Варонис криптоминингтік вирусты тапты: біздің зерттеу

Жақында біздің киберқауіпсіздікті зерттеу тобы орта компаниядағы криптоминингтік вируспен толық дерлік жұқтырылған желіні зерттеді. Талдау
жиналған зиянды бағдарлама үлгілері жаңа модификацияның табылғанын көрсетті
осындай вирустар деп аталады Норман, оның қатысуын жасырудың әртүрлі әдістерін қолдану. Сонымен қатар, ол анықталды интерактивті веб-қабық, бұл тау-кен өндіруші операторларға қатысты болуы мүмкін.

Оқуға шолу

• Varonis компаниясы криптоминерлермен ауқымды инфекцияны анықтады: компанияның барлық дерлік серверлері мен жұмыс станциялары осындай бағдарламалық жасақтамамен зақымдалған.
• Бір жылдан астам уақыт бұрын алғашқы инфекциядан бері модификациялар мен жұқтырған құрылғылардың саны тұрақты түрде өсті
• Біз Monero криптоминерінің (норман) жаңа түрін таптық, ол анықталмау үшін оны қауіпсіздік бағдарламалық құралы арқылы талдаудан жасыру үшін әртүрлі әдістерді пайдаланады.
• Көптеген зиянды бағдарлама нұсқалары басқару орталығына (C&C серверлері) қосылу және конфигурация параметрлерін алу немесе жаңа деректерді жіберу үшін DuckDNS (тегін Dynamic DNS қызметі) пайдаланды.
• Norman - XMRig - ашық бастапқы өндіруші негізіндегі жоғары өнімді Monero криптовалютасын өндіруші
• Бізде PHP интерактивті қабығымен криптоминерлерді байланыстыратын бұлтартпас дәлелдер әлі жоқ. Дегенмен, олардың бір шабуылшыдан шыққанына сенімді себептер бар. Зерттеушілер мұндай байланыстың бар немесе жоқтығына қосымша дәлелдер жинауда.
• Бұл мақалада сіз Варонистің қашықтағы веб қабықтар мен криптоминерлерден қорғауға қатысты ұсыныстарымен таныса аласыз.

Тергеу

Тергеу келесі пилоттық жоба кезінде басталды Платформалар
киберқауіпсіздік Varonis (Varonis Data Security Platform), бұл файлдық жүйедегі аномальды әрекеттермен байланысты Интернет сұраулары кезінде (веб-прокси арқылы) желі деңгейінде бірнеше күдікті аномалиялық оқиғаларды жылдам анықтауға мүмкіндік берді.
Тұтынушы біздің платформа арқылы анықталған құрылғыларды бірден атап өтті
жақында қолданбаның істен шығуы және желінің баяулауы туралы хабарлаған пайдаланушыларға тиесілі.

Біздің команда Varonis платформасы жасаған ескертулерге сәйкес бір вирус жұқтырған станциядан екіншісіне көшіп, тұтынушының ортасын қолмен тексерді. Оқиғаға ден қою тобы арнайы ереже әзірледі DataAlert модулі қатерді тез жоюға көмектесетін белсенді түрде өндірумен айналысатын компьютерлерді анықтау. Жиналған зиянды бағдарламаның үлгілері сот-медициналық сараптама және әзірлеу топтарына жіберілді, олар үлгілерді одан әрі зерттеу қажет деп кеңес берді.
Жұқтырған түйіндер олар жасаған қоңыраулардың арқасында анықталды DuckDNS, пайдаланушыларға өздерінің домен атауларын жасауға және оларды IP мекенжайларын өзгертуге жылдам салыстыруға мүмкіндік беретін Dynamic DNS қызметі. Жоғарыда атап өткендей, оқиғадағы зиянды бағдарламалардың көпшілігі басқару орталығына (C&C) қосылу үшін DuckDNS жүйесіне кірді, ал басқалары конфигурация параметрлеріне қол жеткізді немесе жаңа деректерді жіберді.

Барлық дерлік серверлер мен компьютерлер зиянды бағдарламамен зақымдалған. Негізінен пайдаланылады
криптоминерлердің кең таралған нұсқалары. Басқа зиянды бағдарламаларға құпия сөзді шығару құралдары мен PHP қабықшалары кірді, ал бірқатар құралдар бірнеше жыл бойы жұмыс істеп келеді.

Біз тұтынушыға нәтижелерді бердік, олардың ортасынан зиянды бағдарламаны жойдық және одан әрі жұқтыруды тоқтаттық.

Барлық табылған криптоминерлер үлгілерінің ішінде біреуі ерекше болды. Біз оның атын қойдық Норман.

Бізбен танысыңыз! Норман. Криптоминер

Норман - XMRig кодына негізделген жоғары өнімді Monero криптовалютасын өндіруші. Табылған басқа шахтер үлгілерінен айырмашылығы, Норман анықтауды болдырмау және одан әрі таралуын болдырмау үшін оны қауіпсіздік бағдарламалық құралы арқылы талдаудан жасыру әдістерін пайдаланады.

Бір қарағанда, бұл зиянды бағдарлама svchost.exe атымен жасырынатын кәдімгі кенші. Дегенмен, зерттеу ол анықтаудан жасыру және істерді жалғастыру үшін қызықты әдістерді қолданатынын анықтады.

Бұл зиянды бағдарламаны орналастыру процесін үш кезеңге бөлуге болады:

• өнімділік;
• жүзеге асыру;
• тау-кен.

Қадамдық талдау

1-кезең. Орындау

Бірінші кезең svchost.exe орындалатын файлдан басталады.

Зиянды бағдарлама әдеттен тыс NSIS (Nullsoft Scriptable Install System) көмегімен құрастырылған. NSIS – Windows орнатушыларын жасау үшін пайдаланылатын ашық бастапқы жүйе. SFX сияқты, бұл жүйе файлдардың мұрағатын және орнатушы іске қосылған кезде орындалатын сценарий файлын жасайды. Сценарий файлы бағдарламаға қандай файлдарды іске қосу керектігін және мұрағаттағы басқа файлдармен өзара әрекеттесе алатынын айтады.

Ескертпе: Орындалатын файлдан NSIS сценарий файлын алу үшін 7zip 9.38 нұсқасын пайдалану керек, себебі кейінгі нұсқалар бұл мүмкіндікті жүзеге асырмайды.

NSIS мұрағатталған зиянды бағдарламасы келесі файлдарды қамтиды:

• CallAnsiPlugin.dll, CLR.dll - .NET DLL функцияларын шақыруға арналған NSIS модульдері;
• 5zmjbxUIOVQ58qPR.dll - негізгі пайдалы жүктеме DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - пайдалы жүктеме файлдары;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png - бұл әрі қарай зиянды әрекеттерге ешқандай қатысы жоқ файлдар.

Пайдалы жүктемені іске қосатын NSIS сценарий файлының пәрмені төменде берілген.

Зиянды бағдарлама басқа файлдарды параметр ретінде қабылдайтын 5zmjbxUIOVQ58qPR.dll функциясын шақыру арқылы орындалады.

2-кезең. Іске асыру

5zmjbxUIOVQ58qPR.dll файлы негізгі пайдалы жүктеме болып табылады, оны жоғарыдағы NSIS сценарийінен көруге болады. Метадеректерді жылдам талдау DLL бастапқыда Norman.dll деп аталатынын анықтады, сондықтан біз оны осылай атадық.

DLL файлы .NET жүйесінде әзірленген және үш есе бұрмалау арқылы кері инженериядан қорғалған
танымал коммерциялық өнім Agile .NET Obfuscator көмегімен.

Орындау кезінде өзіндік инъекцияның көптеген операциялары басқа процестер сияқты өз процесінде де қатысады. ОЖ бит тереңдігіне байланысты зиянды бағдарлама болады
жүйелік қалталарға әртүрлі жолдарды таңдап, әртүрлі процестерді іске қосыңыз.

Жүйе қалтасының жолына қарай зиянды бағдарлама іске қосу үшін әртүрлі процестерді таңдайды.

Инъекциялық пайдалы жүктің екі негізгі функциясы бар: криптоминерді орындау және анықтауды болдырмау.

Операциялық жүйе 64-бит болса

Түпнұсқа svchosts.exe файлы (NSIS файлы) орындалғанда, ол өзінің жаңа процесін жасайды және оған пайдалы жүктемені (1) енгізеді. Көп ұзамай ол notepad.exe немесе explorer.exe файлдарын іске қосады және оған криптоминерді енгізеді (2).

Осыдан кейін бастапқы svchost.exe файлы шығады және жаңа svchost.exe файлы шахтер процесін бақылайтын бағдарлама ретінде пайдаланылады.

Операциялық жүйе 32-бит болса

Түпнұсқа svchosts.exe файлы (NSIS файлы) іске қосылғанда, ол 64 биттік нұсқа сияқты өзінің жеке процесін қайталайды және пайдалы жүктемені оған енгізеді.

Бұл жағдайда зиянды бағдарлама пайдалы жүктемені пайдаланушының explorer.exe процесіне енгізеді. Осы жерден зиянды код жаңа процесті (wuapp.exe немесе vchost.exe) іске қосады және оған кенші енгізеді.

Зиянды бағдарлама wuapp.exe жолымен және бос мәндермен бұрын енгізілген кодты қайта жазу арқылы explorer.exe файлына өзін енгізгенін жасырады.

64 биттік ортада жұмыс істеген кездегідей, бастапқы svchost.exe процесі шығады, ал екіншісі, егер процесті пайдаланушы тоқтатқан болса, explorer.exe файлына зиянды кодты қайта енгізу үшін пайдаланылады.

Орындау алгоритмінің соңында зиянды бағдарлама әрқашан іске қосылған заңды процеске криптоминерді енгізеді.

Ол пайдаланушы Тапсырмалар реттеушісін іске қосқан кезде шахтер жұмысын тоқтату арқылы анықтауды болдырмауға арналған.

Тапсырмалар реттеушісін іске қосқаннан кейін wuapp.exe процесі аяқталатынын ескеріңіз.

Тапсырма менеджерін жапқаннан кейін зиянды бағдарлама wuapp.exe процесін қайта-қайта бастайды
кенші оны оған айдайды.

3-кезең. Шахтер

Жоғарыда аталған XMRig кеншісін қарастырайық.

Зиянды бағдарлама кеншінің жасырын UPX нұсқасын блокнот, exe, explorer.exe,
svchost.exe немесе wuapp.exe, ОС бит тереңдігіне және орындау алгоритмінің сатысына байланысты.

Шахтердегі PE тақырыбы жойылды және төмендегі скриншотта оның UPX-мен маскирленгенін көруге болады.

Дампты жасап, орындалатын файлды қалпына келтіргеннен кейін біз оны іске қоса алдық:

Айта кету керек, мақсатты XMR сайтына кіруге тыйым салынады, бұл бұл шахтерді тиімді түрде бейтараптайды.

Шахтер конфигурациясы:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

Деректерді C&C жүйесіне беретін жұмбақ PHP қабығы

Осы тергеу барысында біздің сот-медициналық топ олардың назарын аударған XSL файлын тапты. Үлгіні терең талдаудан кейін басқару орталығына (C&C сервері) үнемі қосылатын жаңа PHP қабығы табылды.

XSL файлы sysWOW64 каталогындағы қалтадан белгілі Windows орындалатын файлы (mscorsv.exe) арқылы іске қосылған тұтынушы ортасындағы бірнеше серверлерде табылды.

Зиянды бағдарламалық құрал қалтасы AutoRecover деп аталды және оның құрамында болды бірнеше файлдар:

• XSL файлы: xml.XSL
• тоғыз DLL файлы

Орындалатын файлдар:

• Mscorsv.exe
• Wmiprvse.exe

XSL файлы

XSL файлдары XML құжатын көрсету жолын сипаттайтын CSS-те қолданылатын мәнерлер кестелері болып табылады.

Блокнотты пайдалана отырып, біз оның XSL файлы емес, Zend Guard жасырған PHP коды екенін анықтадық. Бұл қызық факт солай екенін көрсетті
оның орындалу алгоритміне негізделген зиянды бағдарламаның пайдалы жүктемесі.

Тоғыз DLL

XSL файлының бастапқы талдауы осындай санның болуы туралы қорытындыға әкелді
DLL файлдарының белгілі бір мағынасы бар. Негізгі қалтада php.dll деп аталатын DLL және SSL және MySQL-ке қатысты үш басқа кітапхана бар. Ішкі қалталардан сарапшылар төрт PHP кітапханасы мен бір Zend Guard кітапханасын тапты. Олардың барлығы заңды және PHP орнату бумасынан немесе сыртқы DLL файлдары ретінде алынған.

Бұл кезеңде зиянды бағдарлама PHP негізінде жасалған және Zend Guard арқылы жасырылған деп болжанған.

Орындалатын файлдар

Сондай-ақ бұл қалтада екі орындалатын файл болды: Mscorsv.exe және Wmiprvse.exe.

mscorsv.exe файлын талдағаннан кейін, оның өнім атауы параметрі «Microsoft. Net Framework».
Басында бұл біртүрлі болып көрінді, бірақ Wmiprvse.exe талдауы жағдайды жақсырақ түсінуге мүмкіндік берді.

Wmiprvse.exe файлына да қол қойылмаған, бірақ PHP тобының авторлық құқық белгісі мен PHP белгішесі болған. Оның жолдарына жылдам қарау PHP анықтамасынан командаларды ашты. -version қосқышымен орындалған кезде, оның Zend Guard бағдарламасын іске қосуға арналған орындалатын файл екені анықталды.

mscorsv.exe ұқсас жолмен іске қосылғанда, экранда бірдей деректер көрсетілді. Біз осы екі файлдың екілік деректерін салыстырдық және метадеректерді қоспағанда, олардың бірдей екенін көрдік
Авторлық құқық және компания атауы/өнім атауы.

Осының негізінде XSL файлында mscorsv.exe атауымен жасырылған Zend Guard орындалатын файлы арқылы жұмыс істейтін PHP коды бар деген қорытынды жасалды.

XSL файлын талдау

Интернеттегі іздеуді пайдалана отырып, мамандар Zend Guard деобфузация құралын тез алды және xml.XSL файлының бастапқы көрінісін қалпына келтірді:

Зиянды бағдарламаның өзі басқару орталығына (C&C сервері) үнемі қосылатын РНР қабығы екені белгілі болды.

Оның жіберетін және қабылдайтын пәрмендері мен шығысы шифрланған. Бізде бастапқы код болғандықтан, бізде шифрлау кілті де, командалар да болды.

Бұл зиянды бағдарламада келесі кіріктірілген функциялар бар:

• Бағалау - әдетте кодтағы бар айнымалы мәндерді өзгерту үшін пайдаланылады
• Жергілікті файлды жазу
• Мәліметтер қорымен жұмыс істеу мүмкіндіктері
• PSEXEC-пен жұмыс істеу мүмкіндіктері
• Жасырын орындалу
• Карталау процестері мен қызметтері

Келесі айнымалы зиянды бағдарламаның бірнеше нұсқасы бар екенін көрсетеді.

Үлгілерді жинау кезінде келесі нұсқалар анықталды:

• 0.5f
• 0.4p
• 0.4o

Жүйеде зиянды бағдарламаның тұрақты болуын қамтамасыз етудің жалғыз функциясы - орындалған кезде ол өзін өзі орындайтын қызметті жасайды және оның атауы.
нұсқадан нұсқаға өзгереді.

Сарапшылар Интернеттен ұқсас үлгілерді табуға тырысып, зиянды бағдарламаны анықтады
бұл, олардың пікірінше, бар үлгінің бұрынғы нұсқасы болды. Қалтаның мазмұны ұқсас болды, бірақ XSL файлы басқа және нұсқа нөмірі басқа болды.

Parle-Vu зиянды бағдарламасы?

Зиянды бағдарлама Францияда немесе басқа француз тілінде сөйлейтін елде шыққан болуы мүмкін: SFX файлында француз тілінде түсініктемелер болды, бұл автор оны жасау үшін WinRAR бағдарламасының француз нұсқасын пайдаланғанын көрсетеді.

Сонымен қатар, кодтағы кейбір айнымалылар мен функциялар француз тілінде де аталды.

Орындалуын бақылау және жаңа командаларды күту

Сарапшылар зиянды бағдарлама кодын өзгертіп, өзгертілгенін қауіпсіз іске қосты
қабылданған командалар туралы ақпаратты жинауға арналған нұсқа.

Бірінші байланыс сеансының соңында сарапшылар зиянды бағдарламаның EVAL64 іске қосу кілтіне дәлел ретінде Base64 көмегімен кодталған пәрменді алғанын көрді.
Бұл команда декодталған және орындалады. Ол бірнеше ішкі айнымалыларды өзгертеді (оқу және жазу буферінің өлшемдері), содан кейін зиянды бағдарлама командаларды күтетін жұмыс цикліне кіреді.

Қазіргі уақытта жаңа командалар алынған жоқ.

Интерактивті PHP қабығы және криптоминер: олар байланысты ма?

Варонис мамандары Норманның PHP қабықшасымен байланысы бар-жоғына сенімді емес, өйткені бұл болжамды қолдайтын да, оған қарсы да күшті дәлелдер бар:

Неліктен олар байланысты болуы мүмкін?

• Зиянды криптоминингтік бағдарламалық жасақтама үлгілерінің ешқайсысы әртүрлі желі сегменттеріндегі әртүрлі құрылғыларда табылғанымен, басқа жүйелерге дербес таралу мүмкіндігіне ие болмады. Шабуылдаушы әрбір түйінді жеке жұқтырған болуы мүмкін (мүмкін, пациент нөлді жұқтырған кездегідей шабуыл векторын қолдануы мүмкін), дегенмен шабуылдың нысанасы болған желіні тарату үшін PHP қабығын пайдалану тиімдірек болар еді.
• Белгілі бір ұйымға қарсы бағытталған ауқымды, мақсатты автоматтандырылған науқандар көбінесе техникалық артефактілерді немесе киберқауіпсіздік қатерлерінің танылатын іздерін қалдырады. Бұл жағдайда мұндай ештеңе табылмады.
• Norman да, PHP қабығы да DuckDNS қызметін пайдаланды.

Неліктен олар байланысты емес болуы мүмкін?

• Криптоминингтік зиянды бағдарлама нұсқалары мен PHP қабығы арасында техникалық ұқсастықтар жоқ. Зиянды криптоминер C++ тілінде жасалған, ал қабық PHP тілінде. Сондай-ақ код құрылымында ұқсастықтар жоқ, ал желілік функциялар басқаша жүзеге асырылады.
• Деректер алмасу үшін зиянды бағдарлама нұсқалары мен PHP қабықшасы арасында тікелей байланыс жоқ.
• Олар әзірлеуші ​​түсініктемелерін, файлдарды, метадеректерді немесе сандық саусақ іздерін бөліспейді.

Қашықтағы снарядтардан қорғауға арналған үш ұсыныс

Жұмыс істеу үшін басқару орталығынан (C&C серверлері) пәрмендерді талап ететін зиянды бағдарлама кәдімгі вирустар сияқты емес. Оның әрекеттері соншалықты болжамды емес және автоматтандырылған құралдарсыз немесе сценарийлерсіз орындалатын хакер немесе пентестер әрекеттеріне ұқсас болады. Сондықтан, зиянды бағдарлама қолтаңбалары жоқ бұл шабуылдарды анықтау әдеттегі антивирустық сканерлеуге қарағанда қиынырақ.

Төменде компанияларды қашықтағы қабықтардан қорғауға арналған үш ұсыныс берілген:

1. Барлық бағдарламалық құралды жаңартып отырыңыз
   Шабуылшылар ұйымның желісі бойынша тарату және қызығушылық танытқан деректерді іздеу үшін бағдарламалық жасақтама мен операциялық жүйелердегі осалдықтарды жиі пайдаланады.
   ұрлық. Уақытылы түзету мұндай қауіптердің қаупін айтарлықтай төмендетеді.
2. Аномальды деректерге қол жеткізу оқиғаларын бақылаңыз
   Сірә, шабуылдаушылар ұйымның құпия деректерін периметрден тыс алуға тырысады. Бұл деректерге аномальді кіру оқиғаларын бақылау мүмкіндік береді
   зиянкестердің қолына түсуі мүмкін қауіп төнген пайдаланушыларды және қалталар мен файлдардың бүкіл жинағын анықтаңыз, сонымен қатар осы пайдаланушыларға қолжетімді барлық деректерді ғана қарастырмаңыз.
3. Желілік трафикті бақылау
   Брандмауэрді және/немесе прокси-серверді пайдалану зиянды бағдарламаларды басқару орталықтарына (C&C серверлері) зиянды қосылымдарды анықтап, бұғаттауы мүмкін, бұл шабуылдаушыларға пәрмендерді орындауға жол бермейді және оны қиындатады.
   периметрлік деректер.

Сұр тау-кен мәселесіне алаңдайсыз ба? Қорғауға арналған алты ұсыныс:

1. Барлық операциялық жүйелерді жаңартыңыз
   Патчтарды басқару ресурстарды теріс пайдалануды және зиянды бағдарламаларды жұқтыруды болдырмау үшін өте маңызды.
2. Желілік трафикті және веб-проксилерді басқару
   Кейбір шабуылдарды анықтау үшін осы әрекетті орындаңыз және олардың кейбірінің алдын алу үшін зиянды домендер туралы ақпарат негізінде трафикті блоктауға немесе қажетсіз деректерді беру арналарын шектеуге болады.
3. Вирусқа қарсы шешімдерді және соңғы нүкте қауіпсіздік жүйелерін пайдаланыңыз және оларға қызмет көрсетіңіз (Бірақ ешбір жағдайда тек осы қорғаныс қабатын пайдаланумен шектелмеңіз).
   Ақырғы нүкте өнімдері белгілі криптоминерлерді анықтап, жүйе өнімділігіне және энергияны тұтынуға зақым келтірмес бұрын инфекциялардың алдын алады. Жаңа модификациялар немесе анықтауды болдырмаудың жаңа әдістері соңғы нүкте қауіпсіздігінің бірдей зиянды бағдарламаның жаңа нұсқаларын анықтай алмауына әкелуі мүмкін екенін ескеріңіз.
4. Компьютердің CPU белсенділігін бақылаңыз
   Әдетте, криптографиялық кеншілер тау-кен өндіру үшін компьютердің орталық процессорын пайдаланады. Өнімділіктің төмендеуі туралы кез келген хабарламаларды талдау қажет («Менің компьютерім баяулай бастады.»).
5. Динамикалық DNS қызметтерін (мысалы, DuckDNS) әдеттен тыс пайдалану үшін DNS бақылаңыз.

   DuckDNS және басқа динамикалық DNS қызметтері жүйеге табиғи түрде зиянды болмаса да, DuckDNS-ті зиянды бағдарламаның пайдалануы біздің тергеу топтарымызға вирус жұқтырған хосттарды анықтауды жеңілдетті.

6. Оқиғаға әрекет ету жоспарын жасаңыз
   Сұр крипто өндіру қаупін автоматты түрде анықтау, қамту және азайту үшін осындай оқиғаларға қажетті процедуралар бар екеніне көз жеткізіңіз.

Varonis тұтынушыларына ескертпе.
Varonis DataAlert криптоминингтік зиянды бағдарламаларды анықтауға мүмкіндік беретін қауіп үлгілерін қамтиды. Тұтынушылар сонымен қатар қара тізімге үміткер домендерге негізделген бағдарламалық құралды анықтауды мақсатты ету үшін реттелетін ережелерді жасай алады. DatAlert бағдарламасының соңғы нұсқасын іске қосып жатқаныңызға және қатерлердің дұрыс үлгілерін пайдаланып жатқаныңызға көз жеткізу үшін сату өкіліне немесе Varonis қолдау қызметіне хабарласыңыз.

Ақпарат көзі: www.habr.com