由于安装第三方恶意插件被用于挖矿?kodi-凯发官方

发新帖

由于安装第三方恶意插件被用于挖矿?kodi 行业新闻

威尔德编辑 2018-9-19 79638

 

kodi是一个免费的开放源代码媒体播放器软件应用程序。由于其开源和跨平台特性,且以c 编写的核心代码而被广泛应用。该软件最近因侵权问题关闭了第三方附加组件xvbmc,而在这个组件被关闭之后,有研究人员发现这个第三方扩展库中包含了恶意代码,这其中所关联的恶意行为可以追溯到2017年12月。这是第二个公开的通过kodi附加组件大规模分发病毒的情况,也是第一个公开的通过kodi平台发起的经过加密的恶意活动。攻击者将linux或windows特定的二进制文件推送到kodi粉丝的操作系统上。

媒体播放器软件kodi本身并不提供任何内容,但是用户可以通过安装在官方kodi库和众多第三方库中找到各种附件来扩展软件功能,因此用户很可能下载到恶意软件。但到目前为止,除了有攻击者将ddos模块添加到第三方附加组件以外,暂时还没有任何证据表明有人通过kodi添加了恶意软件。

 

攻击调查

研究人员发现,在2017年12月和2018年1月分别有恶意软件被添加到了第三方库bubbles和gaia(bubbles的一个分支)中。由于没有安全防范意识,该恶意软件被迅速传播到了kodi的系统中。

该恶意软件使用了攻击链形式,使人们很难根据其最终被投递的有效载荷(cryptominer)而追踪到对应组件。cryptominer运行在windows和linux系统上,目的是挖掘加密货币monero(xmr),暂未发现针对android或macos设备的在野版本。触发恶意软件的方式为:

1.用户将恶意存储库的url添加到他们的kodi安装列表中,以便下载一些附加组件。只要他们更新了kodi附加组件,就会安装恶意加载项。

2.用户安装了现成的kodi版本,该版本本身包含恶意存储库的url。只要他们更新了kodi附加组件,就会安装恶意加载项。

3.用户安装了一个现成的kodi版本,该版本包含一个恶意插件,但没有链接到存储库以进行更新。但是如果安装了cryptominer,它将驻留在设备中并接收更新。

eset的遥测结果显示,受这种威胁影响最大的前五个国家分别是:美国,以色列,希腊,英国和荷兰。这并不奇怪,因为这些国家均属于“最大交通国家”。根据最近的非官方的kodi addon社区统计数据。对地理分布的其他可能解释是:区域性使用的kodi包含了恶意存储库,而这些库原先就有一定的用户基础,例如荷兰存储库xvbmc。

截止至9月13日,传播恶意软件的库有的已经消失(如bubbles),有的已经不再含有恶意代码(如gaia)。但是已经安装过cryptominer的受害者仍会受到影响。该活动的时间顺序表为:

 

技术分析

运行步骤

受害者将恶意存储库添加到他们的kodi安装列表后,恶意存储库会提供一个比合法版本高一个版本的同名伪装组件,如合法的3.4.0含有script.module.simplejson组件,攻击者就会伪造一个同名的3.4.1版本。由于kodi依赖于版本号进行更新检测,因此所有启用了自动更新功能的用户(这是一种常见的默认设置)都会自动从恶意存储库接收到恶意组件。伪装的恶意组件在addon.xml中包含一个额外的行:

<import addon=”script.module.python.request”version=”2.16.0/”>

这条命令的含义是让kodi下载并安装一个名为script.module.python.requests的附加组件,版本为2.16.0以上版本。它是对合法加载项script.module.requests的修改,其中包含了恶意python代码。

python代码会酌情下载执行windows或linux的二进制文件。此文件是一个下载程序文件,用于获取并执行最终恶意内容,即可执行的加密程序。如果cryptominer安装成功,则恶意python代码将自我删除。

python代码

混淆的恶意代码位于文件script.module.python.requestslibrequestspackagesurllib3connectionpool.py的第846-862行。

经过反混淆和注释后,代码为:

该脚本会检测正在运行的操作系统类型(仅支持windows和linux;不支持android和macos),随后连接到c&c服务器,下载执行对应操作系统的二进制下载程序。
windows二进制文件写入路径为:c:users[username]appdataroamingmicrosoftwindowsstart menuprogramsstartuptrustedinstaller.exe, linux二进制文件写入路径为:/tmp/systems/systemd

检索并运行二进制下载程序模块后,python脚本(此处为connectionpool.py)进行自我删除。而恶意代码被特殊标记了# – -和#-_-#。在成功执行二进制下载程序后会打开此python文件,找到这些特殊标记并删除它们以及它们之间的所有内容,然后保存已清理过的python文件,因此很难追溯到附加组件是什么。

cryptominer可执行文件

由python代码检索到的下载程序包含了第二阶段载荷的加密配置和下载链接。二进制下载程序会在受密码保护的zip文件中获取匹配受害者操作系统的第二阶段载荷(用于不同gpu的加密器和启动/更新模块)。这些二进制文件是针对64位windows和64位linux编译的,并且基于开源加密软件xmrstak。
密码系统的配置如下:

{“monero”:{“default”:{“wallet”:”49wak6tacmx3hxn22nwpqafbjp4j3reukg9tu3foipugcjs3fsnavygdrc41hz4n6jcheiwegvh7z4sn41poztlabfavjm3″,”password”:””,”name”:””,”email”:””,”weight”:1,”format”:{“rig”:””,”address”:”%w%.%n%/%e%”,”password”:”%p%”}},”pools”:[{“host”:”xmr-us-east1.nanopool.org:14444″},{“host”:”xmr-eu1.nanopool.org:14444″},{“host”:”xmr-asia1.nanopool.org:14444″}]}}

 

结论

虽然传播这些恶意软件的第三方库已经被关停,但是已经中毒的设备仍深受其害,由下图可知,许多设备仍在挖掘monero。

 

根据nanopool提供的恶意软件作者的monero钱包入账情况显示,至少有4774名受害者受到恶意软件的影响,并且已生成62,57 xmr(约5700欧元或6700美元)的利益。

因此在第三方库中下载过插件的kodi用户应及时查杀此病毒。

 

ioc

github[.]com/yooperman17/trailerpark/blob/master/repository/repository.bubbles.3/repository.bubbles.3-4.2.0[.]zip

github[.]com/yooperman17/trailerpark/blob/master/repository/common/script.module.urllib.3/script.module.urllib.3-1.22.3[.]zip

github[.]com/josephlreyes/gaiaorigin/blob/master/common/script.module.python.requests/script.module.python.requests-2.16.1[.]zip

github[.]com/josephlreyes/gaiaorigin/blob/master/common/script.module.simplejson/script.module.simplejson-3.4.1[.]zip

github[.]com/xvbmc/repository.xvbmc/tree/b8f5dd59961f2e452d0ff3fca38b26c526c1aecb/dependencies/script.module[.]simplejson

github[.]com/xvbmc/repository.xvbmc/tree/b8f5dd59961f2e452d0ff3fca38b26c526c1aecb/dependencies/script.module.python[.]requests

github[.]com/xvbmc/repository.xvbmc/blob/b8f5dd59961f2e452d0ff3fca38b26c526c1aecb/dependencies/zips/script.module.python.requests/script.module.python.requests-2.16.3[.]zip

github[.]com/xvbmc/repository.xvbmc/blob/b8f5dd59961f2e452d0ff3fca38b26c526c1aecb/dependencies/zips/script.module.simplejson/script.module.simplejson-3.4.1[.]zip

archive[.]org/download/retrogamesworld7_gmail_kodi_20180418/kodi[.]zip

archive[.]org/download/duggzprobuildwithslypvrguidev0.3/duggzprobuildwithslypvrguidev0.3[.]zip

ukodi1[.]xyz/ukodi1/builds/testosterone build 17[.]zip

c&c urls

openserver[.]eu/ax.php

kodinet.atspace[.]tv/ax.php

kodiupdate.hostkda[.]com/ax.php

kodihost[.]rf.gd/ax.php

updatecenter[.]net/ax.php

stearti.atspace[.]eu/ax.php

mastercloud.atspace[.]cc/ax.php

globalregistry.atspace.co[.]uk/ax.php

meliova.atwebpages[.]com/ax.php

krystry.onlinewebshop[.]net/ax.php

windows的下载模块:

openserver[.]eu/wib

kodinet.atspace[.]tv/wib

kodiupdate.hostkda[.]com/wib

kodihost.rf[.]gd/wib

updatecenter[.]net/wib

bitbucket[.]org/kodiserver/plugin.video.youtube/raw/head/resources/lib/wib

gitlab[.]com/kodiupdate/plugin.video.youtube/raw/master/resources/lib/wib

www.dropbox[.]com/s/51fgb0ec9lgmi0u/wib?dl=1&raw=1

linux的下载模块:

openserver[.]eu/lib

kodinet.atspace[.]tv/lib

kodiupdate.hostkda[.]com/lib

kodihost.rf[.]gd/lib

updatecenter[.]net/lib

bitbucket[.]org/kodiserver/plugin.video.youtube/raw/head/resources/lib/lib

gitlab[.]com/kodiupdate/plugin.video.youtube/raw/master/resources/lib/lib

www.dropbox[.]com/s/e36u2wxmq1jcjjr/lib?dl=1&raw=1

cryptominer二进制文件(windows版本):

updatecenter[.]net/wub

openserver[.]eu/wub

glocato.atspace[.]eu/wub

oraceur.hostkda[.]com/wub

dilarti.1free-host[.]com/wub

utudict.vastserve[.]com/wub

encelan.atspace[.]cc/wub

cryptominer二进制文件 (linux版本):

updatecenter[.]net/lub

openserver[.]eu/lub

glocato.atspace[.]eu/lub

oraceur.hostkda[.]com/lub

dilarti.1free-host[.]com/lub

utudict.vastserve[.]com/lub

encelan.atspace[.]cc/lub

恶意组件的hash:

b8fd019d4dab8b895009b957a7febaefcebafdd1

ba50eaa31441d5e2c0224b9a8048daf4015735e7

717c02a1b040187ff54425a64cb9cc001265c0c6

f187e0b6872b096d67c2e261be41910daf057761

4e2f1e9e066d7d21ced9d690ef6119e59cf49176

53e7154c2b68edbccf37fb73eeb3e042a1dc7108

ff9e491e8e7831967361ede1bd26fcf1cd640050

3cc8b10bdd5b98bea94e97c44ffdfb1746f0c472

389cb81d91d640ba4543e178b13afe53b0e680b5

6da595fb63f632ee55f36de4c6e1eb4a2a833862

9458f3d601d30858bba1afe1c281a1a99bf30542

b4894b6e1949088350872bdc9219649d50ee0aca

79bcc4f2d19a394dd2db2b601208e1d1ea57565b

aaaede03f6c014cee8ec0d9c0ea4fc7b0e67db59

c66b5adf3bdfa87b0731512dd2654f4341ebae5b

f0196d821381248eb8717f47c70d8c235e83a12e

7cfd561c215dc04b702fe40a199f0b60ca706660

密码管理器和下载器模块的哈希(windows版本):

08406eb5a8e75f53cfb53db6bda7738c296556d6

2000e2949368621e218529e242a8f00dc8ec91ed

5b1f384227f462240178263e8f2f30d3436f10f5

b001dd66780935fca865a45aec97c85f2d22a7e2

c6a4f67d279478c18be67beb6856f3d334f4ac42

ee83d96c7f1e3510a0d7d17bbf32d5d82ab54ef3

密码管理器和下载器模块的哈希 (linux版本):

38e6b46f34d82bd23deacd23f3add3be52f1c0b6

90f39643381e2d8dfff6ba5ab2358c4fb85f03fc

b9173a2fe1e8398cd978832339be86445ed342c7

d5e00fb7aea4e572d6c7c5f8d8570dab5e1dd156

d717fec7e7c697d2d25080385cbd5c122584ca7c

df5433dc7eb272b7b837e8932e4540b216a056d8

本文翻译自 welivesecurity.com,  。如若转载请注明出处。


成都威尔德公司承接各种互联网业务-帮助中小企业转型互联网加- 凯发官方的版权声明 1、本主题所有言论和图片纯属会员个人意见,与凯发官方-凯发app官方网站立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者威尔德编辑凯发官方-凯发app官方网站享有帖子相关凯发官方的版权。
3、凯发官方-凯发app官方网站管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者威尔德编辑凯发官方-凯发app官方网站的同意。

这家伙太懒了,什么也没留下。
最新回复 (0)
查看全部
全部楼主
    • 凯发官方-凯发app官方网站
      成都威尔德公司承接各种互联网业务-帮助中小企业转型互联网加
      2
        立即登录 立即注册 qq登录
免责声明:本站部分资源来源于网络,如有侵权请发邮件(673011635@qq.com)告知我们,我们将会在24小时内处理。
网站地图