Warp Future：解析恶意软件挖掘的 Kodi 安装的附加组件

概述

Kodi 是一个免费和开源的媒体播放器软件应用程序。由于其开源和跨平台特性，以及用 C++ 编写的核心代码，它被广泛使用。该软件最近因侵权问题关闭了第三方附加组件XvBMC。该组件关闭后，有研究人员发现该第三方扩展库包含恶意代码，相关恶意行为可追溯到2017年12月。这是第二次通过 Kodi 插件公开大规模传播病毒，也是第一次通过 Kodi 平台公开加密恶意活动。攻击者将 Linux 或 Windows 特定的二进制文件推送到 Kodi 粉丝的操作系统上。

​​​

媒体播放器软件 Kodi 本身不提供任何内容，但用户可以通过安装 Kodi 官方存储库和众多第三方存储库中的各种附加组件来扩展软件功能，因此用户很可能会下载恶意软件。但到目前为止，根据分析，似乎没有证据表明这些侵犯版权的组件除了添加 DDoS 模块之外还包含其他恶意软件。

​​​

攻击调查

区块链安全公司 Warp Future 表示：研究人员发现，恶意软件分别于 2017 年 12 月和 2018 年 1 月被添加到第三方库 Bubbles 和 Gaia（Bubbles 的一个分支）中。由于不了解安全预防措施，该恶意软件迅速传播到 kodi 的系统。

该恶意软件使用了一种攻击链形式，因此很难根据最终交付的有效载荷（cryptminer）跟踪组件。cryptominer 在 Windows 和 Linux 系统上运行，旨在挖掘加密货币 Monero (XMR)。没有找到适用于 Android 或 macOS 设备的野生版本。恶意软件由以下原因触发：

​​​

1. 用户将恶意存储库的 URL 添加到他们的 Kodi 安装列表中，以便下载一些附加组件。每当更新 Kodi 附加组件时，就会安装恶意附加组件。

2. 用户安装了现成的 Kodi 版本，该版本本身包含恶意存储库的 URL。每当更新 Kodi 附加组件时，就会安装恶意附加组件。

​​​

3. 用户安装了包含恶意插件的现成 Kodi 版本，但未链接到存储库进行更新。但如果安装了密码矿工，它将驻留在设备中并接收更新。

​​​

目前，受影响最严重的五个国家是美国、以色列、希腊、英国和荷兰，这些国家是 XvBM 存储库的开发者所在的国家。

​​​

​​​

用于传播恶意软件的库要么已经消失（例如 Bubbles），要么不再包含恶意代码（例如 Gaia）。但是已经安装了加密矿工的受害者仍然受到影响。活动时间安排如下：

​​​

感染分阶段传播

据分析，犯罪分子修改了原始插件的元数据，以指示Kodi 2.16.0或更高版本下载名为“script.module.python.requests”的插件。

​​​

新下载的插件包含一个恶意 Python 代码完美国际挖矿脚本，该代码会导入并执行密码。成功安装恶意软件后，其中的 Python 字符串将被删除。

​​​

​​​

“编写代码的人显然熟悉 Kodi 及其附加架构，”研究人员指出。该脚本检测其运行的操作系统（仅限Windows和Linux，不支持Android和MacOS），然后连接控制和命令服务器，下载并执行与操作系统匹配的二进制下载模块。”

​​​

Python代码

混淆后的恶意代码位于文件 script.module.python.requestslibrequestspackagesurllib3connectionpool.py 的第 846-862 行。

​​​

​​​

我们对这部分代码进行了去混淆和注释，使其更具可读性，如下图所示。

​​​

​​​

很明显，这段代码的作者对 Kodi 播放器及其附加组件的结构有着深刻的理解。该脚本检测操作系统（仅限 Windows 和 Linux，忽略 Android 和 macOS），连接到其 C&C 服务器，并下载并执行适用于受感染操作系统的二进制下载器模块。

​​​

对于 Windows，二进制文件被写入 C:Users[ username ]AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupTrustedInstaller.exe，而对于 Linux，二进制文件被写入 /tmp/systems/systemd。

​​​

在检索并运行二进制下载器模块后，Python 脚本（在我们的示例中为 connectionpool.py）运行一个自毁例程，该例程会自行删除。在上面的代码截图中，我们可以看到恶意代码被特殊的标签#-+-和#-_-#包围。成功执行下载程序后，恶意组件打开 Python 文件，找到这些特殊标记并删除其间的所有内容，然后保存修改后的 Python 文件。因此，研究人员很难将挖掘恶意软件追溯到这个 Kodi 插件。

​​​

加密矿工可执行文件

Python代码检索到的下载器包含第二阶段payload的加密配置和下载链接。二进制下载器在与受害者操作系统匹配的受密码保护的 ZIP 文件中获取第二阶段有效负载（不同 GPU 的加密器和启动/更新模块）。这些二进制文件针对 64 位 Windows 和 64 位 Linux 编译，并基于开源加密软件 XMRStak。密码系统的配置如下：

​​​

总结

尽管传播这些恶意软件的第三方库已经关闭完美国际挖矿脚本，但中毒设备仍在遭受痛苦，从下图可以看出，许多设备仍在挖掘门罗币。

​​​

​​​

根据 Nanopool 提供的恶意软件作者的门罗币钱包条目，至少有 4,774 名受害者受到该恶意软件的影响，并产生了 62,57 XMR（约合 5,700 欧元或 6,700 美元）的利息。

​​​

因此，在第三方库中下载过插件的kodi用户应及时查杀该病毒。

除了通过流行的媒体播放器 Kodi 进行分发之外，该恶意软件还采用了一种有趣的技术。通过利用 Kodi 附加组件的复杂脚本功能，这些恶意组件可以在 Kodi 支持的操作系统（Android、Linux、macOS 和 Windows）上运行，尽管攻击者只选择了其中两个。

区块链安全公司 Warp Future 提醒，攻击者可能针对更多操作系统。尝试通过为这些系统定制挖掘程序来感染 Kodi 支持的更多类型的操作系统（例如，以低功耗重新感染这些设备）。随着对系统安全性的日益重视，应用程序插件和脚本功能可能成为网络犯罪分子的有吸引力的目标。过去，攻击者使用 Microsoft Office 中的 Visual Basic 宏来感染用户，而我们今天分析的 Kodi 可能是下一个 VBA。

本文内容由经纬未来（）安全咨询公司编译整理，转载请注明。Warp Speed Future提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。