蠕虫式XMRig挖矿攻击借BYOVD漏洞规避检测

一场具备蠕虫传播能力的加密货币劫持攻击，正通过盗版软件进行传播，利用BYOVD漏洞部署定制版XMRig挖矿程序。

研究人员发现，该攻击通过捆绑盗版软件传播，投放定制化XMRig挖矿木马。攻击借助BYOVD漏洞利用时间触发逻辑炸弹实现规避检测、最大化挖矿收益。其多阶段感染链以提升加密货币算力为核心，过程中常导致受感染系统运行不稳定。

该攻击通过盗版“付费”软件安装程序传播，释放基于XMRig的复杂挖矿木马。其核心是名为Explorer.exe的控制程序，该程序以持久化状态机形式运行，可通过命令行参数切换角色：安装器、守护程序、主动感染、清理程序。

据了解，Explorer.exe是整个感染流程的核心调度节点。在传统恶意软件设计中，功能通常被拆分为线性执行流程：下载器下载载荷、运行、退出。而Explorer.exe控制程序则以持久化状态机运行。

它根据运行时传入的命令行参数决定行为模式，使单个文件在感染生命周期中承担多种不同角色：安装程序、守护程序、载荷管理器、清理程序。

该恶意软件将控制逻辑（“大脑”）与载荷（“执行体”）分离，后者包括挖矿程序、守护程序以及用于获取内核权限的漏洞驱动（BYOVD）。

恶意软件滥用一款名为WinRing0x64.sys的合法但存在漏洞的驱动，该技术被称为BYOVD（自带漏洞驱动）。它无需创建恶意驱动，只需加载此老旧但已签名的驱动，即可获得内核级（Ring 0）权限。

获取权限后，它会修改特定 CPU 配置（型号专用寄存器），禁用干扰门罗币RandomX挖矿算法的硬件预取器。由于RandomX依赖随机内存访问，关闭这些功能可减少缓存冲突，将挖矿性能提升15%～50%。 

各类载荷被内嵌在程序资源段中，经解压后以隐藏系统文件形式写入磁盘，并伪装成合法软件。

一套环形守护机制确保组件被终止后会互相重启，强行恢复挖矿，甚至会杀死正常的Windows资源管理器进程干扰用户操作。 

该恶意软件内置时间触发自杀开关，截止时间为2025年12月23日，到期后将执行可控清理逻辑。 

研究人员在sub_14000D180函数中发现了一个硬编码时间检测逻辑，充当“自杀开关”或“时间炸弹”。该机制获取系统本地时间，并与预设截止日期2025年12月23日对比： 

·活跃阶段（2025年12月23日之前）：执行标准感染流程，安装持久化模块并启动挖矿。

·过期阶段（2025年12月23日之后）：表明该攻击并非长期持续运营，而是“发射后不管”的生命周期。时间点可能与租用的C2基础设施到期、加密货币市场预期变动（特别是门罗币难度调整），或计划切换新版本恶意软件有关。

该XMRig变种还包含蠕虫模块，可通过U盘传播，而非仅依靠手动下载。它通过Windows系统通知静默监听新插入的可移动设备，而非持续轮询扫描。

当U盘插入时，恶意软件会将自身explorer.exe复制到设备中，隐藏在文件夹内，并创建伪装成磁盘图标的恶意快捷方式。当该U盘在其他电脑上打开时，快捷方式即可执行恶意程序，实现进一步扩散。

恶意分子似乎先在小范围系统中测试感染链与持久化功能（包括名为“Barusu”的自杀开关），随后再扩大规模。

根据相关数据显示，曾有一个活跃节点以中等算力运行，2025年11月活动零星，12月8日起出现明显增长，表明新一轮投放或新感染节点被激活。

该攻击事件的发生正提醒人们，常规恶意软件仍在持续进化。攻击者将社会工程、伪装合法软件、蠕虫式传播、内核级漏洞利用结合，打造出高抗性、高效率的僵尸网络。尤其是BYOVD技术的使用，凸显出现代操作系统安全模型中的一个关键弱点：对已签名驱动的过度信任。