Zephyrnet-logo

Malware die uw computer gebruikt om digitaal geld te verdienen

Datum:

Leestijd: 4 minuten

Elektronisch geld (e-geld) wordt door mensen steeds vaker gebruikt om online aankopen te doen. En zeker als de nacht de dag volgt, betekent dit dat ook elektronisch geld de aandacht trekt malware auteurs die er op alle mogelijke manieren van proberen te profiteren. We kwamen een kwaadaardig monster tegen, wiens rol het niet is om te stelen maar om digitale valuta te genereren (om te 'minen') met behulp van een Bitcoin 'mining pool' (een gedistribueerd computationeel netwerk om 'Bitcoins' te genereren). De aanval wordt uitgevoerd door een Trojaans paard-programma te installeren op een netwerk van slachtoffercomputers en vervolgens hun verwerkingskracht te gebruiken om Bitcoin-blokken te genereren.

Dus wat is Bitcoin en hoe werkt het? Welnu, in tegenstelling tot traditionele valuta, die wordt gegenereerd via een centrale autoriteit zoals een uitgevende bank, worden Bitcoins dynamisch gegenereerd wanneer dat nodig is via een gedecentraliseerd peer-to-peer-netwerk van knooppunten - of 'miners'. Elke 'mijnwerker' is een set computerbronnen (soms gewoon een gewone computer zoals die op uw desktop) die is gewijd aan het omgaan met Bitcoin-transacties. Zodra er genoeg van deze transacties zijn, worden ze gegroepeerd in een 'blok' - en dit extra blok met transacties wordt vervolgens toegevoegd aan de hoofdblokketen die wordt onderhouden over het grotere Bitcoin-netwerk. Het belangrijkste om hier op te merken is dat het productieproces van een 'blok' zeer hardware-intensief is en veel rekenkracht vereist. Dus in ruil voor het vrijwillig aanbieden van hun hardware, worden mijnwerkers die erin slagen een blok te genereren beloond met een schat aan Bitcoins en krijgen ze transactiekosten van dat blok. Dit systeem van beloning voor mijnwerkers is eigenlijk ook het mechanisme waardoor de Bitcoin-geldhoeveelheid wordt verhoogd.

Zoals gezegd zijn de rekenbehoeften van het produceren van een blok erg hoog, dus hoe meer verwerkingskracht een entiteit kan gebruiken, hoe meer transacties ze kunnen verwerken en hoe meer Bitcoins ze kunnen ontvangen. En welke betere bron van rekenkracht voor een hacker dan zijn eigen netwerk van zombie-pc's die meedogenloos Bitcoin-transacties uitvoeren?

De trojan die de mijnbouwcomponenten installeert, is 80 kB groot en ontsleutelt bij uitvoering een PE-bestand in het geheugen .code sectie, op 0x9400, maat 0xAA00. Decodering is een eenvoudige byte XOR, met 20 opeenvolgende bytetoetsen .idata sectie. De installatiestappen worden genomen door het nieuwe gedecodeerde proces in het geheugen dat de benodigde componenten downloadt en ook de mining-parameters bevat (zoals gebruikers- en wachtwoordreferenties voor de mining-pool, allemaal versleuteld in bronnen).

Het gecodeerde bestand zit vol met UPX. Belangrijke bronnen aanwezig in bestand:

Versleutelde OTR0-bron
kwaadaardige binaire code

Het bevat lopende parameters en referenties voor mining pool ("-t 2 -o http://user:password@server.com:port'. De parameter -t staat voor het aantal threads dat wordt gebruikt voor berekeningen. De parameter -o geeft de server aan waarmee verbinding moet worden gemaakt.

Decodering onthult adres en inloggegevens voor pool-server
kwaadaardige binaire code

OTR2 - [7C 6E 6C 63 60 76 25 66 7F 68] - naam van het gedropte mining-bestand (socket.exe)
OTR8 - [7C 6E 6C 63 60 76 78 2D 62 75 60] - naam waaronder het bestand zichzelf kopieert (sockets.exe)
OTR9 - [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] - decoderingssleutel voor gecodeerde resourcereeksen (dit zal worden gebruikt om de als bronnen opgeslagen stringparameters te decoderen)

Het bestand kopieert zichzelf naar Mijn documentenWindowssockets.exe en voert de kopie uit.

binaire code

Na uitvoering downloadt het de volgende bestanden:

- 142.0.36.34/u/main.txt - Een mining-binair bestand opgeslagen als "socket.exe", wat een wijziging lijkt te zijn van een bekende open-source mining-applicatie.
- 142.0.36.34/u/m.txt - Een bestand met platte tekst met hex-waarden van een binaire PE wordt getransformeerd in "miner.dll", een afhankelijkheid van de vorige.

Webpagina Broncode
Binaire code

- 142.0.36.34/u/usft_ext.txt - Een binair bestand, afhankelijkheid opgeslagen als "usft_ext.dll".
- 142.0.36.34/u/phatk.txt - Opgeslagen als "phatk.ptx" - assemblerinstructies voor GPU's, die kunnen worden gebruikt voor geavanceerde berekeningen.
- 142.0.36.34/u/phatk.cl - Opgeslagen als "phatk.cl" - bronbestand ontworpen voor GPU-berekeningen.

Wanneer alle downloads zijn voltooid en afhankelijkheden aanwezig zijn, wordt het mining-binaire bestand gestart met gedecodeerde parameters en begint het met het maken van berekeningen om virtuele munten te genereren. Zoals voorspeld stijgt het CPU-gebruik, waardoor de computer zwaar wordt belast.

Binaire code-uitvoering
Binaire code-uitvoering

Het kwaadaardige binaire bestand communiceert herhaaldelijk met de pool-server na het voltooien van rekencycli en stuurt de resultaten van zijn berekeningen - de "virtuele munten".

Druppelaar trojan
Druppel trojan:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Mijnbouw binair:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

TEST JE E-MAILBEVEILIGING KRIJG GRATIS UW DIRECTE BEVEILIGINGSSCOREKAART Bron: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/

spot_img

Laatste intelligentie

spot_img