Varonis ûntduts in kryptominearjend firus: ús ûndersyk

Us cybersecurity-ûndersikenteam ûndersocht koartlyn in netwurk dat hast folslein ynfekteare wie mei in kryptominearjend firus by in middelgrutte bedriuw. Analyse
sammele malware-samples lieten sjen dat in nije modifikaasje fûn wie
sokke firussen, neamd norman, mei ferskate metoaden om syn oanwêzigens te ferbergjen. Boppedat waard it ûntdutsen ynteraktive web shell, dat kin wêze relevant foar mynbou operators.

Study Oersjoch

• It bedriuw Varonis hat in grutskalige ynfeksje mei kryptominers identifisearre: hast alle tsjinners en wurkstasjons yn it bedriuw waarden ynfekteare mei sokke software
• Sûnt de earste ynfeksje mear dan in jier lyn is it oantal oanpassingen en ynfekteare apparaten stadichoan tanommen
• Wy ûntdutsen in nij type Monero cryptominer (Norman) dy't ferskate metoaden brûkt om it te ferbergjen foar analyse troch feiligenssoftware om deteksje te foarkommen
• De measte malware-farianten brûkten DuckDNS (in fergese Dynamic DNS-tsjinst) om te ferbinen mei it kontrôlesintrum (C&C-tsjinners) en om konfiguraasjeparameters te krijen of nije gegevens te ferstjoeren
• Norman is in hege prestaasjes Monero cryptocurrency mynwurker basearre op de iepen boarne miner - XMRig
• Wy hawwe noch gjin ûnbestriden bewiis dat kryptominers ferbynt mei in ynteraktive PHP-shell. D'r binne lykwols goede redenen om te leauwen dat se fan deselde oanfaller komme. Undersikers sammelje ekstra bewiis foar de oan- of ôfwêzigens fan sa'n ferbining.
• Yn dit artikel kinne jo josels fertroud meitsje mei de oanbefellings fan Varonis oangeande beskerming tsjin webshells op ôfstân en kryptominers

Undersyk

It ûndersyk begûn by it folgjende pilotprojekt Platfoarms
cybersecurity Varonis (Varonis Data Security Platform), dat it mooglik makke om fluch identifisearje ferskate fertochte anomale eveneminten op it netwurk nivo tidens ynternet fersiken (fia in web proxy), assosjearre mei anomale aksjes op it triemsysteem.
De klant wiisde fuortendaliks op dat de apparaten identifisearre troch ús Platfoarm
hearde ta deselde brûkers dy't koartlyn rapportearre applikaasje crashes en netwurk slowdowns.

Us team ûndersocht de omjouwing fan 'e klant manuell, en ferhuze fan it iene ynfekteare stasjon nei it oare yn oerienstimming mei warskôgings generearre troch it Varonis-platfoarm. It ynsidint antwurd team hat ûntwikkele in spesjale regel yn DataAlert module om kompjûters te ûntdekken dy't aktyf mining wiene, wat holp de bedriging fluch te eliminearjen. Samples fan 'e sammele malware waarden stjoerd nei de forensyske en ûntwikkelingsteams, dy't advisearre dat fierder ûndersyk fan' e samples nedich wie.
Ynfekteare knooppunten waarden ûntdutsen fanwegen de oproppen dy't se makken DuckDNS, in dynamyske DNS-tsjinst wêrmei't har brûkers har eigen domeinnammen kinne meitsje en se fluch yn kaart bringe nei feroarjende IP-adressen. Lykas hjirboppe opmurken, hawwe de measte malware yn it ynsidint tagong ta DuckDNS om te ferbinen mei it kontrôlesintrum (C&C), wylst oaren tagong hawwe ta konfiguraasjeparameters of nije gegevens stjoerden.

Hast alle servers en kompjûters wiene ynfekteare mei malware. Benammen brûkt
mienskiplike farianten fan kryptominers. Oare malware omfette ark foar wachtwurddump en PHP-shells, wylst in oantal ark ferskate jierren wurke.

Wy hawwe de resultaten oan 'e klant levere, de malware út har omjouwing fuortsmiten en fierdere ynfeksjes stopje.

Under alle ûntdutsen samples fan kryptominers stie ien út. Wy neamden him norman.

Moetsje ús! Norman. Kryptominer

Norman is in hege prestaasjes Monero cryptocurrency mynwurker basearre op XMRig koade. Oars as oare miner-samples dy't fûn binne, brûkt Norman techniken om it te ferbergjen fan analyse troch befeiligingssoftware om deteksje te ûntkommen en fierdere fersprieding te foarkommen.

Op it earste each is dizze malware in reguliere miner dy't ûnder de namme svchost.exe ferberget. De stúdzje fûn lykwols dat it mear nijsgjirrige metoaden brûkt om te ferbergjen fan deteksje en dingen rinnen te hâlden.

It ynsetproses fan dizze malware kin wurde ferdield yn trije stadia:

• optreden;
• ymplemintaasje;
• mynbou.

Stap foar stap analyze

Stage 1. Utfiering

De earste etappe begjint mei de útfierbere triem svchost.exe.

De malware wurdt kompilearre mei NSIS (Nullsoft Scriptable Install System), wat ûngewoan is. NSIS is in iepen boarne systeem dat brûkt wurdt om ynstallearders te meitsjen. WindowsLykas SFX makket dit systeem in triemargyf en in skriptbestân dat útfierd wurdt tidens de útfiering fan it ynstallearprogramma. It skriptbestân fertelt it programma hokker triemmen it útfiere moat en kin ynteraksje hawwe mei oare triemmen yn it argyf.

Tink derom: Om in NSIS-skripttriem te krijen fan in útfierber bestân, moatte jo 7zip-ferzje 9.38 brûke, om't lettere ferzjes dizze funksje net ymplementearje.

De NSIS-argivearre malware befettet de folgjende bestannen:

• CallAnsiPlugin.dll, CLR.dll - NSIS modules foar in oprop .NET DLL funksjes;
• 5zmjbxUIOVQ58qPR.dll - wichtichste payload DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - payload triemmen;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png binne gewoan bestannen dy't op gjin inkelde manier relatearre binne oan fierdere kweade aktiviteit.

It kommando fan it NSIS-skripttriem dat de loadload útfiert wurdt hjirûnder jûn.

De malware wurdt útfierd troch de funksje 5zmjbxUIOVQ58qPR.dll op te roppen, dy't oare bestannen as parameter nimt.

Fase 2. Ymplemintaasje

It bestân 5zmjbxUIOVQ58qPR.dll is de wichtichste lading, sa't te sjen is fan it NSIS-skript hjirboppe. In flugge analyse fan 'e metadata die bliken dat de DLL oarspronklik Norman.dll waard neamd, dus wy neamden it dat.

It DLL-bestân is ûntwikkele yn .NET en wurdt beskerme tsjin reverse engineering troch triple obfuscation
mei help fan de bekende kommersjele produkt Agile .NET Obfuscator.

Tidens de útfiering binne in protte operaasjes fan sels-ynjeksje belutsen by har eigen proses, lykas yn oare prosessen. Ofhinklik fan 'e OS-bitdjipte sil de malware
selektearje ferskate paden nei systeemmappen en lansearje ferskate prosessen.

Op grûn fan it paad fan 'e systeemmap sil de malware ferskate prosessen kieze om te rinnen.

De ynjeksjede lading hat twa haadfunksjes: it útfieren fan in kryptominer en it foarkommen fan deteksje.

As it OS 64-bit is

As it orizjinele svchosts.exe-bestân (NSIS-bestân) wurdt útfierd, makket it in nij proses fan har eigen en ynjeksjet de lading (1) deryn. Koart dêrnei lanseart it notepad.exe of explorer.exe, en spuitet de kryptominer yn (2).

Hjirnei giet it orizjinele svchost.exe-bestân út, en it nije svchost.exe-bestân wurdt brûkt as in programma dat it minerproses kontrolearret.

As it OS 32-bit is

As it orizjinele svchosts.exe-bestân (it NSIS-bestân) rint, duplikearret it syn eigen proses en ynjeksjet de lading deryn, krekt as de 64-bit ferzje.

Yn dit gefal injects de malware in payload yn it explorer.exe-proses fan de brûker. Fan dêrút lanseart de kweade koade in nij proses (wuapp.exe of vchost.exe) en ynjeksje der in miner yn.

De malware ferberget it feit dat it himsels yn explorer.exe ynjeksje hat troch de earder ynjeksjede koade te oerskriuwen mei it paad nei wuapp.exe en lege wearden.

Lykas it gefal is by it útfieren fan in 64-bit omjouwing, giet it orizjinele svchost.exe-proses út, en de twadde wurdt brûkt om kweade koade opnij te ynjeksje yn explorer.exe as it proses wurdt beëinige troch de brûker.

Oan 'e ein fan it útfieringsalgoritme ynjeksje de malware altyd in kryptominer yn it legitime proses dat it lanseart.

It is ûntworpen om deteksje te foarkommen troch de miner te beëinigjen as de brûker Task Manager start.

Tink derom dat nei it starten fan Task Manager, it proses wuapp.exe einiget.

Nei it sluten fan de taakbehearder begjint de malware it wuapp.exe-proses hieltyd wer
de mynwurker spuitet it deryn.

Stage 3. Miner

Beskôgje de hjirboppe neamde XMRig-miner.

De malware ynjeksje in ferklaaide UPX-ferzje fan 'e miner yn notepad, exe, explorer.exe,
svchost.exe of wuapp.exe, ôfhinklik fan de OS-bitdjipte en it stadium fan it útfieringsalgoritme.

De PE-koptekst yn 'e miner is fuortsmiten en yn' e skermôfbylding hjirûnder kinne wy ​​​​sjen dat it is maskere mei UPX.

Nei it meitsjen fan in dump en it opnij opbouwen fan it útfierbere, koene wy ​​it útfiere:

It moat opmurken wurde dat tagong ta de doel XMR-side wurdt wegere, wat dizze miner effektyf neutralisearret.

Miner konfiguraasje:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

Mysterieuze PHP-shell dy't gegevens trochjaan oan C&C

Tidens dit ûndersyk ûntduts ús forensysk team in XSL-bestân dy't har oandacht pakt. Nei in yngeande analyze fan 'e stekproef waard in nije PHP-shell ûntdutsen dy't konstant oanslút op it kontrôlesintrum (C&C-tsjinner).

In XSL-bestân waard fûn op meardere servers yn 'e omjouwing fan' e klant dat útfierd waard troch in bekend útfierber bestân. Windows (mscorsv.exe) út in map yn 'e sysWOW64-map.

De malware-map waard AutoRecover neamd en befette ferskate triemmen:

• XSL triem: xml.XSL
• njoggen DLL-bestannen

Utfierbere triemmen:

• Mscorsv.exe
• Wmiprvse.exe

XSL triem

XSL-bestannen binne stylblêden, fergelykber mei dy brûkt yn CSS, dy't beskriuwe hoe't jo in XML-dokumint sjen kinne.

Mei help fan Notepad hawwe wy bepaald dat it yn feite net in XSL-bestân wie, mar earder PHP-koade dy't troch Zend Guard obfuscearre is. Dit nijsgjirrige feit suggerearre dat it wie
payload fan malware basearre op syn útfieringsalgoritme.

Njoggen DLL's

Inisjele analyze fan de XSL triem late ta de konklúzje dat de oanwêzigens fan sa'n nûmer
DLL's hawwe in bepaalde betsjutting. De haadmap befettet in DLL neamd php.dll en trije oare biblioteken yn ferbân mei SSL en MySQL. Yn 'e submappen fûnen saakkundigen fjouwer PHP-biblioteken en ien Zend Guard-bibleteek. Allegear binne legitime, en wurde krigen fan it PHP-ynstallaasjepakket of as eksterne dll's.

Op dit poadium waard oannommen dat de malware waard makke op basis fan PHP en obfuscated troch Zend Guard.

Útfierbere triemmen

Ek yn dizze map wiene d'r twa útfierbere bestannen: Mscorsv.exe en Wmiprvse.exe.

Nei it analysearjen fan it mscorsv.exe-bestân, hawwe wy bepaald dat it net waard tekene troch Microsoft, hoewol syn ProductName-parameter wie ynsteld op "Microsoft. Net Framework".
Earst like it gewoan frjemd, mar it analysearjen fan Wmiprvse.exe liet ús de situaasje better begripe.

It Wmiprvse.exe-bestân wie ek net ûndertekene, mar befette in PHP-groep copyright-symboal en in PHP-ikoan. In rappe blik op syn rigels iepenbiere kommando's fan 'e PHP-help. Doe't útfierd mei de -version-skeakel, waard ûntdutsen dat it in útfierber bestân wie ûntworpen om Zend Guard út te fieren.

Doe't mscorsv.exe op in fergelykbere manier waard lansearre, waarden deselde gegevens werjûn op it skerm. Wy fergelike de binêre gegevens fan dizze twa bestannen en seagen dat se identyk binne, útsein de metadata
Copyright en bedriuwsnamme / produktnamme.

Op grûn dêrfan waard konkludearre dat it XSL-bestân PHP-koade befette dy't rûn mei it útfierbere bestân fan Zend Guard, ferburgen ûnder de namme mscorsv.exe.

It parsearjen fan it XSL-bestân

Mei help fan in sykaksje op it ynternet krigen spesjalisten fluch it Zend Guard deobfuscation-ark en restaurearre it orizjinele uterlik fan it xml.XSL-bestân:

It die bliken dat de malware sels in PHP-shell is dy't konstant ferbûn is mei it kontrôlesintrum (C&C-tsjinner).

De kommando's en útfier dy't it ferstjoert en ûntfangt binne fersifere. Sûnt wy de boarnekoade hiene, hienen wy sawol de fersiferingskaai as de kommando's.

Dizze malware befettet de folgjende ynboude funksjonaliteit:

• Eval - Typysk brûkt om besteande fariabelen yn koade te feroarjen
• Lokale triem opname
• Mooglikheden om te wurkjen mei de databank
• Mooglikheden fan wurkjen mei PSEXEC
• Ferburgen útfiering
• Mapping prosessen en tsjinsten

De folgjende fariabele suggerearret dat de malware meardere ferzjes hat.

By it sammeljen fan samples waarden de folgjende ferzjes ûntdutsen:

• 0.5f
• 0.4p
• 0.4o

De ienige funksje fan it garandearjen fan de konstante oanwêzigens fan malware op it systeem is dat as it wurdt útfierd, it in tsjinst makket dy't himsels útfiert, en syn namme
feroaret fan ferzje nei ferzje.

Eksperts besochten ferlykbere samples op it ynternet te finen en ûntdutsen malware
dy't, yn harren miening, wie in eardere ferzje fan de besteande stekproef. De ynhâld fan 'e map wie ferlykber, mar it XSL-bestân wie oars en hie in oar ferzjenûmer.

Parle-Vu Malware?

De malware kin ûntstien wêze yn Frankryk of in oar Frânsktalich lân: it SFX-bestân hie opmerkingen yn it Frânsk, wat oanjout dat de skriuwer in Frânske ferzje fan WinRAR brûkte om it te meitsjen.

Boppedat waarden guon fariabelen en funksjes yn 'e koade ek yn it Frânsk neamd.

Kontrolearje útfiering en wachtsje op nije kommando's

Eksperts hawwe de malware-koade oanpast en de al wizige feilich lansearre
ferzje om ynformaasje te sammeljen oer de kommando's dy't it ûntfongen is.

Oan 'e ein fan' e earste kommunikaasje sesje seagen saakkundigen dat de malware in kommando krige mei Base64 kodearre as argumint foar de EVAL64-startkaai.
Dit kommando wurdt dekodearre en útfierd. It feroaret ferskate ynterne fariabelen (lês- en skriuwbuffergrutte), wêrnei't de malware yn in wurksyklus komt te wachtsjen op kommando's.

Op it stuit binne gjin nije kommando's ûntfongen.

Ynteraktive PHP-shell en kryptominer: binne se besibbe?

Varonis-spesjalisten binne net wis oft Norman ferbûn is mei in PHP-shell, om't d'r sterke arguminten binne sawol foar as tsjin dizze oanname:

Wêrom kinne se besibbe wêze?

• Gjin fan 'e kweade kryptominearjende software-samples hie de mooglikheid om selsstannich te fersprieden nei oare systemen, hoewol se waarden fûn op ferskate apparaten yn ferskate netwurksegminten. It is mooglik dat de oanfaller elke knooppunt apart ynfekteare (miskien mei deselde oanfalsvektor as by it ynfektearjen fan Patient Zero), hoewol it effektiver wêze soe om in PHP-shell te brûken om te fersprieden oer it netwurk dat it doel fan 'e oanfal wie.
• Grutskalige, rjochte automatisearre kampanjes rjochte tsjin in spesifike organisaasje litte faak technyske artefakten of werkenbere spoaren fan bedrigings foar cyberfeiligens efter. Yn dit gefal is neat fan it soarte fûn.
• Sawol Norman as de PHP-shell brûkten de DuckDNS-tsjinst.

Wêrom binne se miskien net besibbe?

• D'r binne gjin technyske oerienkomsten tusken de kryptominearjende malwarefarianten en de PHP-shell. De kweade kryptominer is makke yn C ++, en de shell is yn PHP. Ek binne d'r gjin oerienkomsten yn 'e koadestruktuer, en de netwurkfunksjes wurde oars útfierd.
• D'r is gjin direkte kommunikaasje tusken de malware-farianten en de PHP-shell om gegevens te wikseljen.
• Se diele gjin kommentaar fan ûntwikkelders, bestannen, metadata of digitale fingerprinten.

Trije oanbefellings foar beskerming tsjin skulpen op ôfstân

Malware, dy't kommando's fan it kontrôlesintrum (C&C-tsjinners) fereasket om te operearjen, is net as gewoane firussen. Syn aksjes binne net sa foarsisber en sille mear lykje op de aksjes fan in hacker of pentester útfierd sûnder automatisearre ark of skripts. Dêrom is it opspoaren fan dizze oanfallen sûnder malware-hantekeningen útdaagjender dan gewoane antivirus-scannen.

Hjirûnder binne trije oanbefellings foar it beskermjen fan bedriuwen tsjin shells op ôfstân:

1. Hâld alle software by de tiid
   Oanfallers brûke faak kwetsberens yn software en bestjoeringssystemen om te fersprieden oer it netwurk fan in organisaasje en sykje nei gegevens fan belang om
   stellerij. Tidige patching ferleget it risiko fan sokke bedrigingen signifikant.
2. Monitor abnormale gegevens tagong eveneminten
   Meast wierskynlik sille oanfallers besykje de fertroulike gegevens fan 'e organisaasje bûten de perimeter te nimmen. It kontrolearjen fan abnormale tagongseveneminten ta dizze gegevens sil tastean
   detect kompromittearre brûkers en de hiele set fan mappen en bestannen dy't eins yn 'e hannen fan oanfallers kinne falle, en beskôgje net allinich as sadanich alle gegevens beskikber foar dizze brûkers.
3. Monitor netwurk ferkear
   It brûken fan in firewall en/of proxy-tsjinner kin kweade ferbiningen mei malware-kontrôlesintra (C&C-tsjinners) detektearje en blokkearje, foarkomme dat oanfallers kommando's útfiere en it dreger makket om
   perimeter gegevens.

Soargen oer de kwestje fan grize mynbou? Seis oanbefellings foar beskerming:

1. Hâld alle bestjoeringssystemen by de tiid
   Patchbehear is heul wichtich om misbrûk fan boarnen en malware-ynfeksjes te foarkommen.
2. Kontrolearje netwurkferkear en webproxies
   Doch dit om guon oanfallen te detektearjen, en om guon fan harren te foarkommen kinne jo ferkear blokkearje op basis fan ynformaasje oer kweade domeinen of ûnnedige gegevensferfierkanalen beheine.
3. Brûk en ûnderhâlde antyvirusoplossingen en einpuntbefeiligingssystemen (Mar josels net beheine ta it brûken fan krekt dizze laach fan beskerming).
   Einpuntprodukten kinne bekende kryptominers detektearje en ynfeksjes foarkomme foardat se skea feroarsaakje oan systeemprestaasjes en enerzjygebrûk. Wês asjebleaft bewust dat nije oanpassings of nije metoaden foar it foarkommen fan deteksje kinne feroarsaakje dat einpuntbefeiliging mislearret om nije ferzjes fan deselde malware te ûntdekken.
4. Monitor kompjûter CPU aktiviteit
   Typysk brûke krypto-miners de sintrale prosessor fan in komputer foar mynbou. It is needsaaklik om alle berjochten te analysearjen oer in fermindering fan prestaasjes ("Myn kompjûter is begon te fertrage.").
5. Monitor DNS foar ûngewoan gebrûk fan dynamyske DNS-tsjinsten (lykas DuckDNS)

   Hoewol DuckDNS en oare dynamyske DNS-tsjinsten net ynherent skealik binne foar it systeem, makke it gebrûk fan DuckDNS troch malware it makliker foar ús ûndersiiksteams om ynfekteare hosts te ûntdekken.

6. Untwikkelje in Incident Response Plan
   Soargje derfoar dat jo de nedige prosedueres yn plak hawwe foar sokke ynsidinten om de bedriging fan grize krypto-mynbou automatysk te ûntdekken, te befetsjen en te ferminderjen.

Opmerking oan klanten fan Varonis.
Varonis DataAlert omfettet bedrigingsmodellen dy't de detectie fan cryptomining malware ynskeakelje. Klanten kinne ek oanpaste regels oanmeitsje om softwaredeteksje te rjochtsjen op basis fan domeinen dy't kandidaten binne foar blacklisting. Om te soargjen dat jo de lêste ferzje fan DatAlert útfiere en de juste bedrigingsmodellen brûke, nim dan kontakt op mei jo ferkeapfertsjintwurdiger of Varonis Support.

Boarne: www.habr.com