Zephyrnet Logosu

Bilgisayarınızı dijital para kazanmak için kullanan kötü amaçlı yazılımlar

Tarih:

Okuma zamanı: 4 dakika

Elektronik para (e-para), insanlar tarafından çevrimiçi alışveriş yapmak için giderek daha fazla kullanılmaktadır. Ve tabii ki gece gündüzü takip ederken, bu elektronik paranın da dikkatini çekeceği anlamına gelir. kötü amaçlı yazılım mümkün olan her şekilde yararlanmaya çalışan yazarlar. Rolü çalmak değil, bir Bitcoin 'madencilik havuzu' ('Bitcoins' üretmek için dağıtılmış bir hesaplama ağı) kullanarak dijital para birimi oluşturmak ('madencilik' yapmak) olan kötü niyetli bir örnekle karşılaştık. Saldırı, kurban bilgisayarlardan oluşan bir ağa bir truva atı programı yükleyerek ve ardından Bitcoin blokları oluşturmak için işlem gücünü kullanarak gerçekleştirilir.

Peki Bitcoin nedir ve nasıl çalışır? Bir amir banka gibi merkezi bir otorite aracılığıyla üretilen geleneksel para biriminin aksine, Bitcoinler, gerektiğinde ve gerektiğinde, merkezi olmayan bir eşler arası düğüm ağı veya 'madenciler' aracılığıyla dinamik olarak üretilir. Her 'madenci', Bitcoin işlemleriyle uğraşmaya adanmış bir dizi bilgisayar kaynağıdır (bazen masaüstünüzdeki gibi normal bir bilgisayar). Bu işlemlerden yeterince yapıldıktan sonra, bunlar bir 'blok' olarak gruplandırılır ve bu ek işlem bloğu daha sonra daha büyük Bitcoin ağında sürdürülen ana 'blok zincirine' eklenir. Burada dikkat edilmesi gereken en önemli nokta, bir 'blok' üretme sürecinin çok donanım yoğunluklu olması ve büyük bir hesaplama gücü gerektirmesidir. Bu nedenle, donanımlarını gönüllü olarak vermeleri karşılığında, bir blok oluşturmayı başaran madenciler, bir Bitcoin ödülü ile ödüllendirilir ve bu bloktan herhangi bir işlem ücreti verilir. Madencilere ödül verme sistemi, aslında Bitcoin para arzının artırıldığı mekanizmadır.

Bahsedildiği gibi, bir blok üretmenin hesaplama talepleri çok yüksektir, bu nedenle bir kuruluş ne kadar çok işlem gücü kullanırsa, o kadar çok işlem yapabilirler ve o kadar çok Bitcoin almakla yükümlüdürler. Ve bir bilgisayar korsanı için kendi zombi bilgisayar ağının durmaksızın Bitcoin işlemlerini gerçekleştirmesinden daha iyi bir hesaplama gücü kaynağı olabilir mi?

Madencilik bileşenlerini kuran trojan 80KB boyutundadır ve çalıştırıldığında, bellekte bulunan bir PE dosyasının şifresini çözer. .kod bölüm, 0x9400, boyut 0xAA00. Şifre çözme, içinde bulunan 20 ardışık bayt anahtarına sahip basit bir bayt XOR'dur. .idata Bölüm. Kurulum adımları, gerekli bileşenleri indiren ve aynı zamanda madencilik parametrelerini içeren (madencilik havuzu için kullanıcı ve parola kimlik bilgileri gibi, tümü kaynaklarda şifrelenmiş) yeni şifresi çözülmüş bellek içi işlem tarafından gerçekleştirilir.

Şifrelenmiş dosya UPX ile paketlenmiştir. Dosyada bulunan önemli kaynaklar:

Şifrelenmiş OTR0 kaynağı
kötü amaçlı ikili kod

Madencilik havuzu için çalışan parametreleri ve kimlik bilgilerini içerir (“-t 2 -o http://user:password@server.com:port". -T parametresi, hesaplamalar için kullanılan iş parçacığı sayısını ifade eder. -O parametresi bağlanılacak sunucuyu belirtir.

Şifre çözme, havuz sunucusu için adresi ve kimlik bilgilerini ortaya çıkarır
kötü amaçlı ikili kod

OTR2 - [7C 6E 6C 63 60 76 25 66 7F 68] - bırakılan madencilik dosyasının adı (socket.exe)
OTR8 - [7C 6E 6C 63 60 76 78 2D 62 75 60] - dosyanın kendi kendine kopyalandığı ad (sockets.exe)
OTR9 - [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] - şifrelenmiş kaynak dizeleri için şifre çözme anahtarı (bu, kaynaklar olarak depolanan dizi parametrelerinin kodunu çözmek için kullanılacaktır)

Dosya kendisini şuraya kopyalar: BelgelerimWindowssockets.exe ve kopyayı yürütür.

ikili kod

Yürütmeden sonra aşağıdaki dosyaları indirir:

- 142.0.36.34/u/main.txt - Bilinen bir açık kaynak madencilik uygulamasının bir değişikliği gibi görünen "socket.exe" olarak kaydedilmiş bir madencilik ikili dosyası.
- 142.0.36.34/u/m.txt - İkili bir PE'nin onaltılık değerlerini içeren bir düz metin dosyası, öncekine bağımlı olan "miner.dll" dosyasına dönüştürülür.

Web sayfası Kaynak kodu
İkili kod

- 142.0.36.34/u/usft_ext.txt - Bir ikili dosya, bağımlılık “usft_ext.dll” olarak kaydedildi.
- 142.0.36.34/u/phatk.txt - “phatk.ptx” olarak kaydedilir - gelişmiş hesaplamalar için kullanılabilen GPU'lar için montajcı talimatları.
- 142.0.36.34/u/phatk.cl - “phatk.cl” olarak kaydedildi - GPU hesaplamaları için tasarlanmış kaynak dosyası.

Tüm indirmeler tamamlandığında ve bağımlılıklar yerine getirildiğinde, madencilik ikili kodu çözülmüş parametrelerle başlatılır ve sanal paralar oluşturmak için hesaplamalar yapmaya başlar. Tahmin edildiği gibi, CPU kullanımı artar ve bilgisayarı yüksek yük altında tutar.

İkili kod yürütme
İkili kod yürütme

Kötü amaçlı ikili program, hesaplama döngülerini tamamladıktan sonra havuz sunucusuyla tekrar tekrar iletişim kurar ve hesaplamalarının sonuçlarını - "sanal paralar" gönderir.

Damlalıklı truva atı
Damlalık truva atı:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Madencilik ikili:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

E-POSTA GÜVENLİĞİNİZİ TEST EDİN ANINDA GÜVENLİK PUANINI ÜCRETSİZ ALIN Kaynak: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/

spot_img

En Son İstihbarat

spot_img