Varonis avastas krüptokaevandamise viiruse: meie uurimine

Meie küberjulgeoleku uurimisrühm uuris hiljuti võrku, mis oli peaaegu täielikult nakatunud keskmise suurusega ettevõtte krüptoviirusega. Analüüs
kogutud pahavara näidised näitasid, et leiti uus modifikatsioon
sellised viirused, nn Norman, kasutades erinevaid meetodeid selle olemasolu varjamiseks. Lisaks avastati interaktiivne veebikest, mis võib olla kaevandusettevõtjate jaoks asjakohane.

Uuringu ülevaade

• Ettevõte Varonis tuvastas laiaulatusliku krüptokaevurite nakatumise: peaaegu kõik ettevõtte serverid ja tööjaamad olid sellise tarkvaraga nakatunud.
• Alates esmasest nakatumisest rohkem kui aasta tagasi on modifikatsioonide ja nakatunud seadmete arv pidevalt kasvanud
• Avastasime uut tüüpi Monero krüptomeeri (Norman), mis kasutab erinevaid meetodeid, et varjata seda turvatarkvara analüüsi eest, et vältida tuvastamist.
• Enamik pahavara variante kasutas juhtimiskeskusega (C&C-serverid) ühenduse loomiseks ja konfiguratsiooniparameetrite hankimiseks või uute andmete saatmiseks DuckDNS-i (tasuta dünaamiline DNS-teenus).
• Norman on suure jõudlusega Monero krüptovaluuta kaevandaja, mis põhineb avatud lähtekoodiga kaevandajal - XMRig
• Meil ei ole veel ümberlükkamatuid tõendeid, mis seoksid krüptokaevureid interaktiivse PHP-kestaga. Siiski on põhjust arvata, et need pärinevad samalt ründajalt. Teadlased koguvad täiendavaid tõendeid sellise seose olemasolu või puudumise kohta.
• Selles artiklis saate tutvuda Varonise soovitustega kaitse kohta kaugveebi kestade ja krüptokaevurite eest

Uurimine

Uurimine algas järgmise pilootprojekti käigus Platvormid
küberturvalisus Varonis (Varonis Data Security Platform), mis võimaldas Interneti-päringute ajal (veebipuhverserveri kaudu) kiiresti tuvastada võrgu tasandil mitu kahtlast anomaalset sündmust, mis on seotud failisüsteemi anomaalsete toimingutega.
Klient juhtis kohe tähelepanu sellele, et meie Platvormi poolt tuvastatud seadmed
kuulus samadele kasutajatele, kes teatasid hiljuti rakenduste krahhidest ja võrgu aeglustumisest.

Meie meeskond uuris käsitsi kliendi keskkonda, liikudes ühest nakatunud jaamast teise vastavalt Varonise platvormi genereeritud hoiatustele. Intsidendile reageerimise meeskond on aastal välja töötanud erireegli DataAlert moodul aktiivselt kaevandavate arvutite tuvastamiseks, mis aitas ohu kiiresti kõrvaldada. Kogutud pahavara näidised saadeti kohtuekspertiisi- ja arendusmeeskondadele, kes andsid teada, et proovide edasine uurimine on vajalik.
Nakatunud sõlmed avastati nende tehtud kõnede tõttu DuckDNS, dünaamiline DNS-teenus, mis võimaldab selle kasutajatel luua oma domeeninimesid ja seostada need kiiresti muutuvate IP-aadressidega. Nagu eespool märgitud, pääses enamik intsidendi pahavarast juurde DuckDNS-ile, et luua ühendus juhtimiskeskusega (C&C), samas kui teised pääsesid juurde konfiguratsiooniparameetritele või saatsid uusi andmeid.

Peaaegu kõik serverid ja arvutid olid nakatunud pahavaraga. Peamiselt kasutatud
krüptokaevurite levinumad variandid. Muu pahavara hõlmas paroolide kustutamise tööriistu ja PHP kestasid, samas kui mitmed tööriistad olid töötanud mitu aastat.

Andsime tulemused kliendile, eemaldasime pahavara tema keskkonnast ja peatasime edasised nakatumised.

Kõigi avastatud krüptokaevurite proovide seas paistis silma üks. Me panime talle nime Norman.

Saage tuttavaks! Norman. Krüptokaevandaja

Norman on XMRig koodil põhinev suure jõudlusega Monero krüptovaluuta kaevandaja. Erinevalt teistest leitud kaevandusproovidest kasutab Norman tehnikaid, et varjata seda turvatarkvara analüüsi eest, et vältida tuvastamist ja vältida edasist levikut.

Esmapilgul on see pahavara tavaline kaevandaja, kes peidab end svchost.exe nime all. Uuringus leiti aga, et see kasutab avastamise eest peitmiseks ja asjade käigushoidmiseks huvitavamaid meetodeid.

Selle pahavara juurutamise protsessi saab jagada kolme etappi:

• esitus;
• rakendamine;
• kaevandamine.

Samm-sammult analüüs

1. etapp. Täitmine

Esimene etapp algab käivitatava failiga svchost.exe.

Pahavara on kompileeritud NSIS-i (Nullsoft Scriptable Install System) abil, mis on ebatavaline. NSIS on avatud lähtekoodiga süsteem, mida kasutatakse Windowsi installijate loomiseks. Sarnaselt SFX-iga loob see süsteem failide arhiivi ja skriptifaili, mis käivitatakse installiprogrammi töötamise ajal. Skriptifail ütleb programmile, milliseid faile käivitada, ja saab suhelda teiste arhiivis olevate failidega.

Märkus: NSIS-i skriptifaili hankimiseks käivitatavast failist peate kasutama 7zip versiooni 9.38, kuna hilisemad versioonid seda funktsiooni ei rakenda.

NSIS-i arhiveeritud pahavara sisaldab järgmisi faile:

• CallAnsiPlugin.dll, CLR.dll – NSIS-moodulid .NET DLL-i funktsioonide kutsumiseks;
• 5zmjbxUIOVQ58qPR.dll – peamine kasulik koormus DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt – kasulikud failid;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png on lihtsalt failid, mis ei ole kuidagi seotud edasise pahatahtliku tegevusega.

Allpool on toodud käsk NSIS-i skriptifailist, mis käivitab kasuliku koormuse.

Pahavara käivitatakse funktsiooni 5zmjbxUIOVQ58qPR.dll kutsumisega, mis võtab parameetritena muid faile.

2. etapp. Rakendamine

Peamine kasulik koormus on fail 5zmjbxUIOVQ58qPR.dll, nagu on näha ülaltoodud NSIS-i skriptist. Metaandmete kiire analüüs näitas, et DLL-i nimi oli algselt Norman.dll, seega andsime sellele nime.

DLL-fail on välja töötatud .NET-is ja on pöördprojekteerimise eest kaitstud kolmekordse hägustamise abil
kasutades tuntud kaubanduslikku toodet Agile .NET Obfuscator.

Täitmise ajal osalevad paljud enesesüstimise toimingud nii enda protsessis kui ka teistes protsessides. Sõltuvalt OS-i bitisügavusest teeb pahavara seda
valige süsteemikaustadesse erinevad teed ja käivitage erinevad protsessid.

Süsteemi kausta tee põhjal valib pahavara käitamiseks erinevaid protsesse.

Sisestatud kasulikul koormusel on kaks peamist funktsiooni: krüptomeeri käivitamine ja tuvastamise takistamine.

Kui OS on 64-bitine

Kui algne fail svchosts.exe (NSIS-fail) käivitatakse, loob see omaette uue protsessi ja sisestab sellesse kasuliku koormuse (1). Varsti pärast seda käivitab see faili notepad.exe või explorer.exe ja sisestab sellesse krüptomeeri (2).

Pärast seda suletakse algne fail svchost.exe ja uut faili svchost.exe kasutatakse kaevandusprotsessi jälgiva programmina.

Kui OS on 32-bitine

Kui algne fail svchosts.exe (NSIS-fail) töötab, dubleerib see oma protsessi ja sisestab sellesse kasuliku koormuse, nagu 64-bitine versioon.

Sel juhul sisestab pahavara kasuliku koormuse kasutaja explorer.exe protsessi. Sealt käivitab pahatahtlik kood uue protsessi (wuapp.exe või vchost.exe) ja süstib sellesse kaevandaja.

Pahavara varjab tõsiasja, et on end sisestanud explorer.exe-sse, kirjutades varem sisestatud koodi wuapp.exe tee ja tühjade väärtustega üle.

Nagu 64-bitises keskkonnas töötamisel, väljub algne svchost.exe protsess ja teist kasutatakse pahatahtliku koodi uuesti sisestamiseks explorer.exe-sse, kui kasutaja protsessi lõpetab.

Täitmisalgoritmi lõpus süstib pahavara alati krüptomineeri seaduslikku protsessi, mille ta käivitab.

Selle eesmärk on takistada tuvastamist, peatades kaevandaja, kui kasutaja käivitab tegumihalduri.

Pange tähele, et pärast tegumihalduri käivitamist lõpeb protsess wuapp.exe.

Pärast tegumihalduri sulgemist käivitab pahavara ikka ja jälle wuapp.exe protsessi
kaevandaja süstib selle sinna sisse.

Etapp 3. Kaevur

Mõelge ülalmainitud XMRig kaevandajale.

Pahavara süstib kaevandaja varjatud UPX-versiooni rakendustesse notepad, exe, explorer.exe,
svchost.exe või wuapp.exe, olenevalt OS-i bitisügavusest ja täitmisalgoritmi etapist.

Kaevandaja PE-päis on eemaldatud ja alloleval ekraanipildil näeme, et see on maskeeritud UPX-iga.

Pärast tõmmise loomist ja käivitatava faili taastamist saime selle käivitada:

Tuleb märkida, et juurdepääs XMR-i sihtsaidile on keelatud, mis neutraliseerib selle kaevandaja tõhusalt.

Kaevurite konfiguratsioon:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

Salapärane PHP kest edastab andmeid C&C-le

Selle uurimise käigus avastas meie kohtuekspertiisi meeskond XSL-faili, mis köitis nende tähelepanu. Pärast proovi põhjalikku analüüsi avastati uus PHP kest, mis ühendub pidevalt juhtimiskeskusega (C&C server).

Kliendi keskkonnas leiti mitmest serverist XSL-fail, mille käivitas teadaolev Windowsi käivitatav fail (mscorsv.exe) sysWOW64 kataloogis olevast kaustast.

Pahavarakausta nimi oli AutoRecover ja see sisaldas mitu faili:

• XSL-fail: xml.XSL
• üheksa DLL-faili

Käivitavad failid:

• Mscorsv.exe
• Wmiprvse.exe

XSL-fail

XSL-failid on stiililehed, mis on sarnased CSS-is kasutatavatele ja kirjeldavad XML-dokumendi kuvamist.

Notepadi abil tegime kindlaks, et see ei olnud tegelikult XSL-fail, vaid Zend Guardi poolt hägustatud PHP-kood. See uudishimulik fakt viitas sellele, et see nii oli
pahavara kasulik koormus selle täitmisalgoritmi alusel.

Üheksa DLL-i

XSL-faili esialgne analüüs viis järeldusele, et sellise numbri olemasolu
DLL-idel on teatud tähendus. Peakaust sisaldab DLL-i nimega php.dll ja veel kolme SSL-i ja MySQL-iga seotud teeki. Alamkaustadest leidsid eksperdid neli PHP teeki ja ühe Zend Guardi teegi. Kõik need on seaduslikud ja hangitud PHP installipaketist või väliste dll-failidena.

Selles etapis eeldati, et pahavara loodi PHP baasil ja Zend Guard hägusas.

Käivitavad failid

Ka selles kaustas oli kaks käivitatavat faili: Mscorsv.exe ja Wmiprvse.exe.

Pärast faili mscorsv.exe analüüsi tegime kindlaks, et Microsoft ei allkirjastanud seda, kuigi selle parameetri ProductName väärtuseks määrati „Microsoft. Net Framework".
Alguses tundus see lihtsalt imelik, kuid Wmiprvse.exe analüüsimine võimaldas meil olukorda paremini mõista.

Wmiprvse.exe fail oli samuti allkirjastamata, kuid sisaldas PHP rühma autoriõiguse sümbolit ja PHP ikooni. Kiire pilk selle ridadele paljastas PHP spikri käsud. Kui käivitati lülitiga -version, avastati, et see oli käivitatav fail, mis on mõeldud Zend Guardi käitamiseks.

Kui mscorsv.exe käivitati sarnasel viisil, kuvati ekraanil samad andmed. Võrdlesime nende kahe faili binaarandmeid ja nägime, et need on identsed, välja arvatud metaandmed
Autoriõigus ja ettevõtte nimi/toote nimi.

Selle põhjal järeldati, et XSL-fail sisaldas PHP-koodi, mis jooksis Zend Guard täitmisfaili kasutades, mis on peidetud nime mscorsv.exe alla.

XSL-faili sõelumine

Internetiotsingut kasutades hankisid spetsialistid kiiresti Zend Guardi deobfuskatsioonitööriista ja taastasid faili xml.XSL esialgse välimuse:

Selgus, et pahavara ise on PHP kest, mis on pidevalt ühenduses juhtimiskeskusega (C&C server).

Käsud ja väljund, mida see saadab ja vastu võtab, on krüpteeritud. Kuna meil oli lähtekood, oli meil olemas nii krüpteerimisvõti kui ka käsud.

See pahavara sisaldab järgmisi sisseehitatud funktsioone:

• Eval – kasutatakse tavaliselt koodis olemasolevate muutujate muutmiseks
• Kohaliku faili salvestamine
• Andmebaasiga töötamise võimalused
• PSEXEC-iga töötamise võimalused
• Varjatud täitmine
• Kaardistamisprotsessid ja -teenused

Järgmine muutuja viitab sellele, et pahavaral on mitu versiooni.

Proovide kogumisel avastati järgmised versioonid:

• 0.5f
• 0.4p
• 0.4o

Ainus funktsioon, mis tagab ründevara pideva olemasolu süsteemis, on see, et käivitamisel loob see teenuse, mis käivitab ennast ja selle nime
muutub versioonide lõikes.

Eksperdid püüdsid leida Internetist sarnaseid näidiseid ja avastasid pahavara
mis nende arvates oli olemasoleva valimi eelmine versioon. Kausta sisu oli sarnane, kuid XSL-fail oli erinev ja sellel oli erinev versiooninumber.

Parle-Vu pahavara?

Pahavara võis pärineda Prantsusmaalt või mõnest muust prantsuskeelsest riigist: SFX-failis olid prantsuskeelsed kommentaarid, mis viitasid sellele, et autor kasutas selle loomiseks WinRAR-i prantsuskeelset versiooni.

Lisaks nimetati mõned koodis olevad muutujad ja funktsioonid ka prantsuse keeles.

Täitmise jälgimine ja uute käskude ootamine

Eksperdid muutsid pahavara koodi ja käivitasid juba muudetud turvaliselt
versioon, et koguda teavet saadud käskude kohta.

Esimese suhtlusseansi lõpus nägid eksperdid, et pahavara sai EVAL64 käivitusklahvi argumendiks Base64 abil kodeeritud käsu.
See käsk dekodeeritakse ja täidetakse. See muudab mitut sisemist muutujat (lugemis- ja kirjutamispuhvri suurust), mille järel pahavara siseneb töötsüklisse ja ootab käske.

Hetkel uusi käske laekunud ei ole.

Interaktiivne PHP kest ja krüptominer: kas need on omavahel seotud?

Varonise spetsialistid pole kindlad, kas Norman on seotud PHP kestaga, kuna selle oletuse poolt ja vastu on tugevaid argumente:

Miks need võivad olla seotud?

• Ühelgi pahatahtliku krüptomineerimistarkvara näidisel ei olnud võimalust iseseisvalt teistesse süsteemidesse levida, kuigi neid leiti erinevates võrgusegmentides erinevatest seadmetest. Võimalik, et ründaja nakatas iga sõlme eraldi (kasutades võib-olla sama ründevektorit nagu patsiendi Zero nakatamisel), kuigi tõhusam oleks kasutada PHP-shelli, et levida kogu rünnaku sihtmärgiks olnud võrgus.
• Konkreetse organisatsiooni vastu suunatud suuremahulised sihitud automatiseeritud kampaaniad jätavad sageli maha tehnilisi artefakte või äratuntavaid küberjulgeolekuohtude jälgi. Sel juhul midagi sellist ei leitud.
• Nii Norman kui ka PHP kest kasutasid DuckDNS-i teenust.

Miks nad ei võiks olla seotud?

• Krüptomineeriva pahavara variantide ja PHP kesta vahel pole tehnilisi sarnasusi. Pahatahtlik krüptomineer on loodud C++ keeles ja kest on PHP-s. Samuti pole koodistruktuuris sarnasusi ja võrgufunktsioone rakendatakse erinevalt.
• Andmete vahetamiseks puudub otsene suhtlus pahavara variantide ja PHP kesta vahel.
• Nad ei jaga arendajate kommentaare, faile, metaandmeid ega digitaalseid sõrmejälgi.

Kolm soovitust eemal asuvate kestade eest kaitsmiseks

Pahavara, mille tööks on vaja käske juhtimiskeskuselt (C&C-serverid), pole nagu tavalised viirused. Tema tegevused ei ole nii etteaimatavad ja sarnanevad rohkem häkkeri või pentesteri tegevustega, mida tehakse ilma automatiseeritud tööriistade või skriptideta. Seetõttu on nende rünnakute tuvastamine ilma pahavara allkirjadeta keerulisem kui tavaline viirusetõrjekontroll.

Allpool on kolm soovitust ettevõtete kaitsmiseks kaugete kestade eest:

1. Hoidke kogu tarkvara ajakohasena
   Ründajad kasutavad sageli tarkvara ja operatsioonisüsteemide haavatavusi, et levida üle organisatsiooni võrgu ja otsida huvipakkuvaid andmeid, et
   vargus. Õigeaegne lappimine vähendab oluliselt selliste ohtude ohtu.
2. Jälgige anomaalseid andmetele juurdepääsu sündmusi
   Tõenäoliselt püüavad ründajad viia organisatsiooni konfidentsiaalseid andmeid väljaspool perimeetrit. Nendele andmetele anomaalsete juurdepääsusündmuste jälgimine võimaldab
   tuvastada ohustatud kasutajad ning kogu kaustade ja failide komplekt, mis võivad tegelikult sattuda ründajate kätte, ja mitte ainult käsitleda sellisena kõiki nendele kasutajatele saadaolevaid andmeid.
3. Jälgige võrguliiklust
   Tulemüüri ja/või puhverserveri kasutamine võib tuvastada ja blokeerida pahatahtlikud ühendused pahavara juhtimiskeskustega (C&C serverid), takistades ründajatel käskude täitmist ja raskendades
   perimeetri andmed.

Kas olete mures halli kaevandamise küsimuse pärast? Kuus soovitust kaitseks:

1. Hoidke kõik operatsioonisüsteemid ajakohasena
   Paigutuste haldamine on ressursside väärkasutamise ja pahavara nakatumise vältimiseks väga oluline.
2. Kontrollige võrguliiklust ja veebipuhverservereid
   Tehke seda mõne ründe tuvastamiseks ja mõnede rünnakute ärahoidmiseks võite liikluse blokeerida pahatahtlike domeenide teabe põhjal või piirata tarbetuid andmeedastuskanaleid.
3. Kasutage ja hooldage viirusetõrjelahendusi ja lõpp-punktide turvasüsteeme (Kuid ärge mingil juhul piirduge ainult selle kaitsekihi kasutamisega).
   Endpoint tooted suudavad tuvastada tuntud krüptokaevurid ja ennetada nakkusi enne, kui need kahjustavad süsteemi jõudlust ja energiatarbimist. Pange tähele, et uued muudatused või uued tuvastamist takistavad meetodid võivad põhjustada lõpp-punkti turvalisuse ebaõnnestumise sama pahavara uute versioonide tuvastamisel.
4. Jälgige arvuti protsessori aktiivsust
   Tavaliselt kasutavad krüptokaevurid kaevandamiseks arvuti keskprotsessorit. On vaja analüüsida kõiki jõudluse languse kohta ilmuvaid sõnumeid ("Minu arvuti on hakanud aeglustuma.").
5. Jälgige DNS-i dünaamiliste DNS-teenuste (nt DuckDNS) ebatavalise kasutamise suhtes

   Kuigi DuckDNS ja muud dünaamilised DNS-i teenused ei ole oma olemuselt süsteemile kahjulikud, muutis DuckDNS-i kasutamine pahavara poolt meie uurimismeeskondade jaoks lihtsamaks nakatunud hostide tuvastamise.

6. Töötage välja juhtumitele reageerimise plaan
   Veenduge, et teil on paigas vajalikud protseduurid selliste juhtumite automaatseks tuvastamiseks, ohjeldamiseks ja halli krüptokaevandamise ohu leevendamiseks.

Märkus Varonise klientidele.
Varonis DataAlert sisaldab ohumudeleid, mis võimaldavad tuvastada krüptomineerivat pahavara. Kliendid saavad luua ka kohandatud reegleid, et sihtida tarkvara tuvastamist domeenide alusel, mis on musta nimekirja kantud domeenid. Tagamaks, et kasutate DatAlerti uusimat versiooni ja kasutate õigeid ohumudeleid, võtke ühendust oma müügiesindaja või Varonise toega.

Allikas: www.habr.com