Varonis hat einen Kryptomining-Virus entdeckt: unsere Untersuchung

Unser Team für Cybersicherheitsuntersuchungen untersuchte kürzlich ein Netzwerk eines mittelständischen Unternehmens, das fast vollständig mit einem Kryptomining-Virus infiziert war. Analyse
Die gesammelten Malware-Samples zeigten, dass eine neue Modifikation gefunden wurde
solche Viren, genannt normannisch, indem es verschiedene Methoden verwendet, um seine Anwesenheit zu verbergen. Außerdem wurde es entdeckt interaktive Web-Shell, was für Bergbaubetreiber relevant sein kann.

Studienübersicht

• Das Unternehmen Varonis hat eine großflächige Infektion mit Kryptominern festgestellt: Fast alle Server und Workstations im Unternehmen waren mit solcher Software infiziert
• Seit der Erstinfektion vor mehr als einem Jahr ist die Zahl der Modifikationen und infizierten Geräte stetig gestiegen
• Wir haben einen neuen Typ von Monero-Kryptominer (Norman) entdeckt, der verschiedene Methoden verwendet, um ihn vor der Analyse durch Sicherheitssoftware zu verbergen und so einer Entdeckung zu entgehen
• Die meisten Malware-Varianten nutzten DuckDNS (einen kostenlosen dynamischen DNS-Dienst), um eine Verbindung zum Kontrollzentrum (C&C-Server) herzustellen und Konfigurationsparameter abzurufen oder neue Daten zu senden
• Norman ist ein leistungsstarker Monero-Kryptowährungs-Miner, der auf dem Open-Source-Miner XMRig basiert
• Wir haben noch keine unwiderlegbaren Beweise, die Kryptominer mit einer interaktiven PHP-Shell in Verbindung bringen. Es gibt jedoch gute Gründe zu der Annahme, dass sie vom selben Angreifer stammen. Forscher sammeln zusätzliche Beweise für das Vorhandensein oder Fehlen eines solchen Zusammenhangs.
• In diesem Artikel können Sie sich mit den Empfehlungen von Varonis zum Schutz vor Remote-Web-Shells und Kryptominern vertraut machen

Untersuchung

Die Untersuchung begann im Rahmen des nächsten Pilotprojekts Plattformen
Cybersicherheit Varonis (Varonis Data Security Platform), das es ermöglichte, bei Internetanfragen (über einen Web-Proxy) schnell mehrere verdächtige anomale Ereignisse auf Netzwerkebene zu identifizieren, die mit anomalen Aktionen im Dateisystem verbunden waren.
Der Kunde wies umgehend darauf hin, dass die von unserer Plattform identifizierten Geräte
gehörte denselben Benutzern, die kürzlich über Anwendungsabstürze und Netzwerkverlangsamungen berichteten.

Unser Team untersuchte manuell die Umgebung des Kunden und wechselte entsprechend den von der Varonis-Plattform generierten Warnungen von einer infizierten Station zur anderen. Das Incident-Response-Team hat eine Sonderregel entwickelt DataAlert-Modul um Computer zu erkennen, die aktiv Mining betrieben, was dazu beitrug, die Bedrohung schnell zu beseitigen. Proben der gesammelten Malware wurden an die Forensik- und Entwicklungsteams gesendet, die darauf hinwiesen, dass eine weitere Untersuchung der Proben erforderlich sei.
Infizierte Knoten wurden aufgrund der von ihnen getätigten Aufrufe entdeckt DuckDNS, ein dynamischer DNS-Dienst, der es seinen Benutzern ermöglicht, ihre eigenen Domänennamen zu erstellen und diese schnell wechselnden IP-Adressen zuzuordnen. Wie oben erwähnt, griff die meiste Malware des Vorfalls auf DuckDNS zu, um eine Verbindung zum Kontrollzentrum (C&C) herzustellen, während andere auf Konfigurationsparameter zugegriffen oder neue Daten gesendet haben.

Fast alle Server und Computer waren mit Schadsoftware infiziert. Hauptsächlich verwendet
gängige Varianten von Kryptominern. Zu den weiteren Schadprogrammen gehörten Passwort-Dump-Tools und PHP-Shells, während eine Reihe von Tools bereits seit mehreren Jahren funktionierten.

Wir stellten dem Kunden die Ergebnisse zur Verfügung, entfernten die Malware aus seiner Umgebung und stoppten weitere Infektionen.

Unter allen entdeckten Exemplaren von Kryptominern stach eines heraus. Wir haben ihn benannt normannisch.

Treffen! Normannisch. Kryptominer

Norman ist ein leistungsstarker Monero-Kryptowährungs-Miner, der auf XMRig-Code basiert. Im Gegensatz zu anderen gefundenen Bergmannsproben verwendet Norman Techniken, um sie vor der Analyse durch Sicherheitssoftware zu verbergen, um einer Entdeckung zu entgehen und eine weitere Ausbreitung zu verhindern.

Auf den ersten Blick handelt es sich bei dieser Malware um einen gewöhnlichen Miner, der sich unter dem Namen svchost.exe versteckt. Die Studie ergab jedoch, dass es interessantere Methoden verwendet, um sich vor der Entdeckung zu verstecken und den Betrieb aufrechtzuerhalten.

Der Bereitstellungsprozess dieser Malware kann in drei Phasen unterteilt werden:

• Leistung;
• Implementierung;
• Wartung.

Schritt-für-Schritt-Analyse

Stufe 1. Ausführung

Die erste Stufe beginnt mit der ausführbaren Datei svchost.exe.

Die Malware wird ungewöhnlich mit NSIS (Nullsoft Scriptable Install System) kompiliert. NSIS ist ein Open-Source-System zum Erstellen von Windows-Installationsprogrammen. Wie SFX erstellt dieses System ein Archiv von Dateien und eine Skriptdatei, die ausgeführt wird, während das Installationsprogramm ausgeführt wird. Die Skriptdatei teilt dem Programm mit, welche Dateien ausgeführt werden sollen, und kann mit anderen Dateien im Archiv interagieren.

Hinweis: Um eine NSIS-Skriptdatei aus einer ausführbaren Datei zu erhalten, müssen Sie 7zip Version 9.38 verwenden, da spätere Versionen diese Funktion nicht implementieren.

Die von NSIS archivierte Malware enthält die folgenden Dateien:

• CallAnsiPlugin.dll, CLR.dll – NSIS-Module zum Aufrufen von .NET-DLL-Funktionen;
• 5zmjbxUIOVQ58qPR.dll – Hauptnutzlast-DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt – Nutzlastdateien;
• Bei Retreat.mp3 und Cropped_controller_config_controller_i_lb.png handelt es sich lediglich um Dateien, die in keiner Weise mit weiteren böswilligen Aktivitäten in Zusammenhang stehen.

Der Befehl aus der NSIS-Skriptdatei, der die Nutzlast ausführt, ist unten angegeben.

Die Malware wird durch Aufruf der Funktion 5zmjbxUIOVQ58qPR.dll ausgeführt, die andere Dateien als Parameter akzeptiert.

Stufe 2. Implementierung

Die Datei 5zmjbxUIOVQ58qPR.dll ist die Hauptnutzlast, wie aus dem NSIS-Skript oben ersichtlich ist. Eine schnelle Analyse der Metadaten ergab, dass die DLL ursprünglich Norman.dll hieß, also haben wir sie so benannt.

Die DLL-Datei wurde in .NET entwickelt und ist durch dreifache Verschleierung vor Reverse Engineering geschützt
unter Verwendung des bekannten kommerziellen Produkts Agile .NET Obfuscator.

Während der Ausführung sind viele Vorgänge der Selbstinjektion an ihrem eigenen Prozess sowie an anderen Prozessen beteiligt. Abhängig von der Bittiefe des Betriebssystems wird die Malware dies tun
Wählen Sie verschiedene Pfade zu Systemordnern und starten Sie verschiedene Prozesse.

Basierend auf dem Systemordnerpfad wählt die Malware verschiedene auszuführende Prozesse aus.

Die injizierte Nutzlast hat zwei Hauptfunktionen: die Ausführung eines Kryptominers und die Verhinderung der Erkennung.

Wenn das Betriebssystem 64-Bit ist

Wenn die ursprüngliche Datei svchosts.exe (NSIS-Datei) ausgeführt wird, erstellt sie einen eigenen neuen Prozess und injiziert die Nutzlast (1) in diesen. Kurz darauf startet es notepad.exe oder explorer.exe und injiziert den Cryptominer darin (2).

Danach wird die ursprüngliche Datei svchost.exe beendet und die neue Datei svchost.exe wird als Programm verwendet, das den Miner-Prozess überwacht.

Wenn das Betriebssystem 32-Bit ist

Wenn die ursprüngliche Datei svchosts.exe (die NSIS-Datei) ausgeführt wird, dupliziert sie ihren eigenen Prozess und fügt die Nutzlast in diesen ein, genau wie die 64-Bit-Version.

In diesem Fall fügt die Malware eine Nutzlast in den explorer.exe-Prozess des Benutzers ein. Von dort aus startet der Schadcode einen neuen Prozess (wuapp.exe oder vchost.exe) und schleust einen Miner ein.

Die Malware verbirgt die Tatsache, dass sie sich in explorer.exe eingeschleust hat, indem sie den zuvor eingeschleusten Code mit dem Pfad zu wuapp.exe und leeren Werten überschreibt.

Wie bei der Ausführung in einer 64-Bit-Umgebung wird der ursprüngliche Prozess svchost.exe beendet und der zweite Prozess wird verwendet, um Schadcode erneut in explorer.exe einzuschleusen, wenn der Prozess vom Benutzer beendet wird.

Am Ende des Ausführungsalgorithmus fügt die Malware immer einen Kryptominer in den legitimen Prozess ein, den sie startet.

Es soll eine Erkennung verhindern, indem der Miner beendet wird, wenn der Benutzer den Task-Manager startet.

Bitte beachten Sie, dass nach dem Starten des Task-Managers der Prozess wuapp.exe beendet wird.

Nach dem Schließen des Task-Managers startet die Schadsoftware immer wieder den Prozess wuapp.exe
Der Bergmann injiziert es hinein.

Stufe 3. Bergmann

Betrachten Sie den oben erwähnten XMRig-Miner.

Die Malware fügt eine getarnte UPX-Version des Miners in Notepad, exe, explorer.exe ein.
svchost.exe oder wuapp.exe, abhängig von der Bittiefe des Betriebssystems und der Stufe des Ausführungsalgorithmus.

Der PE-Header im Miner wurde entfernt und im Screenshot unten können wir sehen, dass er mit UPX maskiert ist.

Nachdem wir einen Dump erstellt und die ausführbare Datei neu erstellt hatten, konnten wir sie ausführen:

Es ist zu beachten, dass der Zugriff auf die Ziel-XMR-Site verweigert wird, wodurch dieser Miner effektiv neutralisiert wird.

Miner-Konfiguration:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

Mysteriöse PHP-Shell, die Daten an C&C weiterleitet

Während dieser Untersuchung entdeckte unser Forensik-Team eine XSL-Datei, die ihre Aufmerksamkeit erregte. Nach einer eingehenden Analyse des Beispiels wurde eine neue PHP-Shell entdeckt, die sich ständig mit dem Kontrollzentrum (C&C-Server) verbindet.

Auf mehreren Servern in der Kundenumgebung wurde eine XSL-Datei gefunden, die von einer bekannten ausführbaren Windows-Datei (mscorsv.exe) aus einem Ordner im Verzeichnis sysWOW64 gestartet wurde.

Der Malware-Ordner hieß AutoRecover und enthielt mehrere Dateien:

• XSL-Datei: xml.XSL
• neun DLL-Dateien

Ausführbare Dateien:

• Mscorsv.exe
• Wmiprvse.exe

XSL-Datei

XSL-Dateien sind Stylesheets, ähnlich denen in CSS, die beschreiben, wie ein XML-Dokument angezeigt wird.

Mithilfe von Notepad stellten wir fest, dass es sich tatsächlich nicht um eine XSL-Datei, sondern um von Zend Guard verschleierten PHP-Code handelte. Diese merkwürdige Tatsache legte nahe, dass dies der Fall war
Nutzlast der Malware basierend auf ihrem Ausführungsalgorithmus.

Neun DLLs

Eine erste Analyse der XSL-Datei führte zu dem Schluss, dass eine solche Nummer vorhanden ist
DLLs haben eine bestimmte Bedeutung. Der Hauptordner enthält eine DLL namens php.dll und drei weitere Bibliotheken im Zusammenhang mit SSL und MySQL. In den Unterordnern fanden Experten vier PHP-Bibliotheken und eine Zend Guard-Bibliothek. Sie alle sind legitim und werden aus dem PHP-Installationspaket oder als externe DLLs bezogen.

Zu diesem Zeitpunkt wurde davon ausgegangen, dass die Malware auf PHP-Basis erstellt und von Zend Guard verschleiert wurde.

Ausführbare Dateien

Außerdem befanden sich in diesem Ordner zwei ausführbare Dateien: Mscorsv.exe und Wmiprvse.exe.

Nach der Analyse der Datei mscorsv.exe stellten wir fest, dass sie nicht von Microsoft signiert war, obwohl ihr ProductName-Parameter auf „Microsoft.exe“ gesetzt war. Net Framework".
Zuerst schien es einfach seltsam, aber die Analyse von Wmiprvse.exe ermöglichte es uns, die Situation besser zu verstehen.

Die Datei Wmiprvse.exe war ebenfalls nicht signiert, enthielt jedoch ein PHP-Gruppen-Copyright-Symbol und ein PHP-Symbol. Ein kurzer Blick auf die Zeilen enthüllte Befehle aus der PHP-Hilfe. Bei der Ausführung mit dem Schalter -version wurde festgestellt, dass es sich um eine ausführbare Datei handelte, die für die Ausführung von Zend Guard entwickelt wurde.

Wenn mscorsv.exe auf ähnliche Weise gestartet wurde, wurden dieselben Daten auf dem Bildschirm angezeigt. Wir haben die Binärdaten dieser beiden Dateien verglichen und festgestellt, dass sie bis auf die Metadaten identisch sind
Urheberrecht und Firmenname/Produktname.

Daraus wurde geschlossen, dass die XSL-Datei PHP-Code enthielt, der mithilfe der ausführbaren Zend Guard-Datei ausgeführt wurde, die unter dem Namen mscorsv.exe versteckt war.

Parsen der XSL-Datei

Über eine Internetsuche gelangten Spezialisten schnell an das Deobfuscation-Tool Zend Guard und stellten das ursprüngliche Erscheinungsbild der xml.XSL-Datei wieder her:

Es stellte sich heraus, dass es sich bei der Malware selbst um eine PHP-Shell handelt, die ständig mit der Zentrale (C&C-Server) verbunden ist.

Die gesendeten und empfangenen Befehle und Ausgaben sind verschlüsselt. Da wir den Quellcode hatten, hatten wir sowohl den Verschlüsselungsschlüssel als auch die Befehle.

Diese Malware enthält die folgende integrierte Funktionalität:

• Eval – Wird normalerweise zum Ändern vorhandener Variablen im Code verwendet
• Lokale Dateiaufzeichnung
• Möglichkeiten zum Arbeiten mit der Datenbank
• Möglichkeiten der Arbeit mit PSEXEC
• Versteckte Hinrichtung
• Prozesse und Dienste abbilden

Die folgende Variable deutet darauf hin, dass die Malware mehrere Versionen hat.

Bei der Probenentnahme wurden folgende Versionen entdeckt:

• 0.5f
• 0.4p
• 0.4o

Die einzige Funktion, die ständige Präsenz von Malware auf dem System sicherzustellen, besteht darin, dass sie bei ihrer Ausführung einen Dienst erstellt, der sich selbst ausführt, und seinen Namen
Änderungen von Version zu Version.

Experten versuchten, ähnliche Beispiele im Internet zu finden und entdeckten Schadsoftware
was ihrer Meinung nach eine frühere Version des bestehenden Musters war. Der Inhalt des Ordners war ähnlich, aber die XSL-Datei war anders und hatte eine andere Versionsnummer.

Parle-Vu-Malware?

Die Malware stammt möglicherweise aus Frankreich oder einem anderen französischsprachigen Land: Die SFX-Datei enthielt Kommentare auf Französisch, was darauf hindeutet, dass der Autor zur Erstellung eine französische Version von WinRAR verwendet hat.

Darüber hinaus wurden einige Variablen und Funktionen im Code auch auf Französisch benannt.

Überwachung der Ausführung und Warten auf neue Befehle

Experten haben den Malware-Code geändert und den bereits geänderten Code sicher gestartet
Version, um Informationen über die empfangenen Befehle zu sammeln.

Am Ende der ersten Kommunikationssitzung stellten Experten fest, dass die Malware einen mit Base64 codierten Befehl als Argument für den EVAL64-Startschlüssel erhielt.
Dieser Befehl wird dekodiert und ausgeführt. Es ändert mehrere interne Variablen (Lese- und Schreibpuffergrößen), woraufhin die Malware in einen Arbeitszyklus eintritt und auf Befehle wartet.

Derzeit sind keine neuen Befehle eingegangen.

Interaktive PHP-Shell und Kryptominer: Sind sie verwandt?

Varonis-Spezialisten sind sich nicht sicher, ob Norman mit einer PHP-Shell in Verbindung steht, da es starke Argumente sowohl für als auch gegen diese Annahme gibt:

Warum könnten sie verwandt sein?

• Keines der bösartigen Kryptomining-Softwarebeispiele hatte die Fähigkeit, sich unabhängig auf andere Systeme auszubreiten, obwohl sie auf verschiedenen Geräten in verschiedenen Netzwerksegmenten gefunden wurden. Es ist möglich, dass der Angreifer jeden Knoten einzeln infiziert hat (vielleicht mit demselben Angriffsvektor wie bei der Infektion von Patient Zero), obwohl es effektiver wäre, eine PHP-Shell zu verwenden, um sich über das Netzwerk zu verbreiten, das das Ziel des Angriffs war.
• Groß angelegte, gezielte automatisierte Kampagnen, die sich gegen eine bestimmte Organisation richten, hinterlassen häufig technische Artefakte oder erkennbare Spuren von Cybersicherheitsbedrohungen. In diesem Fall wurde nichts dergleichen gefunden.
• Sowohl Norman als auch die PHP-Shell nutzten den DuckDNS-Dienst.

Warum sind sie möglicherweise nicht verwandt?

• Es gibt keine technischen Ähnlichkeiten zwischen den Cryptomining-Malware-Varianten und der PHP-Shell. Der bösartige Kryptominer wird in C++ erstellt und die Shell befindet sich in PHP. Außerdem gibt es keine Ähnlichkeiten in der Codestruktur und die Netzwerkfunktionen sind unterschiedlich implementiert.
• Es gibt keine direkte Kommunikation zwischen den Malware-Varianten und der PHP-Shell zum Datenaustausch.
• Sie geben keine Entwicklerkommentare, Dateien, Metadaten oder digitalen Fingerabdrücke weiter.

Drei Empfehlungen zum Schutz vor Remote-Shells

Malware, die zum Betrieb Befehle vom Kontrollzentrum (C&C-Server) benötigt, ist nicht wie normale Viren. Seine Aktionen sind nicht so vorhersehbar und ähneln eher den Aktionen eines Hackers oder Pentesters, die ohne automatisierte Tools oder Skripte ausgeführt werden. Daher ist die Erkennung dieser Angriffe ohne Malware-Signaturen eine größere Herausforderung als normale Antiviren-Scans.

Nachfolgend finden Sie drei Empfehlungen zum Schutz von Unternehmen vor Remote-Shells:

1. Halten Sie die gesamte Software auf dem neuesten Stand
   Angreifer nutzen häufig Schwachstellen in Software und Betriebssystemen, um sich im Netzwerk eines Unternehmens auszubreiten und nach relevanten Daten zu suchen
   Diebstahl. Durch rechtzeitiges Patchen wird das Risiko solcher Bedrohungen erheblich verringert.
2. Überwachen Sie anomale Datenzugriffsereignisse
   Höchstwahrscheinlich werden Angreifer versuchen, die vertraulichen Daten des Unternehmens über die Unternehmensgrenzen hinaus zu entwenden. Die Überwachung ungewöhnlicher Zugriffsereignisse auf diese Daten ermöglicht dies
   Erkennen Sie kompromittierte Benutzer und den gesamten Satz an Ordnern und Dateien, die tatsächlich in die Hände von Angreifern gelangen könnten, und betrachten Sie nicht nur alle für diese Benutzer verfügbaren Daten als solche.
3. Überwachen Sie den Netzwerkverkehr
   Der Einsatz einer Firewall und/oder eines Proxyservers kann bösartige Verbindungen zu Malware-Kontrollzentren (C&C-Servern) erkennen und blockieren, wodurch Angreifer daran gehindert werden, Befehle auszuführen, und es dadurch schwieriger wird
   Perimeterdaten.

Besorgt über das Thema Gray Mining? Sechs Empfehlungen zum Schutz:

1. Halten Sie alle Betriebssysteme auf dem neuesten Stand
   Das Patch-Management ist sehr wichtig, um Ressourcenmissbrauch und Malware-Infektionen zu verhindern.
2. Kontrollieren Sie den Netzwerkverkehr und Web-Proxys
   Tun Sie dies, um einige Angriffe zu erkennen. Um einige davon zu verhindern, können Sie den Datenverkehr anhand von Informationen über bösartige Domänen blockieren oder unnötige Datenübertragungskanäle einschränken.
3. Verwenden und warten Sie Antivirenlösungen und Endpunktsicherheitssysteme (Aber beschränken Sie sich auf keinen Fall darauf, nur diese Schutzschicht zu verwenden).
   Endpoint-Produkte können bekannte Kryptominer erkennen und Infektionen verhindern, bevor sie die Systemleistung und den Energieverbrauch beeinträchtigen. Bitte beachten Sie, dass neue Modifikationen oder neue Methoden zur Verhinderung der Erkennung dazu führen können, dass Endpoint Security neue Versionen derselben Malware nicht erkennt.
4. Überwachen Sie die CPU-Aktivität des Computers
   Typischerweise nutzen Krypto-Miner den Zentralprozessor eines Computers für das Mining. Es ist notwendig, alle Meldungen über einen Leistungsabfall („Mein Computer ist langsamer geworden“) zu analysieren.
5. Überwachen Sie DNS auf ungewöhnliche Nutzung dynamischer DNS-Dienste (wie DuckDNS).

   Obwohl DuckDNS und andere dynamische DNS-Dienste nicht grundsätzlich schädlich für das System sind, erleichterte die Verwendung von DuckDNS durch Malware unseren Ermittlungsteams die Erkennung infizierter Hosts.

6. Entwickeln Sie einen Reaktionsplan für Vorfälle
   Stellen Sie sicher, dass Sie über die für solche Vorfälle erforderlichen Verfahren verfügen, um die Bedrohung durch Gray-Crypto-Mining automatisch zu erkennen, einzudämmen und zu mindern.

Hinweis für Varonis-Kunden.
Varonis DataAlert umfasst Bedrohungsmodelle, die die Erkennung von Kryptomining-Malware ermöglichen. Kunden können auch benutzerdefinierte Regeln erstellen, um die Softwareerkennung auf der Grundlage von Domänen auszurichten, die für eine Blacklist in Frage kommen. Um sicherzustellen, dass Sie die neueste Version von DatAlert verwenden und die richtigen Bedrohungsmodelle verwenden, wenden Sie sich an Ihren Vertriebsmitarbeiter oder den Varonis-Support.

Source: habr.com