ProHoster > Blog > διαχείριση > Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Η ομάδα ερευνών μας στον τομέα της κυβερνοασφάλειας ερεύνησε πρόσφατα ένα δίκτυο που ήταν σχεδόν εξ ολοκλήρου μολυσμένο με έναν ιό κρυπτοεξόρυξης σε μια εταιρεία μεσαίου μεγέθους. Ανάλυση
Τα δείγματα κακόβουλου λογισμικού που συλλέχθηκαν έδειξαν ότι είχε βρεθεί μια νέα τροποποίηση
τέτοιοι ιοί, που ονομάζονται Νορμανδός, χρησιμοποιώντας διάφορες μεθόδους απόκρυψης της παρουσίας του. Επιπλέον, ανακαλύφθηκε διαδραστικό κέλυφος ιστού, το οποίο μπορεί να σχετίζεται με τους φορείς εκμετάλλευσης εξόρυξης.

Επισκόπηση Μελέτης

  • Η εταιρεία Varonis έχει εντοπίσει μια μεγάλης κλίμακας μόλυνση με cryptominers: σχεδόν όλοι οι διακομιστές και οι σταθμοί εργασίας της εταιρείας είχαν μολυνθεί με τέτοιο λογισμικό
  • Από την αρχική μόλυνση πριν από περισσότερο από ένα χρόνο, ο αριθμός των τροποποιήσεων και των μολυσμένων συσκευών αυξάνεται σταθερά
  • Ανακαλύψαμε έναν νέο τύπο Monero cryptominer (Norman) που χρησιμοποιεί διάφορες μεθόδους για να το κρύψει από την ανάλυση από λογισμικό ασφαλείας, προκειμένου να αποφευχθεί ο εντοπισμός
  • Οι περισσότερες παραλλαγές κακόβουλου λογισμικού χρησιμοποιούσαν το DuckDNS (μια δωρεάν υπηρεσία Dynamic DNS) για σύνδεση στο κέντρο ελέγχου (διακομιστές C&C) και για λήψη παραμέτρων διαμόρφωσης ή αποστολή νέων δεδομένων
  • Το Norman είναι ένας εξορύκτης κρυπτονομισμάτων Monero υψηλής απόδοσης που βασίζεται στον εξορύκτη ανοιχτού κώδικα - XMRig
  • Δεν έχουμε ακόμη αδιάψευστα στοιχεία που να συνδέουν τα cryptominers με ένα διαδραστικό κέλυφος PHP. Ωστόσο, υπάρχουν καλοί λόγοι να πιστεύουμε ότι προέρχονται από τον ίδιο επιθετικό. Οι ερευνητές συλλέγουν πρόσθετα στοιχεία για την παρουσία ή την απουσία μιας τέτοιας σύνδεσης.
  • Σε αυτό το άρθρο μπορείτε να εξοικειωθείτε με τις συστάσεις του Βαρώνη σχετικά με την προστασία από απομακρυσμένα κελύφη ιστού και κρυπτοminers

Ερευνα

Η έρευνα ξεκίνησε κατά τη διάρκεια του επόμενου πιλοτικού έργου Πλατφόρμες
κυβερνοασφάλεια Βαρώνης (Varonis Data Security Platform), που επέτρεψε τον γρήγορο εντοπισμό πολλών ύποπτων ανώμαλων συμβάντων σε επίπεδο δικτύου κατά τη διάρκεια αιτημάτων Διαδικτύου (μέσω web proxy), που σχετίζονται με ανώμαλες ενέργειες στο σύστημα αρχείων.
Ο πελάτης επεσήμανε αμέσως ότι οι συσκευές που αναγνωρίζονται από την Πλατφόρμα μας
ανήκε στους ίδιους χρήστες που ανέφεραν πρόσφατα σφάλματα εφαρμογών και επιβραδύνσεις δικτύου.

Η ομάδα μας εξέτασε χειροκίνητα το περιβάλλον του πελάτη, μετακινώντας από τον έναν μολυσμένο σταθμό στον άλλο σύμφωνα με τις ειδοποιήσεις που δημιουργούνται από την πλατφόρμα Varonis. Η ομάδα αντιμετώπισης περιστατικών έχει αναπτύξει έναν ειδικό κανόνα Μονάδα DataAlert για τον εντοπισμό υπολογιστών που πραγματοποιούσαν ενεργή εξόρυξη, γεγονός που βοήθησε γρήγορα στην εξάλειψη της απειλής. Δείγματα του συλλεγόμενου κακόβουλου λογισμικού στάλθηκαν στις ομάδες εγκληματολογίας και ανάπτυξης, οι οποίες ενημέρωσαν ότι απαιτείται περαιτέρω εξέταση των δειγμάτων.
Οι μολυσμένοι κόμβοι ανακαλύφθηκαν λόγω των κλήσεων που έκαναν DuckDNS, μια υπηρεσία Dynamic DNS που επιτρέπει στους χρήστες της να δημιουργούν τα δικά τους ονόματα τομέα και να τα αντιστοιχίζουν γρήγορα σε μεταβαλλόμενες διευθύνσεις IP. Όπως σημειώθηκε παραπάνω, το μεγαλύτερο μέρος του κακόβουλου λογισμικού στο περιστατικό είχε πρόσβαση στο DuckDNS για να συνδεθεί στο κέντρο ελέγχου (C&C), ενώ άλλα είχαν πρόσβαση σε παραμέτρους διαμόρφωσης ή έστειλαν νέα δεδομένα.

Σχεδόν όλοι οι διακομιστές και οι υπολογιστές είχαν μολυνθεί με κακόβουλο λογισμικό. Χρησιμοποιείται κυρίως
κοινές παραλλαγές cryptominers. Άλλο κακόβουλο λογισμικό περιελάμβανε εργαλεία απόρριψης κωδικών πρόσβασης και κελύφη PHP, ενώ ορισμένα εργαλεία λειτουργούσαν για αρκετά χρόνια.

Παρέχαμε τα αποτελέσματα στον πελάτη, αφαιρέσαμε το κακόβουλο λογισμικό από το περιβάλλον του και σταματήσαμε περαιτέρω μολύνσεις.

Μεταξύ όλων των ανακαλυφθέντων δειγμάτων cryptominers, ένα ξεχώρισε. Τον ονομάσαμε Νορμανδός.

Συναντώ! Νορμανδός. Cryptominer

Το Norman είναι ένας εξορύκτης κρυπτονομισμάτων Monero υψηλής απόδοσης που βασίζεται σε κώδικα XMRig. Σε αντίθεση με άλλα δείγματα ανθρακωρύχων που βρέθηκαν, ο Norman χρησιμοποιεί τεχνικές για να το κρύψει από την ανάλυση από λογισμικό ασφαλείας για να αποφύγει τον εντοπισμό και να αποτρέψει περαιτέρω εξάπλωση.

Με την πρώτη ματιά, αυτό το κακόβουλο λογισμικό είναι ένας κανονικός miner που κρύβεται με το όνομα svchost.exe. Ωστόσο, η μελέτη διαπίστωσε ότι χρησιμοποιεί πιο ενδιαφέρουσες μεθόδους για να κρυφτεί από τον εντοπισμό και να κρατήσει τα πράγματα σε λειτουργία.

Η διαδικασία ανάπτυξης αυτού του κακόβουλου λογισμικού μπορεί να χωριστεί σε τρία στάδια:

  • εκτέλεση;
  • εκτέλεση;
  • εξόρυξη.

Ανάλυση βήμα προς βήμα

Στάδιο 1. Εκτέλεση

Το πρώτο στάδιο ξεκινά με το εκτελέσιμο αρχείο svchost.exe.

Το κακόβουλο λογισμικό έχει μεταγλωττιστεί χρησιμοποιώντας NSIS (Nullsoft Scriptable Install System), κάτι που είναι ασυνήθιστο. Το NSIS είναι ένα σύστημα ανοιχτού κώδικα που χρησιμοποιείται για τη δημιουργία προγραμμάτων εγκατάστασης των Windows. Όπως το SFX, αυτό το σύστημα δημιουργεί ένα αρχείο αρχείων και ένα αρχείο σεναρίου που εκτελείται ενώ εκτελείται το πρόγραμμα εγκατάστασης. Το αρχείο σεναρίου λέει στο πρόγραμμα ποια αρχεία να τρέξει και μπορεί να αλληλεπιδράσει με άλλα αρχεία στο αρχείο.

Σημείωση: Για να αποκτήσετε ένα αρχείο δέσμης ενεργειών NSIS από ένα εκτελέσιμο αρχείο, πρέπει να χρησιμοποιήσετε την έκδοση 7zip 9.38, καθώς οι νεότερες εκδόσεις δεν εφαρμόζουν αυτήν τη δυνατότητα.

Το αρχειοθετημένο κακόβουλο λογισμικό NSIS περιέχει τα ακόλουθα αρχεία:

  • Μονάδες CallAnsiPlugin.dll, CLR.dll - NSIS για κλήση συναρτήσεων .NET DLL.
  • 5zmjbxUIOVQ58qPR.dll - DLL κύριου ωφέλιμου φορτίου.
  • 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - αρχεία ωφέλιμου φορτίου.
  • Τα Retreat.mp3, Cropped_controller_config_controller_i_lb.png είναι απλώς αρχεία που σε καμία περίπτωση δεν σχετίζονται με περαιτέρω κακόβουλη δραστηριότητα.

Η εντολή από το αρχείο δέσμης ενεργειών NSIS που εκτελεί το ωφέλιμο φορτίο δίνεται παρακάτω.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Το κακόβουλο λογισμικό εκτελείται καλώντας τη συνάρτηση 5zmjbxUIOVQ58qPR.dll, η οποία λαμβάνει άλλα αρχεία ως παραμέτρους.

Στάδιο 2. Υλοποίηση

Το αρχείο 5zmjbxUIOVQ58qPR.dll είναι το κύριο ωφέλιμο φορτίο, όπως φαίνεται από τη δέσμη ενεργειών NSIS παραπάνω. Μια γρήγορη ανάλυση των μεταδεδομένων αποκάλυψε ότι το DLL αρχικά ονομαζόταν Norman.dll, οπότε το ονομάσαμε έτσι.

Το αρχείο DLL έχει αναπτυχθεί σε .NET και προστατεύεται από την αντίστροφη μηχανική με τριπλή συσκότιση
χρησιμοποιώντας το γνωστό εμπορικό προϊόν Agile .NET Obfuscator.

Κατά την εκτέλεση, πολλές λειτουργίες αυτοέγχυσης εμπλέκονται στη δική της διαδικασία, καθώς και σε άλλες διαδικασίες. Ανάλογα με το βάθος bit του λειτουργικού συστήματος, το κακόβουλο λογισμικό θα
επιλέξτε διαφορετικές διαδρομές στους φακέλους του συστήματος και ξεκινήστε διαφορετικές διαδικασίες.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Με βάση τη διαδρομή του φακέλου συστήματος, το κακόβουλο λογισμικό θα επιλέξει διαφορετικές διεργασίες για εκτέλεση.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Το εγχυόμενο ωφέλιμο φορτίο έχει δύο κύριες λειτουργίες: την εκτέλεση ενός cryptominer και την πρόληψη της ανίχνευσης.

Εάν το λειτουργικό σύστημα είναι 64-bit

Όταν εκτελείται το αρχικό αρχείο svchosts.exe (αρχείο NSIS), δημιουργεί μια νέα δική του διεργασία και εισάγει το ωφέλιμο φορτίο (1) σε αυτό. Αμέσως μετά, εκκινεί το notepad.exe ή explorer.exe και εισάγει το cryptominer σε αυτό (2).

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Μετά από αυτό, το αρχικό αρχείο svchost.exe εξέρχεται και το νέο αρχείο svchost.exe χρησιμοποιείται ως πρόγραμμα που παρακολουθεί τη διαδικασία εξόρυξης.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Εάν το λειτουργικό σύστημα είναι 32-bit

Όταν εκτελείται το αρχικό αρχείο svchosts.exe (το αρχείο NSIS), αντιγράφει τη δική του διαδικασία και εισάγει το ωφέλιμο φορτίο σε αυτό, όπως ακριβώς και η έκδοση 64-bit.

Σε αυτήν την περίπτωση, το κακόβουλο λογισμικό εισάγει ένα ωφέλιμο φορτίο στη διαδικασία explorer.exe του χρήστη. Από εκεί, ο κακόβουλος κώδικας εκκινεί μια νέα διαδικασία (wuapp.exe ή vchost.exe) και εισάγει ένα miner σε αυτήν.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Το κακόβουλο λογισμικό κρύβει το γεγονός ότι έχει εγχυθεί στο explorer.exe αντικαθιστώντας τον κώδικα που εισήχθη προηγουμένως με τη διαδρομή προς το wuapp.exe και τις κενές τιμές.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Όπως συμβαίνει όταν εκτελείται σε περιβάλλον 64-bit, η αρχική διαδικασία svchost.exe εξέρχεται και η δεύτερη χρησιμοποιείται για την επανεισαγωγή κακόβουλου κώδικα στο explorer.exe, εάν η διαδικασία τερματιστεί από τον χρήστη.

Στο τέλος του αλγόριθμου εκτέλεσης, το κακόβουλο λογισμικό εγχέει πάντα ένα cryptominer στη νόμιμη διαδικασία που εκκινεί.

Έχει σχεδιαστεί για να αποτρέπει τον εντοπισμό τερματίζοντας το miner όταν ο χρήστης εκκινεί το Task Manager.

Λάβετε υπόψη ότι μετά την εκκίνηση του Task Manager, η διαδικασία wuapp.exe τερματίζεται.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Μετά το κλείσιμο της διαχείρισης εργασιών, το κακόβουλο λογισμικό ξεκινά τη διαδικασία wuapp.exe ξανά και ξανά
ο ανθρακωρύχος το εγχέει σε αυτό.

Στάδιο 3. Μεταλλωρύχος

Σκεφτείτε το XMRig miner που αναφέρθηκε παραπάνω.

Το κακόβουλο λογισμικό εισάγει μια συγκαλυμμένη έκδοση UPX του miner στο σημειωματάριο, exe, explorer.exe,
svchost.exe ή wuapp.exe, ανάλογα με το βάθος bit του λειτουργικού συστήματος και το στάδιο του αλγόριθμου εκτέλεσης.

Η κεφαλίδα PE στο miner έχει αφαιρεθεί και στο στιγμιότυπο οθόνης παρακάτω μπορούμε να δούμε ότι είναι καλυμμένη με UPX.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Αφού δημιουργήσαμε ένα dump και ξαναχτίσαμε το εκτελέσιμο αρχείο, μπορέσαμε να το εκτελέσουμε:

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Θα πρέπει να σημειωθεί ότι δεν επιτρέπεται η πρόσβαση στον ιστότοπο στόχο XMR, γεγονός που ουσιαστικά εξουδετερώνει αυτόν τον εξορύκτη.

Διαμόρφωση ανθρακωρύχου:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

Μυστηριώδες κέλυφος PHP που μεταβιβάζει δεδομένα στην C&C

Κατά τη διάρκεια αυτής της έρευνας, η ομάδα ιατροδικαστών μας ανακάλυψε ένα αρχείο XSL που τράβηξε την προσοχή τους. Μετά από μια εις βάθος ανάλυση του δείγματος, ανακαλύφθηκε ένα νέο κέλυφος PHP που συνδέεται συνεχώς με το κέντρο ελέγχου (διακομιστής C&C).

Βρέθηκε ένα αρχείο XSL σε πολλούς διακομιστές στο περιβάλλον του πελάτη που ξεκίνησε από ένα γνωστό εκτελέσιμο αρχείο των Windows (mscorsv.exe) από έναν φάκελο στον κατάλογο sysWOW64.

Ο φάκελος κακόβουλου λογισμικού ονομαζόταν AutoRecover και περιείχε πολλά αρχεία:

  • Αρχείο XSL: xml.XSL
  • εννέα αρχεία DLL

Εκτελέσιμα αρχεία:

  • Mscorsv.exe
  • Wmiprvse.exe

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

αρχείο XSL

Τα αρχεία XSL είναι φύλλα στυλ, παρόμοια με αυτά που χρησιμοποιούνται στο CSS, που περιγράφουν τον τρόπο εμφάνισης ενός εγγράφου XML.

Χρησιμοποιώντας το Σημειωματάριο, διαπιστώσαμε ότι στην πραγματικότητα δεν επρόκειτο για αρχείο XSL, αλλά μάλλον για κώδικα PHP που είχε συσκοτιστεί από το Zend Guard. Αυτό το περίεργο γεγονός υποδηλώνει ότι ήταν
ωφέλιμο φορτίο κακόβουλου λογισμικού με βάση τον αλγόριθμο εκτέλεσής του.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Εννέα DLL

Η αρχική ανάλυση του αρχείου XSL οδήγησε στο συμπέρασμα ότι η παρουσία ενός τέτοιου αριθμού
Τα DLL έχουν μια συγκεκριμένη σημασία. Ο κύριος φάκελος περιέχει ένα DLL που ονομάζεται php.dll και τρεις άλλες βιβλιοθήκες που σχετίζονται με SSL και MySQL. Στους υποφακέλους, οι ειδικοί βρήκαν τέσσερις βιβλιοθήκες PHP και μία βιβλιοθήκη Zend Guard. Όλα είναι νόμιμα και λαμβάνονται από το πακέτο εγκατάστασης της PHP ή ως εξωτερικά dll.

Σε αυτό το στάδιο, υποτέθηκε ότι το κακόβουλο λογισμικό δημιουργήθηκε με βάση την PHP και επισκιάστηκε από το Zend Guard.

Εκτελέσιμα αρχεία

Επίσης σε αυτόν τον φάκελο υπήρχαν δύο εκτελέσιμα αρχεία: Mscorsv.exe και Wmiprvse.exe.

Αφού αναλύσαμε το αρχείο mscorsv.exe, διαπιστώσαμε ότι δεν ήταν υπογεγραμμένο από τη Microsoft, αν και η παράμετρος ProductName του ορίστηκε σε "Microsoft. Πλαίσιο δικτύου".
Στην αρχή φαινόταν παράξενο, αλλά η ανάλυση του Wmiprvse.exe μας επέτρεψε να κατανοήσουμε καλύτερα την κατάσταση.

Το αρχείο Wmiprvse.exe ήταν επίσης ανυπόγραφο, αλλά περιείχε ένα σύμβολο πνευματικών δικαιωμάτων ομάδας PHP και ένα εικονίδιο PHP. Μια γρήγορη ματιά στις γραμμές του αποκάλυψε εντολές από τη βοήθεια της PHP. Όταν εκτελέστηκε με το διακόπτη -version, ανακαλύφθηκε ότι ήταν ένα εκτελέσιμο αρχείο που είχε σχεδιαστεί για την εκτέλεση του Zend Guard.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Όταν το mscorsv.exe εκκινήθηκε με παρόμοιο τρόπο, τα ίδια δεδομένα εμφανίζονταν στην οθόνη. Συγκρίναμε τα δυαδικά δεδομένα αυτών των δύο αρχείων και είδαμε ότι είναι πανομοιότυπα, εκτός από τα μεταδεδομένα
Πνευματικά δικαιώματα και Όνομα εταιρείας/Όνομα προϊόντος.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Με βάση αυτό, συνήχθη το συμπέρασμα ότι το αρχείο XSL περιείχε κώδικα PHP που έτρεχε χρησιμοποιώντας το εκτελέσιμο αρχείο Zend Guard, κρυμμένο με το όνομα mscorsv.exe.

Ανάλυση του αρχείου XSL

Χρησιμοποιώντας μια αναζήτηση στο Διαδίκτυο, οι ειδικοί απέκτησαν γρήγορα το εργαλείο απεμπλοκής Zend Guard και επανέφεραν την αρχική εμφάνιση του αρχείου xml.XSL:

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Αποδείχθηκε ότι το ίδιο το κακόβουλο λογισμικό είναι ένα κέλυφος PHP που συνδέεται συνεχώς με το κέντρο ελέγχου (διακομιστής C&C).

Οι εντολές και τα αποτελέσματα που στέλνει και λαμβάνει είναι κρυπτογραφημένα. Εφόσον είχαμε τον πηγαίο κώδικα, είχαμε και το κλειδί κρυπτογράφησης και τις εντολές.

Αυτό το κακόβουλο λογισμικό περιέχει τις ακόλουθες ενσωματωμένες λειτουργίες:

  • Eval - Συνήθως χρησιμοποιείται για την τροποποίηση υπαρχουσών μεταβλητών στον κώδικα
  • Εγγραφή τοπικού αρχείου
  • Δυνατότητες εργασίας με τη βάση δεδομένων
  • Δυνατότητες συνεργασίας με το PSEXEC
  • Κρυφή Εκτέλεση
  • Διαδικασίες και υπηρεσίες χαρτογράφησης

Η ακόλουθη μεταβλητή υποδηλώνει ότι το κακόβουλο λογισμικό έχει πολλές εκδόσεις.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Κατά τη συλλογή δειγμάτων, ανακαλύφθηκαν οι ακόλουθες εκδόσεις:

  • 0.5f
  • 0.4p
  • 0.4o

Η μόνη λειτουργία για τη διασφάλιση της συνεχούς παρουσίας κακόβουλου λογισμικού στο σύστημα είναι ότι όταν εκτελείται, δημιουργεί μια υπηρεσία που εκτελείται μόνο του και το όνομά της
αλλάζει από έκδοση σε έκδοση.

Οι ειδικοί προσπάθησαν να βρουν παρόμοια δείγματα στο Διαδίκτυο και ανακάλυψαν κακόβουλο λογισμικό
που, κατά τη γνώμη τους, ήταν μια προηγούμενη έκδοση του υπάρχοντος δείγματος. Τα περιεχόμενα του φακέλου ήταν παρόμοια, αλλά το αρχείο XSL ήταν διαφορετικό και είχε διαφορετικό αριθμό έκδοσης.

Κακόβουλο λογισμικό Parle-Vu;

Το κακόβουλο λογισμικό μπορεί να προέρχεται από τη Γαλλία ή άλλη γαλλόφωνη χώρα: το αρχείο SFX είχε σχόλια στα γαλλικά, υποδεικνύοντας ότι ο συγγραφέας χρησιμοποίησε μια γαλλική έκδοση του WinRAR για να το δημιουργήσει.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Επιπλέον, ορισμένες μεταβλητές και συναρτήσεις στον κώδικα ονομάστηκαν επίσης στα γαλλικά.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Παρακολούθηση εκτέλεσης και αναμονή για νέες εντολές

Οι ειδικοί τροποποίησαν τον κώδικα κακόβουλου λογισμικού και κυκλοφόρησαν με ασφάλεια τον ήδη τροποποιημένο
έκδοση για τη συλλογή πληροφοριών σχετικά με τις εντολές που έλαβε.

Ο Βαρώνης ανακάλυψε έναν ιό κρυπτοεξόρυξης: η έρευνά μας

Στο τέλος της πρώτης συνεδρίας επικοινωνίας, οι ειδικοί είδαν ότι το κακόβουλο λογισμικό έλαβε μια εντολή που κωδικοποιήθηκε χρησιμοποιώντας το Base64 ως όρισμα για το κλειδί εκκίνησης EVAL64.
Αυτή η εντολή αποκωδικοποιείται και εκτελείται. Αλλάζει πολλές εσωτερικές μεταβλητές (μεγέθη buffer ανάγνωσης και εγγραφής), μετά από τις οποίες το κακόβουλο λογισμικό εισέρχεται σε έναν κύκλο εργασίας περιμένοντας εντολές.

Προς το παρόν, δεν έχουν ληφθεί νέες εντολές.

Διαδραστικό κέλυφος PHP και cryptominer: σχετίζονται;

Οι ειδικοί του Varonis δεν είναι σίγουροι εάν το Norman σχετίζεται με ένα κέλυφος PHP, καθώς υπάρχουν ισχυρά επιχειρήματα τόσο υπέρ όσο και κατά αυτής της υπόθεσης:

Γιατί μπορεί να σχετίζονται;

  • Κανένα από τα κακόβουλα δείγματα λογισμικού κρυπτοεξόρυξης δεν είχε τη δυνατότητα να εξαπλωθεί ανεξάρτητα σε άλλα συστήματα, αν και βρέθηκαν σε διάφορες συσκευές σε διάφορα τμήματα δικτύου. Είναι πιθανό ο εισβολέας να μόλυνε κάθε κόμβο ξεχωριστά (ίσως χρησιμοποιώντας τον ίδιο φορέα επίθεσης όπως όταν μολύνει τον ασθενή μηδέν), αν και θα ήταν πιο αποτελεσματικό να χρησιμοποιηθεί ένα κέλυφος PHP για να εξαπλωθεί σε όλο το δίκτυο που ήταν ο στόχος της επίθεσης.
  • Μεγάλης κλίμακας, στοχευμένες αυτοματοποιημένες εκστρατείες που στρέφονται εναντίον ενός συγκεκριμένου οργανισμού συχνά αφήνουν πίσω τους τεχνικά αντικείμενα ή αναγνωρίσιμα ίχνη απειλών για την ασφάλεια στον κυβερνοχώρο. Στην προκειμένη περίπτωση δεν βρέθηκε κάτι τέτοιο.
  • Τόσο ο Norman όσο και το κέλυφος PHP χρησιμοποιούσαν την υπηρεσία DuckDNS.

Γιατί μπορεί να μην έχουν σχέση;

  • Δεν υπάρχουν τεχνικές ομοιότητες μεταξύ των παραλλαγών κακόβουλου λογισμικού cryptomining και του κελύφους PHP. Το κακόβουλο cryptominer δημιουργείται σε C++ και το κέλυφος βρίσκεται σε PHP. Επίσης, δεν υπάρχουν ομοιότητες στη δομή του κώδικα και οι λειτουργίες του δικτύου υλοποιούνται διαφορετικά.
  • Δεν υπάρχει άμεση επικοινωνία μεταξύ των παραλλαγών κακόβουλου λογισμικού και του κελύφους PHP για την ανταλλαγή δεδομένων.
  • Δεν μοιράζονται σχόλια προγραμματιστή, αρχεία, μεταδεδομένα ή ψηφιακά δακτυλικά αποτυπώματα.

Τρεις συστάσεις για προστασία από απομακρυσμένα κελύφη

Το κακόβουλο λογισμικό, το οποίο απαιτεί εντολές από το κέντρο ελέγχου (διακομιστές C&C) για να λειτουργήσει, δεν είναι σαν τους κανονικούς ιούς. Οι ενέργειές του δεν είναι τόσο προβλέψιμες και θα μοιάζουν περισσότερο με τις ενέργειες ενός χάκερ ή ενός pentester που εκτελούνται χωρίς αυτοματοποιημένα εργαλεία ή σενάρια. Επομένως, ο εντοπισμός αυτών των επιθέσεων χωρίς υπογραφές κακόβουλου λογισμικού είναι πιο δύσκολος από την κανονική σάρωση προστασίας από ιούς.

Ακολουθούν τρεις συστάσεις για την προστασία των εταιρειών από απομακρυσμένα κελύφη:

  1. Διατηρήστε όλο το λογισμικό ενημερωμένο
    Οι επιτιθέμενοι συχνά χρησιμοποιούν ευπάθειες σε λογισμικό και λειτουργικά συστήματα για να εξαπλωθούν στο δίκτυο ενός οργανισμού και να αναζητήσουν δεδομένα που τους ενδιαφέρουν προκειμένου να
    κλοπή. Η έγκαιρη επιδιόρθωση μειώνει σημαντικά τον κίνδυνο τέτοιων απειλών.
  2. Παρακολούθηση ανώμαλων συμβάντων πρόσβασης δεδομένων
    Πιθανότατα, οι εισβολείς θα προσπαθήσουν να πάρουν τα εμπιστευτικά δεδομένα του οργανισμού πέρα ​​από την περίμετρο. Η παρακολούθηση ανώμαλων συμβάντων πρόσβασης σε αυτά τα δεδομένα θα επιτρέψει
    ανιχνεύουν παραβιασμένους χρήστες και ολόκληρο το σύνολο φακέλων και αρχείων που θα μπορούσαν να πέσουν στα χέρια των εισβολέων και όχι απλώς να θεωρούν ως τέτοια όλα τα δεδομένα που είναι διαθέσιμα σε αυτούς τους χρήστες.
  3. Παρακολούθηση της κυκλοφορίας του δικτύου
    Η χρήση τείχους προστασίας ή/και διακομιστή μεσολάβησης μπορεί να εντοπίσει και να αποκλείσει κακόβουλες συνδέσεις σε κέντρα ελέγχου κακόβουλου λογισμικού (διακομιστές C&C), εμποδίζοντας τους εισβολείς να εκτελούν εντολές και καθιστώντας πιο δύσκολη την
    περιμετρικά δεδομένα.

Ανησυχείτε για το θέμα της εξόρυξης του γκρι; Έξι συστάσεις για προστασία:

  1. Διατηρήστε όλα τα λειτουργικά συστήματα ενημερωμένα
    Η διαχείριση ενημερώσεων κώδικα είναι πολύ σημαντική για την αποφυγή κακής χρήσης πόρων και μολύνσεων από κακόβουλο λογισμικό.
  2. Ελέγξτε την κυκλοφορία δικτύου και τους διακομιστή μεσολάβησης ιστού
    Κάντε αυτό για να εντοπίσετε ορισμένες επιθέσεις και για να αποτρέψετε ορισμένες από αυτές, μπορείτε να αποκλείσετε την κυκλοφορία με βάση πληροφορίες σχετικά με κακόβουλους τομείς ή να περιορίσετε τα περιττά κανάλια μετάδοσης δεδομένων.
  3. Χρησιμοποιήστε και συντηρήστε λύσεις προστασίας από ιούς και συστήματα ασφαλείας τελικού σημείου (Αλλά σε καμία περίπτωση μην περιοριστείτε στη χρήση μόνο αυτού του επιπέδου προστασίας).
    Τα προϊόντα Endpoint μπορούν να ανιχνεύσουν γνωστά cryptominers και να αποτρέψουν μολύνσεις προτού προκαλέσουν βλάβη στην απόδοση του συστήματος και στη χρήση ενέργειας. Λάβετε υπόψη ότι οι νέες τροποποιήσεις ή οι νέες μέθοδοι αποτροπής του εντοπισμού ενδέχεται να προκαλέσουν την αποτυχία της ασφάλειας τελικού σημείου να εντοπίσει νέες εκδόσεις του ίδιου κακόβουλου λογισμικού.
  4. Παρακολούθηση της δραστηριότητας της CPU του υπολογιστή
    Συνήθως, οι εξορύκτες κρυπτογράφησης χρησιμοποιούν τον κεντρικό επεξεργαστή ενός υπολογιστή για εξόρυξη. Είναι απαραίτητο να αναλύσετε τυχόν μηνύματα σχετικά με μείωση της απόδοσης ("Ο υπολογιστής μου άρχισε να επιβραδύνεται.").
  5. Παρακολούθηση DNS για ασυνήθιστη χρήση υπηρεσιών Dynamic DNS (όπως το DuckDNS)

    Αν και το DuckDNS και άλλες υπηρεσίες Dynamic DNS δεν είναι εγγενώς επιβλαβείς για το σύστημα, η χρήση του DuckDNS από κακόβουλο λογισμικό διευκόλυνε τις ερευνητικές μας ομάδες να εντοπίσουν μολυσμένους κεντρικούς υπολογιστές.

  6. Αναπτύξτε ένα σχέδιο αντιμετώπισης περιστατικών
    Βεβαιωθείτε ότι διαθέτετε τις απαραίτητες διαδικασίες για τέτοιου είδους περιστατικά για τον αυτόματο εντοπισμό, τον περιορισμό και τον μετριασμό της απειλής της εξόρυξης γκρι κρυπτονομισμάτων.

Σημείωση στους πελάτες του Βαρώνη.
Varonis DataAlert περιλαμβάνει μοντέλα απειλών που επιτρέπουν τον εντοπισμό κακόβουλου λογισμικού κρυπτοεξόρυξης. Οι πελάτες μπορούν επίσης να δημιουργήσουν προσαρμοσμένους κανόνες για τη στόχευση ανίχνευσης λογισμικού με βάση τομείς που είναι υποψήφιοι για μαύρη λίστα. Για να βεβαιωθείτε ότι χρησιμοποιείτε την πιο πρόσφατη έκδοση του DatAlert και ότι χρησιμοποιείτε τα σωστά μοντέλα απειλών, επικοινωνήστε με τον αντιπρόσωπο πωλήσεων ή την Υποστήριξη Varonis.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο