Varonis je otkrio virus za kriptomarenje: naša istraga

Naš tim za istraživanje kibernetičke sigurnosti nedavno je istraživao mrežu koja je bila gotovo u potpunosti zaražena virusom kriptomarenje u jednoj tvrtki srednje veličine. Analiza
prikupljeni uzorci zlonamjernog softvera pokazali su da je pronađena nova izmjena
takvi virusi, tzv Norman, koristeći različite metode skrivanja svoje prisutnosti. Osim toga, otkriveno je interaktivna web ljuska, što može biti relevantno rudarskim operaterima.

Pregled studije

• Tvrtka Varonis identificirala je veliku infekciju kriptomanerima: gotovo svi poslužitelji i radne stanice u tvrtki bili su zaraženi takvim softverom
• Od prve infekcije prije više od godinu dana, broj izmjena i zaraženih uređaja stalno raste
• Otkrili smo novu vrstu Monero cryptominera (Norman) koji koristi različite metode za skrivanje od analize sigurnosnim softverom kako bi se izbjeglo otkrivanje
• Većina varijanti zlonamjernog softvera koristila je DuckDNS (besplatnu uslugu Dynamic DNS) za povezivanje s kontrolnim centrom (C&C poslužitelji) i dobivanje konfiguracijskih parametara ili slanje novih podataka
• Norman je visokoučinkovit Monero rudar kriptovalute temeljen na otvorenom rudaru - XMRig
• Još nemamo nepobitne dokaze koji povezuju kriptominare s interaktivnom PHP ljuskom. Međutim, postoje dobri razlozi za vjerovanje da dolaze od istog napadača. Istraživači prikupljaju dodatne dokaze o prisutnosti ili odsutnosti takve veze.
• U ovom članku možete se upoznati s Varonisovim preporukama u vezi zaštite od udaljenih web školjki i kriptominara

istraga

Istraga je započela tijekom sljedećeg pilot projekta Platforme
kibernetička sigurnost Varonis (Varonis Data Security Platform), koji je omogućio brzo identificiranje nekoliko sumnjivih anomalnih događaja na mrežnoj razini tijekom internetskih zahtjeva (putem web proxyja), povezanih s anomalnim radnjama na datotečnom sustavu.
Kupac je odmah istaknuo da uređaji koje je identificirala naša Platforma
pripadao je istim korisnicima koji su nedavno prijavili padove aplikacija i usporavanje mreže.

Naš tim ručno je ispitivao klijentovo okruženje, krećući se od jedne do druge zaražene stanice u skladu s upozorenjima koja je generirala Varonis platforma. Tim za odgovor na incidente razvio je posebno pravilo u DataAlert modul za otkrivanje računala koja su aktivno rudarila, što je pomoglo u brzom uklanjanju prijetnje. Uzorci prikupljenog zlonamjernog softvera poslani su forenzičarima i razvojnim timovima, koji su savjetovali da je potrebno dodatno ispitivanje uzoraka.
Zaraženi čvorovi otkriveni su zbog poziva kojima su upućeni DuckDNS, Dynamic DNS usluga koja svojim korisnicima omogućuje stvaranje vlastitih naziva domena i njihovo brzo mapiranje na promjenjive IP adrese. Kao što je gore navedeno, većina zlonamjernog softvera u incidentu pristupila je DuckDNS-u za povezivanje s kontrolnim centrom (C&C), dok su drugi pristupili konfiguracijskim parametrima ili poslali nove podatke.

Gotovo svi poslužitelji i računala bili su zaraženi zlonamjernim softverom. Uglavnom korišten
uobičajene varijante kriptominara. Ostali zlonamjerni softver uključivao je alate za izbacivanje lozinki i PHP ljuske, dok je niz alata radio već nekoliko godina.

Isporučili smo rezultate korisniku, uklonili zlonamjerni softver iz njegovog okruženja i zaustavili daljnje infekcije.

Među svim otkrivenim primjercima kriptominara jedan se isticao. Nazvali smo ga Norman.

Upoznajte! Norman. Cryptominer

Norman je Monero rudar kriptovalute visokih performansi temeljen na XMRig kodu. Za razliku od drugih pronađenih uzoraka rudara, Norman koristi tehnike za skrivanje od analize sigurnosnim softverom kako bi izbjegao otkrivanje i spriječio daljnje širenje.

Na prvi pogled, ovaj malware je obični rudar koji se skriva pod imenom svchost.exe. Međutim, studija je otkrila da koristi zanimljivije metode za skrivanje od otkrivanja i održavanje stvari u radu.

Proces postavljanja ovog zlonamjernog softvera može se podijeliti u tri faze:

• izvođenje;
• implementacija;
• rudarstvo.

Analiza korak po korak

Faza 1. Izvršenje

Prva faza počinje s izvršnom datotekom svchost.exe.

Zlonamjerni softver kompilira se pomoću NSIS-a (Nullsoft Scriptable Install System), što je neobično. NSIS je sustav otvorenog koda koji se koristi za stvaranje Windows instalacijskih programa. Kao i SFX, ovaj sustav stvara arhivu datoteka i datoteku skripte koja se izvršava dok je instalacijski program pokrenut. Datoteka skripte govori programu koje datoteke treba pokrenuti i može komunicirati s drugim datotekama u arhivi.

Napomena: Da biste dobili datoteku NSIS skripte iz izvršne datoteke, morate koristiti 7zip verziju 9.38 jer kasnije verzije ne implementiraju ovu značajku.

NSIS arhivirani malware sadrži sljedeće datoteke:

• CallAnsiPlugin.dll, CLR.dll - NSIS moduli za pozivanje .NET DLL funkcija;
• 5zmjbxUIOVQ58qPR.dll - glavni korisni DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - korisni podaci;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png samo su datoteke koje ni na koji način nisu povezane s daljnjim zlonamjernim aktivnostima.

Naredba iz datoteke NSIS skripte koja pokreće korisni teret data je u nastavku.

Malware se pokreće pozivanjem funkcije 5zmjbxUIOVQ58qPR.dll, koja druge datoteke uzima kao parametre.

Faza 2. Implementacija

Datoteka 5zmjbxUIOVQ58qPR.dll je glavni korisni teret, kao što se može vidjeti iz gornje NSIS skripte. Brzi pogled na metapodatke otkrio je da se DLL izvorno zvao Norman.dll, pa smo ga tako nazvali.

DLL datoteka razvijena je u .NET-u i zaštićena je od obrnutog inženjeringa trostrukim maskiranjem
korištenjem dobro poznatog komercijalnog proizvoda Agile .NET Obfuscator.

Tijekom izvođenja, mnoge operacije samoinjektiranja su uključene u vlastiti proces, kao iu druge procese. Ovisno o bitnoj dubini OS-a, zlonamjerni softver će
odaberite različite putove do mapa sustava i pokrenite različite procese.

Na temelju putanje mape sustava, zlonamjerni softver će odabrati različite procese za pokretanje.

Umetnuti korisni teret ima dvije glavne funkcije: izvršavanje kriptominara i sprječavanje otkrivanja.

Ako je OS 64-bitni

Kada se izvorna svchosts.exe datoteka (NSIS datoteka) izvrši, ona stvara novi vlastiti proces i ubacuje korisni teret (1) u njega. Ubrzo nakon toga pokreće notepad.exe ili explorer.exe i u njega ubacuje kriptominer (2).

Nakon toga, izvorna datoteka svchost.exe izlazi, a nova datoteka svchost.exe koristi se kao program koji nadzire proces rudarenja.

Ako je OS 32-bitni

Kada se pokrene izvorna svchosts.exe datoteka (NSIS datoteka), ona duplicira svoj vlastiti proces i ubacuje korisni teret u njega, baš kao i 64-bitna verzija.

U ovom slučaju zlonamjerni softver ubacuje sadržaj u korisnički proces explorer.exe. Odatle zlonamjerni kod pokreće novi proces (wuapp.exe ili vchost.exe) i u njega ubacuje rudar.

Zlonamjerni softver skriva činjenicu da se ubacio u explorer.exe tako što prepisuje prethodno umetnuti kod s putem do wuapp.exe i praznim vrijednostima.

Kao što je slučaj kada se izvodi u 64-bitnom okruženju, izvorni svchost.exe proces izlazi, a drugi se koristi za ponovno ubacivanje zlonamjernog koda u explorer.exe ako korisnik prekine proces.

Na kraju algoritma izvršenja, zlonamjerni softver uvijek ubacuje kriptominer u legitimni proces koji pokreće.

Osmišljen je da spriječi otkrivanje prekidanjem rudara kada korisnik pokrene Task Manager.

Imajte na umu da nakon pokretanja Upravitelja zadataka proces wuapp.exe završava.

Nakon zatvaranja upravitelja zadataka, zlonamjerni softver iznova i iznova pokreće proces wuapp.exe
rudar ga u njega ubrizgava.

Faza 3. Rudar

Razmotrite gore spomenuti XMRig rudar.

Zlonamjerni softver ubacuje prikrivenu UPX verziju rudara u notepad, exe, explorer.exe,
svchost.exe ili wuapp.exe, ovisno o bitnoj dubini OS-a i stupnju algoritma za izvršavanje.

PE zaglavlje u rudaru je uklonjeno, a na slici ispod možemo vidjeti da je maskirano UPX-om.

Nakon stvaranja dumpa i ponovne izgradnje izvršne datoteke, uspjeli smo je pokrenuti:

Treba napomenuti da je pristup ciljnoj XMR stranici odbijen, što učinkovito neutralizira ovog rudara.

Konfiguracija rudara:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

Tajanstvena PHP ljuska prosljeđuje podatke C&C-u

Tijekom ove istrage, naš tim forenzičara otkrio je XSL datoteku koja im je privukla pozornost. Nakon dubinske analize uzorka, otkrivena je nova PHP ljuska koja se konstantno spaja na kontrolni centar (C&C server).

Na nekoliko poslužitelja u klijentovom okruženju pronađena je XSL datoteka koju je pokrenula poznata izvršna datoteka sustava Windows (mscorsv.exe) iz mape u direktoriju sysWOW64.

Mapa zlonamjernog softvera nazvana je AutoRecover i sadržavala je nekoliko datoteka:

• XSL datoteka: xml.XSL
• devet DLL datoteka

Izvršne datoteke:

• Mscorsv.exe
• Wmiprvse.exe

XSL datoteka

XSL datoteke su listovi stilova, slični onima koji se koriste u CSS-u, koji opisuju kako prikazati XML dokument.

Koristeći Notepad, utvrdili smo da se zapravo ne radi o XSL datoteci, već o PHP kodu zamagljenom od strane Zend Guarda. Ova zanimljiva činjenica sugerirala je da jest
nosivost zlonamjernog softvera na temelju njegovog algoritma izvršavanja.

Devet DLL-ova

Početna analiza XSL datoteke dovela je do zaključka da prisutnost takvog broja
DLL-ovi imaju određeno značenje. Glavna mapa sadrži DLL pod nazivom php.dll i tri druge biblioteke koje se odnose na SSL i MySQL. U podmapama stručnjaci su pronašli četiri PHP biblioteke i jednu Zend Guard biblioteku. Svi oni su legitimni i dobivaju se iz PHP instalacijskog paketa ili kao vanjski dll-ovi.

U ovoj se fazi pretpostavljalo da je malware kreiran na temelju PHP-a i zamagljen od strane Zend Guarda.

Izvršne datoteke

Također su u ovoj mapi bile dvije izvršne datoteke: Mscorsv.exe i Wmiprvse.exe.

Nakon analize datoteke mscorsv.exe, utvrdili smo da je nije potpisao Microsoft, iako je njezin parametar ProductName postavljen na “Microsoft. Net Framework".
Isprva se samo činilo čudnim, ali analiza Wmiprvse.exe nam je omogućila da bolje razumijemo situaciju.

Datoteka Wmiprvse.exe također nije bila potpisana, ali je sadržavala PHP grupni simbol autorskih prava i PHP ikonu. Brzi pogled na njegove retke otkrio je naredbe iz PHP pomoći. Kada se izvrši s prekidačem -version, otkriveno je da je to bila izvršna datoteka dizajnirana za pokretanje Zend Guarda.

Kada je mscorsv.exe pokrenut na sličan način, na ekranu su se prikazivali isti podaci. Usporedili smo binarne podatke ove dvije datoteke i vidjeli da su identični, osim metapodataka
Autorska prava i naziv tvrtke/naziv proizvoda.

Na temelju toga zaključeno je da XSL datoteka sadrži PHP kod koji se pokreće pomoću izvršne datoteke Zend Guarda, skrivene pod imenom mscorsv.exe.

Raščlanjivanje XSL datoteke

Koristeći internetsko pretraživanje, stručnjaci su brzo došli do alata za demaskiranje Zend Guarda i vratili izvorni izgled datoteke xml.XSL:

Ispostavilo se da je sam malware PHP shell koji je stalno povezan s kontrolnim centrom (C&C server).

Naredbe i izlazni podaci koje šalje i prima su šifrirani. Budući da smo imali izvorni kod, imali smo i ključ za šifriranje i naredbe.

Ovaj zlonamjerni softver sadrži sljedeće ugrađene funkcije:

• Eval - Obično se koristi za izmjenu postojećih varijabli u kodu
• Snimanje lokalne datoteke
• Mogućnosti rada s bazom podataka
• Mogućnosti rada s PSEXEC-om
• Skriveno izvršenje
• Procesi i usluge mapiranja

Sljedeća varijabla sugerira da zlonamjerni softver ima više verzija.

Prilikom prikupljanja uzoraka otkrivene su sljedeće verzije:

• 0.5f
• 0.4p
• 0.4o

Jedina funkcija osiguravanja stalne prisutnosti zlonamjernog softvera u sustavu je da prilikom pokretanja stvara uslugu koja se sama izvršava, a njezin naziv
mijenja se iz verzije u verziju.

Stručnjaci su pokušali pronaći slične uzorke na internetu i otkrili zlonamjerni softver
koji je po njihovom mišljenju bio prethodna verzija postojećeg uzorka. Sadržaj mape bio je sličan, ali je XSL datoteka bila drugačija i imala je drugačiji broj verzije.

Parle-Vu zlonamjerni softver?

Zlonamjerni softver možda potječe iz Francuske ili druge zemlje francuskog govornog područja: SFX datoteka je sadržavala komentare na francuskom, što ukazuje na to da je autor koristio francusku verziju WinRAR-a za njezino stvaranje.

Štoviše, neke varijable i funkcije u kodu također su imenovane na francuskom.

Praćenje izvršenja i čekanje novih naredbi

Stručnjaci su izmijenili zlonamjerni kod i sigurno pokrenuli već izmijenjeni
verziju za prikupljanje informacija o naredbama koje je primio.

Na kraju prve komunikacijske sesije, stručnjaci su vidjeli da je zlonamjerni softver primio naredbu kodiranu pomoću Base64 kao argumenta za ključ za pokretanje EVAL64.
Ova naredba se dekodira i izvršava. Mijenja nekoliko internih varijabli (veličine međuspremnika za čitanje i pisanje), nakon čega malware ulazi u radni ciklus čekajući naredbe.

Trenutno nema novih zapovijedi.

Interaktivna PHP ljuska i kriptomaner: jesu li povezani?

Stručnjaci za Varonis nisu sigurni je li Norman povezan s PHP ljuskom, budući da postoje jaki argumenti i za i protiv ove pretpostavke:

Zašto bi mogli biti povezani?

• Nijedan od zlonamjernih uzoraka softvera za kriptomarenje nije imao mogućnost samostalnog širenja na druge sustave, iako su pronađeni na različitim uređajima u različitim segmentima mreže. Moguće je da je napadač zarazio svaki čvor zasebno (možda koristeći isti vektor napada kao kada je zarazio Patient Zero), iako bi bilo učinkovitije koristiti PHP ljusku za širenje po mreži koja je bila meta napada.
• Velike, ciljane automatizirane kampanje usmjerene protiv određene organizacije često za sobom ostavljaju tehničke artefakte ili prepoznatljive tragove prijetnji kibernetičkoj sigurnosti. U ovom slučaju ništa slično nije pronađeno.
• I Norman i PHP ljuska koristili su uslugu DuckDNS.

Zašto možda nisu u srodstvu?

• Nema tehničkih sličnosti između varijanti zlonamjernog softvera za kriptomarenje i PHP ljuske. Zlonamjerni kriptomaner je kreiran u C++, a ljuska je u PHP-u. Također, nema sličnosti u strukturi koda, a mrežne funkcije implementirane su drugačije.
• Ne postoji izravna komunikacija između varijanti zlonamjernog softvera i PHP ljuske za razmjenu podataka.
• Ne dijele komentare programera, datoteke, metapodatke ili digitalne otiske prstiju.

Tri preporuke za zaštitu od udaljenih školjki

Zlonamjerni softver, koji za rad zahtijeva naredbe iz kontrolnog centra (C&C poslužitelji), nije poput običnih virusa. Njegove radnje nisu toliko predvidljive i bit će sličnije radnjama hakera ili pentestera izvedenim bez automatiziranih alata ili skripti. Stoga je otkrivanje ovih napada bez potpisa zlonamjernog softvera veći izazov od redovitog antivirusnog skeniranja.

Ispod su tri preporuke za zaštitu tvrtki od udaljenih ljuski:

1. Održavajte sav softver ažuriranim
   Napadači često koriste ranjivosti u softveru i operativnim sustavima za širenje mrežom organizacije i traženje podataka od interesa kako bi
   krađa. Pravovremeno krpanje značajno smanjuje rizik od takvih prijetnji.
2. Pratite nenormalne događaje pristupa podacima
   Najvjerojatnije će napadači pokušati odnijeti povjerljive podatke organizacije izvan perimetra. Praćenje nenormalnih događaja pristupa ovim podacima omogućit će
   otkriti kompromitirane korisnike i cijeli skup mapa i datoteka koje bi zapravo mogle pasti u ruke napadača, a ne samo smatrati takvima sve podatke dostupne tim korisnicima.
3. Pratite mrežni promet
   Korištenje vatrozida i/ili proxy poslužitelja može otkriti i blokirati zlonamjerne veze s kontrolnim centrima zlonamjernog softvera (C&C poslužitelji), sprječavajući napadače u izvršavanju naredbi i otežavajući
   podaci o perimetru.

Zabrinuti ste zbog problema sivog rudarenja? Šest preporuka za zaštitu:

1. Održavajte sve operativne sustave ažuriranima
   Upravljanje zakrpama vrlo je važno za sprječavanje zlouporabe resursa i infekcija zlonamjernim softverom.
2. Kontrolirajte mrežni promet i web proxyje
   Učinite to kako biste otkrili neke napade, a kako biste spriječili neke od njih možete blokirati promet na temelju informacija o zloćudnim domenama ili ograničiti nepotrebne kanale prijenosa podataka.
3. Koristite i održavajte antivirusna rješenja i sigurnosne sustave krajnjih točaka (Ali nipošto se nemojte ograničiti na korištenje samo ovog sloja zaštite).
   Endpoint proizvodi mogu otkriti dobro poznate kriptominere i spriječiti infekcije prije nego prouzrokuju štetu performansama sustava i potrošnji energije. Imajte na umu da nove izmjene ili nove metode sprječavanja otkrivanja mogu uzrokovati da sigurnost krajnje točke ne otkrije nove verzije istog zlonamjernog softvera.
4. Pratite CPU aktivnost računala
   Tipično, kripto rudari koriste središnji procesor računala za rudarenje. Potrebno je analizirati sve poruke o smanjenju performansi ("Računalo mi je počelo usporavati.").
5. Pratite DNS zbog neobične upotrebe dinamičkih DNS usluga (kao što je DuckDNS)

   Iako DuckDNS i druge dinamičke DNS usluge nisu inherentno štetne za sustav, korištenje DuckDNS-a od strane zlonamjernog softvera olakšalo je našim istraživačkim timovima otkrivanje zaraženih hostova.

6. Izradite plan odgovora na incident
   Osigurajte da imate potrebne postupke za takve incidente za automatsko otkrivanje, obuzdavanje i ublažavanje prijetnje sivog kripto rudarenja.

Napomena kupcima Varonisa.
Varonis DataAlert uključuje modele prijetnji koji omogućuju otkrivanje zlonamjernog softvera za kriptomarenje. Korisnici također mogu kreirati prilagođena pravila za ciljano otkrivanje softvera na temelju domena koje su kandidati za stavljanje na crnu listu. Kako biste bili sigurni da koristite najnoviju verziju DatAlert-a i da koristite ispravne modele prijetnji, kontaktirajte svog prodajnog predstavnika ili Varonis podršku.

Izvor: www.habr.com