.dmg的装置 [1][2][3][4]黑客接单网