🥇Varonis обнаружил криптомайнинговый вирус: наше расследование

Ƙungiyar binciken mu ta yanar gizo kwanan nan ta binciki hanyar sadarwar da ta kusan kamuwa da ƙwayar cuta ta cryptomining a wani babban kamfani. Bincike
samfuran malware da aka tattara sun nuna cewa an sami sabon gyara
irin wadannan ƙwayoyin cuta, da ake kira Norman, ta hanyar amfani da hanyoyi daban-daban na boye kasancewarsa. Bugu da kari, an gano shi m harsashi na yanar gizo, wanda zai iya dacewa da masu aikin hakar ma'adinai.

Bayanin Nazari

Kamfanin Varonis ya gano babban kamuwa da cuta tare da cryptominers: kusan dukkanin sabobin da wuraren aiki a cikin kamfanin sun kamu da irin wannan software.
Tun farkon kamuwa da cuta fiye da shekara guda da ta wuce, adadin gyare-gyare da na'urorin da suka kamu da cutar sun karu akai-akai
Mun gano wani sabon nau'in Monero cryptominer (Norman) wanda ke amfani da hanyoyi daban-daban don ɓoye shi daga bincike ta hanyar software na tsaro don guje wa ganowa.
Yawancin bambance-bambancen malware sun yi amfani da DuckDNS (sabis na DNS na Dynamic kyauta) don haɗawa zuwa cibiyar sarrafawa (sabar C&C) da samun sigogin sanyi ko aika sabbin bayanai
Norman babban mai hakar ma'adinai ne na Monero cryptocurrency bisa tushen buɗaɗɗen ma'adinai - XMRig
Har yanzu ba mu da shaidar da ba za ta iya warwarewa ba wacce ke haɗa cryptominers tare da harsashi na PHP mai mu'amala. Duk da haka, akwai dalilai masu kyau na yarda cewa sun fito daga maharin guda ɗaya. Masu bincike suna tattara ƙarin shaida don kasancewar ko rashin irin wannan haɗin.
В данной статье вы можете ознакомиться с рекомендациями компании Varonis относительно защиты от удаленных веб-шеллов и криптомайнеров

Bincike

An fara binciken ne yayin aikin gwaji na gaba Kayan aiki
кибербезопасности Varonis (Varonis Data Security Platform), wanda ya ba da damar gano abubuwan da ba a sani ba da sauri a matakin cibiyar sadarwa yayin buƙatun Intanet (ta hanyar wakili na yanar gizo), waɗanda ke da alaƙa da abubuwan ban mamaki akan tsarin fayil.
Nan da nan abokin ciniki ya nuna cewa na'urorin da Platform ɗinmu suka gano
na masu amfani iri ɗaya ne waɗanda kwanan nan suka ba da rahoton faɗuwar aikace-aikacen da raguwar hanyar sadarwa.

Ƙungiyarmu ta bincika mahallin abokin ciniki da hannu, ta ƙaura daga wannan tashar cutar zuwa wani daidai da faɗakarwar da Dandalin Varonis ya haifar. Tawagar masu amsa lamarin sun samar da wata doka ta musamman a ciki DataAlert module don gano kwamfutocin da ke aikin hakar ma'adinai, wanda ya taimaka da sauri kawar da barazanar. An aika da samfurori na malware da aka tattara zuwa ga masu bincike da ƙungiyoyin ci gaba, waɗanda suka ba da shawarar cewa ƙarin gwajin samfuran ya zama dole.
An gano nodes da suka kamu da cutar saboda kiran da suka yi DuckDNS, Sabis na DNS mai ƙarfi wanda ke ba masu amfani da shi damar ƙirƙirar sunayen yankin nasu da sauri taswirar su don canza adiresoshin IP. Kamar yadda aka gani a sama, yawancin malware a cikin abin da ya faru sun sami damar shiga DuckDNS don haɗawa zuwa cibiyar kulawa (C&C), yayin da wasu suka sami damar daidaita sigogi ko aika sabbin bayanai.

Kusan duk sabar da kwamfutoci sun kamu da malware. Anfi amfani dashi
распространенные варианты криптомайнеров. Другими вредоносами были также средства создания дампов паролей, PHP-шеллы, при этом ряд инструментов работал уже на протяжении нескольких лет.

Мы предоставили полученные результаты заказчику, удалили вредоносное ПО из их среды, и прекратили дальнейшее заражение.

Среди всех обнаруженных образцов криптомайнеров особняком стоял один. Его мы назвали Norman.

Haɗu! Norman. Cryptominer

Norman представляет собой высокопроизводительный майнер криптовалюты Monero на основе кода XMRig. В отличие от других найденных образцов майнеров, Norman использует способы сокрытия его от анализа защитным ПО, чтобы избежать обнаружения и предотвращения дальнейшего распространения.

A kallon farko, wannan malware ma'adanin ma'adinai ne na yau da kullun da ke ɓoye a ƙarƙashin sunan svchost.exe. Duk da haka, binciken ya gano cewa yana amfani da hanyoyi masu ban sha'awa don ɓoyewa daga ganowa da kuma ci gaba da gudana.

Ana iya raba tsarin tura wannan malware zuwa matakai uku:

aiki;
внедрение;
hakar ma'adinai.

Binciken mataki-mataki

Mataki na 1. Kisa

Mataki na farko yana farawa da fayil ɗin aiwatarwa svchost.exe.

An haɗa malware ta amfani da NSIS (Nullsoft Scriptable Install System), wanda ba a saba gani ba. NSIS tsarin budadden tushe ne da ake amfani da shi don ƙirƙirar masu shigar da Windows. Kamar SFX, wannan tsarin yana ƙirƙirar tarin fayiloli da fayil ɗin rubutun da aka kashe yayin da mai sakawa ke gudana. Fayil ɗin rubutun yana gaya wa shirin abin da fayiloli zai gudana kuma zai iya hulɗa tare da wasu fayiloli a cikin ma'ajin.

Note: Чтобы получить файл сценария NSIS из исполняемого файла, необходимо использовать 7zip версии 9.38, так как в более поздних версиях данная функция не реализована.

NSIS da aka adana malware ya ƙunshi fayiloli masu zuwa:

CallAnsiPlugin.dll, CLR.dll — модули NSIS для вызова функций .NET DLL;
5zmjbxUIOVQ58qPR.dll - babban kaya DLL;
4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt — файлы полезной нагрузки;
Retreat.mp3, Cropped_controller_config_controller_i_lb.png fayiloli ne kawai waɗanda ba su da alaƙa da ƙarin ayyukan mugunta.

An ba da umarnin daga fayil ɗin rubutun NSIS wanda ke gudanar da aikin biya a ƙasa.

Ana aiwatar da malware ta hanyar kiran aikin 5zmjbxUIOVQ58qPR.dll, wanda ke ɗaukar wasu fayiloli azaman sigogi.

Mataki na 2. Aiwatarwa

Fayil ɗin 5zmjbxUIOVQ58qPR.dll shine babban abin biya, kamar yadda ake iya gani daga rubutun NSIS na sama. Bincike mai sauri na metadata ya nuna cewa asalin sunan DLL Norman.dll ne, don haka muka sanya masa suna.

An haɓaka fayil ɗin DLL a cikin .NET kuma ana kiyaye shi daga juyar da aikin injiniya ta hanyar ɓarna sau uku
ta amfani da sanannen samfurin kasuwanci Agile .NET Obfuscator.

A lokacin kisa, yawancin ayyuka na allurar kai suna shiga cikin tsarin nata, da kuma a cikin wasu matakai. Dangane da zurfin OS bit, malware zai
выбирать разные пути к системным папкам и запускать разные процессы.

На основании пути к системной папке вредоносное ПО будет выбирать разные процессы для запуска.

Matsakaicin nauyin allurar yana da manyan ayyuka guda biyu: aiwatar da cryptominer da hana ganowa.

Idan OS shine 64-bit

Lokacin da aka aiwatar da ainihin fayil ɗin svchosts.exe (fayil ɗin NSIS), zai ƙirƙiri sabon tsari na kansa kuma yana shigar da abin biya (1) a ciki. Ba da daɗewa ba, yana ƙaddamar da notepad.exe ko explorer.exe, kuma yana shigar da cryptominer a ciki (2).

Bayan haka, ainihin fayil ɗin svchost.exe yana fita, kuma ana amfani da sabon fayil ɗin svchost.exe azaman shirin da ke lura da tsarin ma'adinai.

Idan OS shine 32-bit

Lokacin da ainihin fayil ɗin svchosts.exe (fayil ɗin NSIS) ya gudana, yana kwafi nasa tsarin kuma yana shigar da nauyin biyan kuɗi a ciki, kamar sigar 64-bit.

A wannan yanayin, malware yana shigar da kayan aiki a cikin tsarin mai amfani na explorer.exe. Daga can, lambar ƙeta ta ƙaddamar da sabon tsari (wuapp.exe ko vchost.exe) kuma ta shigar da mai hakar ma'adinai a ciki.

Malware yana ɓoye gaskiyar cewa ta cusa kanta cikin Explorer.exe ta hanyar sake rubuta lambar allurar da aka yi a baya tare da hanyar wuapp.exe da ƙimar komai.

Kamar yadda lamarin yake a yayin da yake gudana a cikin yanayin 64-bit, ainihin tsarin svchost.exe yana fita, kuma ana amfani da na biyu don sake shigar da lambar ɓarna a cikin explorer.exe idan mai amfani ya ƙare aikin.

В конце алгоритма выполнения вредоносное ПО всегда внедряет криптомайнер в запускаемый им легитимный процесс.

An tsara shi don hana ganowa ta hanyar ƙare mai hakar ma'adinai lokacin da mai amfani ya ƙaddamar da Task Manager.

Lura cewa bayan fara Task Manager, aikin wuapp.exe ya ƙare.

Bayan rufe mai sarrafa ɗawainiya, malware ɗin yana fara aikin wuapp.exe akai-akai
внедряет в него майнер.

Mataki na 3. Miner

Yi la'akari da ma'adinan XMRig da aka ambata a sama.

Вредоносное ПО внедряет замаскированную UPX версию майнера в notepad,exe, explorer.exe,
svchost.exe или wuapp.exe, в зависимости от разрядности ОС и стадии алгоритма выполнения.

An cire shugaban PE a cikin ma'adinai kuma a cikin hoton da ke ƙasa za mu iya ganin cewa an rufe shi da UPX.

Bayan ƙirƙirar juji da sake gina abin aiwatarwa, mun sami damar gudanar da shi:

Ya kamata a lura cewa an hana samun damar zuwa wurin da aka yi niyya na XMR, wanda ke kawar da wannan mai hakar ma'adinan yadda ya kamata.

Tsarin ma'adinai:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

Загадочный PHP-шелл, передающий данные в C&C

A yayin wannan binciken, ƙungiyar mu ta forensics ta gano wani fayil na XSL wanda ya dauki hankalinsu. Bayan bincike mai zurfi na samfurin, an gano sabon harsashi na PHP wanda koyaushe yana haɗi zuwa cibiyar kulawa (Sabar C&C).

На нескольких серверах в среде заказчика был найден файл XSL, запускаемый известным исполняемым файлом Windows (mscorsv.exe) из папки в каталоге sysWOW64.

An kira babban fayil ɗin malware AutoRecover kuma yana ƙunshe fayiloli da yawa:

XSL fayil: xml.XSL
девять файлов DLL

Fayilolin da za a iya aiwatarwa:

Msorsv.exe
Wmiprvse.exe

Файл XSL

Fayilolin XSL zanen gado ne, kama da waɗanda aka yi amfani da su a cikin CSS, waɗanda ke bayyana yadda ake nuna takaddar XML.

Используя Блокнот, мы установили, что на самом деле это был не файл XSL, а обфусцированный Zend Guard код PHP. Этот любопытный факт позволил предположить, что это
kayan aikin malware bisa ga aiwatar da algorithm.

DLL tara

Binciken farko na fayil na XSL ya kai ga ƙarshe cewa kasancewar irin wannan lambar
DLLs suna da wata ma'ana. Babban fayil ɗin ya ƙunshi DLL mai suna php.dll da wasu ɗakunan karatu guda uku masu alaƙa da SSL da MySQL. A cikin manyan manyan fayiloli, masana sun samo ɗakunan karatu na PHP guda huɗu da ɗakin karatu na Zend Guard guda ɗaya. Dukkansu halal ne, kuma ana samun su daga kunshin shigarwa na PHP ko azaman dlls na waje.

A wannan mataki, an ɗauka cewa an ƙirƙiri malware bisa tushen PHP kuma Zend Guard ya ɓoye shi.

Fayilolin da za a iya aiwatarwa

Hakanan a cikin wannan babban fayil ɗin akwai fayilolin aiwatarwa guda biyu: Mscorsv.exe da Wmiprvse.exe.

Проанализировав файл mscorsv.exe, мы установили, что он не был подписан корпорацией Майкрософт, хотя его параметр ProductName имел значение «Microsoft. Net Framework».
Da farko kamar baƙon abu ne, amma nazarin Wmiprvse.exe ya ba mu damar fahimtar yanayin da kyau.

Fayil ɗin Wmiprvse.exe shima ba a sanya hannu ba, amma ya ƙunshi alamar haƙƙin mallaka na rukunin PHP da gunkin PHP. Duban sauri kan layin sa ya bayyana umarni daga taimakon PHP. Lokacin da aka kashe shi tare da sauyawa -version, an gano cewa fayil ne mai aiwatarwa wanda aka tsara don gudanar da Zend Guard.

Lokacin da aka ƙaddamar da mscorsv.exe ta irin wannan hanya, an nuna bayanai iri ɗaya akan allon. Mun kwatanta bayanan binary na waɗannan fayiloli guda biyu kuma mun ga cewa sun yi kama da juna, sai ga metadata
Haƙƙin mallaka da Sunan Kamfani / Sunan samfur.

Dangane da wannan, an kammala cewa fayil ɗin XSL ya ƙunshi lambar PHP wanda ke gudana ta amfani da fayil ɗin Zend Guard mai aiwatarwa, ɓoye ƙarƙashin sunan mscorsv.exe.

Разбор файла XSL

Ta yin amfani da binciken Intanet, ƙwararru cikin sauri sun sami kayan aikin ɓoye bayanan Zend Guard kuma sun maido da ainihin bayyanar fayil ɗin xml.XSL:

Ya juya cewa malware kanta wani harsashi ne na PHP wanda ake haɗa shi akai-akai zuwa cibiyar kulawa (Server C&C).

Umurnai da fitarwar da yake aikawa da karɓa an ɓoye su. Tunda muna da lambar tushe, muna da maɓallin ɓoyewa da kuma umarni.

Wannan malware ya ƙunshi ginannen ayyuka masu zuwa:

Eval - Yawanci ana amfani dashi don gyara masu canji a cikin lamba
Rikodin fayil ɗin gida
Yiwuwar aiki tare da bayanan bayanai
Yiwuwar aiki tare da PSEXEC
Скрытое выполнение
Tsarin Taswira da Sabis

Maɓallin mai zuwa yana nuna cewa malware yana da nau'ikan nau'ikan iri.

При сборе образцов были обнаружены следующие версии:

0.5f
0.4p
0.4o

Iyakar aikin tabbatar da kasancewar malware akai-akai akan tsarin shine idan an kashe shi, yana ƙirƙirar sabis ɗin da ke aiwatar da kansa, da sunan sa.
изменяется от версии к версии.

Masana sun yi ƙoƙarin nemo irin waɗannan samfuran akan Intanet kuma sun gano malware
которое, на их взгляд, было предыдущей версией имеющегося образца. Содержимое папки было схожим, но файл XSL отличался, и в нем был указан другой номер версии.

Parle-Vu Malware?

Ƙila malware ya samo asali daga Faransa ko wata ƙasa mai magana da Faransanci: fayil ɗin SFX yana da sharhi a cikin Faransanci, yana nuna cewa marubucin ya yi amfani da WinRAR na Faransanci don ƙirƙirar shi.

Haka kuma, wasu masu canji da ayyuka a cikin lambar an kuma sanya sunansu cikin Faransanci.

Наблюдение за выполнением и ожидание новых команд

Masana sun gyara lambar malware kuma sun ƙaddamar da wanda aka riga aka gyara cikin aminci
sigar don tattara bayanai game da umarnin da aka karɓa.

A ƙarshen zaman sadarwar farko, ƙwararru sun ga cewa malware ɗin sun karɓi umarnin da aka sanya ta amfani da Base64 azaman hujja don maɓallin ƙaddamar da EVAL64.
An yanke wannan umarni kuma an aiwatar da shi. Yana canza masu canji na ciki da yawa (karantawa da rubuta girman buffer), bayan haka malware yana shiga tsarin aiki yana jiran umarni.

На данный момент новые команды не поступали.

Интерактивный PHP-шелл и криптомайнер: связаны ли они между собой?

Специалисты Varonis не уверены, связан ли Norman с PHP-шеллом, так как существуют весомые аргументы как «за», так и «против» данного предположения:

Me yasa za'a iya danganta su?

Babu ɗayan samfuran software na cryptomining na mugunta da ke da ikon yada kansa zuwa wasu tsarin, kodayake an same su akan na'urori daban-daban a sassan cibiyar sadarwa daban-daban. Mai yiyuwa ne maharin ya kamu da kowane kumburi daban (wataƙila yana amfani da vector iri ɗaya kamar lokacin da ya kamu da cutar Zero), ko da yake zai fi tasiri a yi amfani da harsashi na PHP don yaduwa cikin hanyar sadarwar da aka kai hari.
Manya-manyan yaƙin neman zaɓe da aka yi niyya akan wata ƙungiya ta musamman galibi suna barin kayan fasaha ko alamun barazanar tsaro ta yanar gizo. A wannan yanayin, ba a sami wani abu irin wannan ba.
Как Norman, так и PHP-шелл использовали сервис DuckDNS.

Me yasa baza su kasance da alaƙa ba?

Babu kamanni na fasaha tsakanin bambance-bambancen malware na cryptomining da harsashi na PHP. An ƙirƙiri malicic cryptominer a cikin C++, kuma harsashi yana cikin PHP. Hakanan, babu kamanni a cikin tsarin lambar, kuma ana aiwatar da ayyukan cibiyar sadarwa daban.
Babu sadarwa kai tsaye tsakanin bambance-bambancen malware da harsashi na PHP don musayar bayanai.
У них нет общих комментариев разработчиков, файлов, метаданных или цифровых отпечатков.

Shawarwari uku don karewa daga harsashi masu nisa

Вредоносное ПО, для работы которого требуются команды с центра управления (C&C серверов), не похожи на обычные вирусы. Его действия не столь предсказуемы и, будут скорее похожи на выполняемые без автоматизированных средств или скриптов действия хакера или пентестера. Поэтому, обнаружение этих атак без сигнатур вредоносного ПО является более сложной задачей, чем обычное антивирусное сканирование.

A ƙasa akwai shawarwari guda uku don kare kamfanoni daga harsashi mai nisa:

Ci gaba da sabunta duk software
Maharan sukan yi amfani da rashin lahani a cikin software da tsarin aiki don yaduwa a cikin hanyar sadarwar kungiya da kuma nemo bayanan ban sha'awa domin
sata. Faci kan lokaci yana rage haɗarin irin wannan barazanar.
Saka idanu abubuwan da suka faru na samun bayanai maras kyau
Wataƙila, maharan za su yi ƙoƙarin ɗaukar bayanan sirrin ƙungiyar fiye da kewaye. Kula da abubuwan da ba su dace ba ga wannan bayanan zai ba da izini
gano masu amfani da aka yi sulhu da duk saitin manyan fayiloli da fayilolin da za su iya fadawa hannun maharan a zahiri, kuma ba kawai la'akari da duk bayanan da ke akwai ga waɗannan masu amfani ba.
Отслеживайте сетевой трафик
Amfani da Tacewar zaɓi da/ko uwar garken wakili na iya ganowa da toshe munanan haɗin kai zuwa cibiyoyin sarrafa malware (sabar C&C), hana maharan aiwatar da umarni da sanya shi mafi wahala.
bayanan kewaye.

Damu da batun hakar ma'adinai mai launin toka? Shawarwari shida don kariya:

Ci gaba da duk tsarin aiki na zamani
Gudanar da faci yana da matukar mahimmanci don hana rashin amfani da albarkatu da cututtukan malware.
Sarrafa zirga-zirgar hanyar sadarwa da wakilai na yanar gizo
Yi wannan don gano wasu hare-hare, kuma don hana wasu daga cikinsu za ku iya toshe zirga-zirgar ababen hawa bisa bayanai game da wuraren ɓarna ko iyakance tashoshin watsa bayanai marasa amfani.
Yi amfani da kula da maganin riga-kafi da tsarin tsaro na ƙarshe (Amma ba ta wata hanya ta iyakance kanka ga yin amfani da wannan Layer na kariya kawai).
Ƙididdiga samfurori na iya gano sanannun cryptominers da kuma hana cututtuka kafin su haifar da lalacewar tsarin aiki da amfani da makamashi. Da fatan za a sani cewa sabbin gyare-gyare ko sababbin hanyoyin hana ganowa na iya haifar da tsaro na ƙarshen ƙarshen gano sabbin nau'ikan malware iri ɗaya.
Контролируйте активность ЦП компьютеров
Yawanci, masu hakar ma'adinai na crypto suna amfani da cibiyar sarrafa kwamfuta don hakar ma'adinai. Wajibi ne a bincika kowane saƙo game da raguwar aiki ("Kwamfuta ta fara raguwa.").
Kula da DNS don sabon amfani da sabis na DNS mai ƙarfi (kamar DuckDNS)
Kodayake DuckDNS da sauran ayyukan DNS masu ƙarfi ba su da lahani ga tsarin, amfani da DuckDNS ta malware ya sauƙaƙa wa ƙungiyoyin binciken mu don gano ma'aikatan da suka kamu da cutar.
Разработайте план реагирования на инциденты
Tabbatar cewa kuna da hanyoyin da suka dace don irin waɗannan abubuwan don ganowa, ƙunshe, da rage barazanar hakar ma'adinan crypto ta atomatik.

Sanarwa ga abokan cinikin Varonis.
Varonis DataAlert ya haɗa da ƙirar barazanar da ke ba da damar gano malware na cryptomining. Abokan ciniki kuma za su iya ƙirƙirar ƙa'idodi na al'ada don ƙaddamar da gano software dangane da wuraren da suke 'yan takara don baƙar fata. Don tabbatar da cewa kuna gudanar da sabon sigar DatAlert kuma kuna amfani da ingantattun samfuran barazanar, tuntuɓi wakilin tallace-tallacen ku ko Tallafin Varonis.

source: www.habr.com

Varonis ya gano kwayar cutar cryptomining: binciken mu