Lukuaika: 4 pöytäkirja
Ihmiset käyttävät sähköistä rahaa (e-rahaa) yhä useammin verkko-ostoksia tekemiseen. Ja koska yö seuraa päivää, tämä tarkoittaa, että myös elektroninen raha kiinnittää huomion haittaohjelmat kirjoittajat, jotka yrittävät hyötyä siitä kaikin mahdollisin keinoin. Tapasimme haitallisen näytteen, jonka tehtävänä ei ole varastaa, vaan tuottaa ("louhia") digitaalista valuuttaa käyttämällä Bitcoinin "kaivospoolia" (hajautettu laskennallinen verkko "Bitcoinien" luomiseen). Hyökkäys suoritetaan asentamalla Troijan hevonen -ohjelma uhrien tietokoneiden verkkoon ja käyttämällä sitten niiden prosessointitehoa Bitcoin-lohkojen luomiseen.
Joten mikä on Bitcoin ja miten se toimii? No, toisin kuin perinteinen valuutta, joka tuotetaan keskusviranomaisen, kuten liikkeeseenlaskijapankin, kautta, Bitcoineja luodaan dynaamisesti tarpeen mukaan hajautetun vertaisverkon solmujen - tai "kaivostyöläisten" kautta. Jokainen "kaivosmies" on joukko tietokoneresursseja (joskus vain tavallinen tietokone, kuten työpöydälläsi oleva tietokone), joka on omistettu Bitcoin-tapahtumien käsittelyyn. Kun näitä tapahtumia on ollut tarpeeksi, ne ryhmitellään "lohkoksi" - ja tämä ylimääräinen tapahtumalohko lisätään sitten pää"lohkoketjuun", jota ylläpidetään suuremmassa Bitcoin-verkossa. Tärkeintä tässä on huomata, että "lohkon" tuotantoprosessi on erittäin laitteistointensiivinen ja vaatii paljon laskentatehoa. Joten vastineeksi vapaaehtoisesta laitteistostaan kaivostyöntekijät, jotka onnistuvat luomaan lohkon, palkitaan palkkiolla Bitcoineja ja heille maksetaan mahdolliset tapahtumamaksut kyseisestä lohkosta. Tämä kaivostyöläisten palkkioiden myöntämisjärjestelmä on itse asiassa myös mekanismi, jolla Bitcoinin rahan tarjontaa lisätään.
Kuten mainittiin, lohkon tuottamiseen liittyvät laskennalliset vaatimukset ovat erittäin korkeat, joten mitä enemmän prosessointitehoa yksikkö voi käyttää, sitä enemmän tapahtumia ne voivat käsitellä ja sitä enemmän Bitcoineja ne todennäköisesti vastaanottavat. Ja mikä on parempi hakkereiden laskentatehon lähde kuin hänen oma zombi-tietokoneiden verkosto, joka katkaisee jatkuvasti Bitcoin-tapahtumia?
Kaivoskomponentit asentava troijalainen on kooltaan 80 kt, ja suoritettuaan se purkaa muistista PE-tiedoston, joka sijaitsee .koodi osio, 0x9400, koko 0xAA00. Salauksen purku on yksinkertainen tavu XOR, jossa on 20 peräkkäistä tavuavainta .data -osio. Asennusvaiheet suorittaa uusi salauksen sisäinen prosessi, joka lataa tarvittavat komponentit ja sisältää myös kaivosparametrit (kuten kaivospoolin käyttäjä- ja salasanatiedot, kaikki salattuina resursseihin).
Salattu tiedosto on pakattu UPX:llä. Tiedostossa olevat tärkeät resurssit:
Se sisältää käynnissä olevat parametrit ja valtuustiedot kaivospoolille ("-t 2 -o http://user:password@server.com:port". Parametri -t tarkoittaa laskelmissa käytettyjen säikeiden määrää. Parametri -o määrittää palvelimen, johon yhteys muodostetaan.
OTR2 – [7C 6E 6C 63 60 76 25 66 7F 68] – poistetun kaivostiedoston nimi (socket.exe)
OTR8 – [7C 6E 6C 63 60 76 78 2D 62 75 60] – nimi, jolla tiedosto kopioituu itsestään (sockets.exe)
OTR9 – [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] – salattujen resurssimerkkijonojen salauksen purkuavain (tätä käytetään resursseiksi tallennettujen merkkijonoparametrien dekoodaamiseen)
Tiedosto kopioi itsensä kohteeseen My DocumentsWindowssockets.exe ja suorittaa kopion.
Suorituksen jälkeen se lataa seuraavat tiedostot:
– 142.0.36.34/u/main.txt – Kaivosbinaari, joka on tallennettu nimellä "socket.exe", joka näyttää olevan muunnos tunnetusta avoimen lähdekoodin kaivossovelluksesta.
– 142.0.36.34/u/m.txt – Pelkkä tekstitiedosto, joka sisältää binaarisen PE:n heksadesimaaliarvoja, muunnetaan "miner.dll-tiedostoksi", joka on edellisen riippuvuus.
– 142.0.36.34/u/usft_ext.txt – Binääritiedosto, riippuvuus tallennettu nimellä "usft_ext.dll".
– 142.0.36.34/u/phatk.txt – Tallennettu nimellä “phatk.ptx” – GPU:iden kokoamisohjeet, joita voidaan käyttää edistyneisiin laskelmiin.
– 142.0.36.34/u/phatk.cl – Tallennettu nimellä "phatk.cl" – lähdetiedosto, joka on suunniteltu GPU-laskelmia varten.
Kun kaikki lataukset on suoritettu ja riippuvuudet ovat paikoillaan, kaivosbinaari käynnistetään dekoodatuilla parametreilla ja alkaa tehdä laskelmia virtuaalisten kolikoiden luomiseksi. Kuten ennustettiin, suorittimen käyttö kasvaa, mikä pitää tietokoneen korkeassa kuormituksessa.
Haitallinen binaari kommunikoi toistuvasti poolipalvelimen kanssa laskentajaksojen päätyttyä ja lähettää laskelmiensa tulokset – "virtuaaliset kolikot".
Dropper troijalainen: Filename: sockets.exe SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda MD5: ba9c16fa419d24c3eadb74e016ad544f CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Kaivos binaari: Filename: socket.exe SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce MD5: e82cd32fefb2f009c84c14cec1f13624 CIS detection name: Application.Win32.CoinMiner.b
TESTAA SÄHKÖPOSTI TURVALLISUUS SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI Lähde: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/
