Varonis mendakan virus cryptomining: panalungtikan urang

Tim panyilidikan cybersecurity kami nembé nalungtik jaringan anu ampir sadayana katépaan ku virus cryptomining di perusahaan ukuran pertengahan. Analisis
sampel malware dikumpulkeun némbongkeun yén modifikasi anyar geus kapanggih
virus sapertos, disebutna Norman, ngagunakeun rupa-rupa métode pikeun nyumputkeun ayana. Sajaba ti éta, kapanggih cangkang wéb interaktif, nu bisa jadi relevan pikeun operator pertambangan.

Ihtisar Study

• Perusahaan Varonis parantos ngaidentipikasi inféksi skala ageung sareng cryptominers: ampir sadaya server sareng stasiun kerja di perusahaan katépaan ku parangkat lunak sapertos kitu.
• Kusabab inféksi awal langkung ti sataun katukang, jumlah modifikasi sareng alat anu katépaan parantos ningkat
• Kami mendakan jinis anyar Monero cryptominer (Norman) anu ngagunakeun sababaraha cara pikeun nyumputkeunana tina analisa ku parangkat lunak kaamanan pikeun ngahindarkeun deteksi.
• Kaseueuran varian malware nganggo DuckDNS (layanan DNS Dinamis gratis) pikeun nyambung ka pusat kontrol (server C&C) sareng kéngingkeun parameter konfigurasi atanapi ngirim data énggal.
• Norman nyaéta panambang cryptocurrency Monero kinerja luhur dumasar kana panambang open source - XMRig
• Simkuring teu acan gaduh bukti irrefutable linking cryptominers kalawan cangkang PHP interaktif. Nanging, aya alesan anu saé pikeun yakin yén éta asalna tina panyerang anu sami. Panaliti ngumpulkeun bukti tambahan pikeun ayana atanapi henteuna hubungan sapertos kitu.
• Dina tulisan ieu anjeun tiasa familiarize diri sareng saran Varonis ngeunaan panyalindungan ngalawan cangkang wéb jauh sareng cryptominers

Panalungtikan

Panalungtikan dimimitian dina mangsa pilot project salajengna Platform
cybersecurity Varonis (Varonis Data Security Platform), anu ngamungkinkeun pikeun gancang ngaidentipikasi sababaraha kajadian anomali anu curiga dina tingkat jaringan salami paménta Internét (via proxy wéb), anu aya hubunganana sareng tindakan anomali dina sistem file.
Palanggan langsung nunjukkeun yén alat anu diidentipikasi ku Platform kami
milik pamaké sarua anu nembe dilaporkeun ngadat aplikasi tur slowdowns jaringan.

Tim kami sacara manual mariksa lingkungan palanggan, pindah ti hiji stasiun katépaan ka anu sanés saluyu sareng panggeuing anu dihasilkeun ku Platform Varonis. Tim réspon kajadian parantos ngembangkeun aturan khusus dina modul DataAlert pikeun ngadeteksi komputer anu aktip pertambangan, nu mantuan gancang ngaleungitkeun ancaman. Sampel tina malware anu dikumpulkeun dikirim ka tim forensik sareng pamekaran, anu nyarankeun yén pamariksaan langkung seueur ngeunaan conto éta diperyogikeun.
Titik anu katépaan kapanggih kusabab telepon anu aranjeunna dilakukeun DuckDNS, layanan DNS Dinamis anu ngamungkinkeun pamaké na nyieun ngaran domain sorangan tur gancang peta aranjeunna pikeun ngarobah alamat IP. Sakumaha anu kacatet di luhur, kalolobaan malware dina kajadian éta ngaksés DuckDNS pikeun nyambung ka pusat kontrol (C&C), sedengkeun anu sanés ngaksés parameter konfigurasi atanapi ngirim data énggal.

Ampir sadaya server sareng komputer kainfeksi malware. Utamana dipaké
varian umum tina cryptominers. Malware séjén kaasup parabot dump sandi jeung cangkang PHP, bari sajumlah parabot geus digawé pikeun sababaraha taun.

Kami nyayogikeun hasil ka konsumén, ngaleungitkeun malware tina lingkunganana, sareng ngeureunkeun inféksi salajengna.

Di antara sakabéh sampel kapanggih tina cryptominers, hiji nangtung kaluar. Urang ngaranna Norman.

Papanggih! Norman. Cryptominer

Norman mangrupikeun panambang cryptocurrency Monero kinerja luhur dumasar kana kode XMRig. Teu kawas sampel panambang séjén kapanggih, Norman ngagunakeun téhnik pikeun nyumputkeun tina analisis ku software kaamanan pikeun nyingkahan deteksi jeung nyegah sumebarna salajengna.

Dina glance kahiji, malware ieu téh panambang biasa nyumput dina ngaran svchost.exe. Nanging, panilitian mendakan yén éta ngagunakeun metode anu langkung narik pikeun nyumput tina deteksi sareng tetep jalan.

Prosés panyebaran malware ieu tiasa dibagi kana tilu tahap:

• kinerja;
• palaksanaan;
• pertambangan.

Analisis léngkah-léngkah

Tahap 1. Palaksanaan

Tahap kahiji dimimitian ku file laksana svchost.exe.

Malware ieu disusun nganggo NSIS (Nullsoft Scriptable Install System), anu teu biasa. NSIS mangrupikeun sistem open source anu dianggo pikeun nyiptakeun pamasang Windows. Sapertos SFX, sistem ieu nyiptakeun arsip file sareng file skrip anu dieksekusi nalika pamasangan dijalankeun. Berkas skrip nyarioskeun ka program file naon anu kedah dijalankeun sareng tiasa berinteraksi sareng file anu sanés dina arsip.

Catetan: Pikeun ménta file Aksara NSIS tina file laksana, anjeun kudu make 7zip Vérsi 9.38, sakumaha versi engké teu nerapkeun fitur ieu.

Malware arsip NSIS ngandung file ieu:

• CallAnsiPlugin.dll, CLR.dll - modul NSIS pikeun nelepon .NET DLL fungsi;
• 5zmjbxUIOVQ58qPR.dll - payload utama DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - payload payel;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png ngan ukur file anu henteu aya hubunganana sareng kagiatan jahat salajengna.

Paréntah tina file skrip NSIS anu ngajalankeun payload dirumuskeun di handap ieu.

Malware ieu dieksekusi ku nelepon fungsi 5zmjbxUIOVQ58qPR.dll, nu nyokot file séjén salaku parameter.

Tahap 2. Palaksanaan

Berkas 5zmjbxUIOVQ58qPR.dll mangrupikeun muatan utama, sapertos tiasa ditingali tina naskah NSIS di luhur. Analisis gancang metadata ngungkabkeun yén DLL asalna disebut Norman.dll, ku kituna kami namina éta.

File DLL dikembangkeun dina .NET sarta ditangtayungan tina rékayasa sabalikna ku obfuscation triple
ngagunakeun produk komérsial kawentar Agile .NET Obfuscator.

Salila palaksanaan, loba operasi timer suntik aub dina prosés sorangan, kitu ogé dina prosés lianna. Gumantung kana jero bit OS, malware bakal
pilih jalur anu béda pikeun polder sistem sareng jalankeun prosés anu béda.

Dumasar jalur folder sistem, malware bakal milih prosés anu béda pikeun dijalankeun.

Payload anu disuntik gaduh dua fungsi utama: ngalaksanakeun cryptominer sareng nyegah deteksi.

Upami OS 64-bit

Nalika file svchosts.exe asli (file NSIS) dieksekusi, nyiptakeun prosés anyar sorangan sareng nyuntik payload (1) kana éta. Moal lami deui saatosna, éta ngaluncurkeun notepad.exe atanapi explorer.exe, sareng nyuntik cryptominer ka dinya (2).

Saatos ieu, file svchost.exe asli kaluar, sareng file svchost.exe énggal dianggo salaku program anu ngawas prosés panambang.

Upami OS 32-bit

Nalika file svchosts.exe asli (file NSIS) dijalankeun, éta duplikat prosés sorangan sareng nyuntik payload kana éta, sapertos versi 64-bit.

Dina hal ieu, malware nyuntik payload kana prosés explorer.exe pamaké. Ti dinya, kodeu jahat ngaluncurkeun prosés énggal (wuapp.exe atanapi vchost.exe) sareng nyuntik panambang kana éta.

Malware nu nyumputkeun kanyataan yén éta geus nyuntik sorangan kana explorer.exe ku overwriting kodeu nyuntik saméméhna jeung jalur ka wuapp.exe jeung nilai kosong.

Sapertos dina kasus nalika ngajalankeun di lingkungan 64-bit, prosés svchost.exe asli kaluar, sareng anu kadua dianggo pikeun nyuntik deui kode jahat kana explorer.exe upami prosésna ditungtungan ku pangguna.

Dina ahir algoritma palaksanaan, malware sok nyuntik cryptominer kana prosés sah anu diluncurkeun.

Hal ieu dirarancang pikeun nyegah deteksi ku terminating panambang nalika pamaké ngajalankeun Tugas Manajer.

Punten dicatet yén saatos ngamimitian Tugas Manajer, prosés wuapp.exe réngsé.

Saatos nutup manajer tugas, malware ngamimitian prosés wuapp.exe deui sareng deui
panambang nyuntik ka dinya.

Tahap 3. Panambang

Pertimbangkeun panambang XMRig anu disebatkeun di luhur.

Malware éta nyuntikkeun versi UPX anu nyamar tina panambang kana notepad, exe, explorer.exe,
svchost.exe atanapi wuapp.exe, gumantung kana jero bit OS jeung tahapan algoritma palaksanaan.

Lulugu pe di panambang geus dihapus sarta dina screenshot handap urang bisa nempo yén éta masked kalawan UPX.

Saatos nyiptakeun dump sareng ngawangun deui anu tiasa dieksekusi, kami tiasa ngajalankeunana:

Ieu kudu dicatet yén aksés ka situs XMR target ditolak, nu éféktif neutralizes panambang ieu.

Konfigurasi panambang:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

Cangkang PHP misterius ngalirkeun data ka C&C

Salila panalungtikan ieu, tim forensik urang manggihan hiji file XSL nu narik perhatian maranéhanana. Saatos analisa sampel anu jero, cangkang PHP anyar kapanggih anu terus nyambung ka pusat kontrol (server C&C).

Hiji file XSL kapanggih dina sababaraha server di lingkungan customer urang nu dibuka ku Windows executable dipikawanoh (mscorsv.exe) ti folder dina diréktori sysWOW64.

Polder malware ieu disebut AutoRecover sarta ngandung sababaraha file:

• XSL file: xml.XSL
• salapan file DLL

File anu tiasa dieksekusi:

• Mscorsv.exe
• Wmiprvse.exe

file XSL

File XSL mangrupikeun lambaran gaya, sami sareng anu dianggo dina CSS, anu ngajelaskeun kumaha cara nampilkeun dokumen XML.

Ngagunakeun Notepad, urang nangtukeun yén éta téh lain, kanyataanna, hiji file XSL, tapi kode PHP obfuscated ku Zend Guard. Kanyataan panasaran ieu nunjukkeun yén éta
payload malware dumasar kana algoritma palaksanaan na.

Salapan DLLs

Analisis awal file XSL nyababkeun kacindekan yén ayana jumlah sapertos kitu
DLLs boga harti nu tangtu. Polder utama ngandung DLL anu disebut php.dll sareng tilu perpustakaan sanés anu aya hubunganana sareng SSL sareng MySQL. Dina subfolder, para ahli mendakan opat perpustakaan PHP sareng hiji perpustakaan Zend Guard. Sadayana sah, sareng dicandak tina pakét instalasi PHP atanapi salaku dll éksternal.

Dina tahap ieu, éta dianggap yén malware dijieun dumasar kana PHP jeung obfuscated ku Zend Guard.

File anu tiasa dieksekusi

Ogé dina polder ieu aya dua file anu tiasa dieksekusi: Mscorsv.exe sareng Wmiprvse.exe.

Saatos analisa file mscorsv.exe, urang nangtukeun yén éta henteu ditandatanganan ku Microsoft, sanaos parameter ProductName na disetel ka "Microsoft. Net Framework".
Mimitina sigana aneh, tapi nganalisa Wmiprvse.exe ngamungkinkeun urang langkung ngartos kaayaan éta.

Berkas Wmiprvse.exe ogé teu ditandatanganan, tapi ngandung simbol hak cipta grup PHP sareng ikon PHP. Tinjauan gancang dina garisna ngungkabkeun paréntah tina pitulung PHP. Nalika dieksekusi ku switch -version, kapanggih yén éta hiji file laksana dirancang pikeun ngajalankeun Zend hansip.

Nalika mscorsv.exe diluncurkeun dina cara anu sami, data anu sami ditampilkeun dina layar. Kami ngabandingkeun data binér dua file ieu sareng ningali yén aranjeunna idéntik, kecuali metadata
Hak Cipta sareng Ngaran Perusahaan / Ngaran Produk.

Dumasar ieu, disimpulkeun yén file XSL ngandung kode PHP anu dijalankeun nganggo file laksana Zend Guard, disumputkeun dina nami mscorsv.exe.

Parsing file XSL

Nganggo panéangan Internét, para ahli gancang meunangkeun alat deobfuscation Zend Guard sareng malikkeun tampilan aslina tina file xml.XSL:

Tétéla yén malware éta sorangan cangkang PHP anu terus disambungkeun ka puseur kontrol (C&C server).

Paréntah sareng kaluaran anu dikirim sareng ditampi énkripsi. Kusabab kami ngagaduhan kode sumber, kami ngagaduhan konci enkripsi sareng paréntahna.

Malware ieu ngandung pungsi diwangun-di handap:

• Eval - Biasana dianggo pikeun ngarobih variabel anu aya dina kode
• Ngarékam file lokal
• Kamungkinan pikeun gawé bareng database
• Kamungkinan gawé bareng PSEXEC
• Palaksanaan disumputkeun
• Prosés jeung jasa pemetaan

Variabel di handap ieu nunjukkeun yén malware ngagaduhan sababaraha versi.

Nalika ngumpulkeun sampel, versi di handap ieu kapanggih:

• 0.5f
• 0.4p
• 0.4o

Hiji-hijina fungsi pikeun mastikeun ayana malware anu tetep dina sistem nyaéta nalika dieksekusi, éta nyiptakeun jasa anu ngalaksanakeun sorangan, sareng namina.
parobahan tina versi ka versi.

Para ahli nyobian milarian conto anu sami dina Internét sareng mendakan malware
nu, dina pamadegan maranéhna, éta versi saméméhna tina sampel aya. Eusi folder éta sarupa, tapi file XSL éta béda sarta miboga nomer versi béda.

Parle-Vu Malware?

Malware nu bisa jadi asalna di Perancis atawa nagara Perancis-diomongkeun sejen: file SFX boga komentar dina basa Perancis, nunjukkeun yén pangarang ngagunakeun versi Perancis tina WinRAR nyieun eta.

Sumawona, sababaraha variabel sareng fungsi dina kode ogé dingaranan dina basa Perancis.

Ngawaskeun palaksanaan sareng ngantosan paréntah énggal

Para ahli ngarobih kode malware sareng aman ngaluncurkeun anu parantos dirobih
Vérsi pikeun ngumpulkeun inpormasi ngeunaan paréntah anu ditampi.

Dina ahir sési komunikasi anu munggaran, para ahli ningali yén malware nampi paréntah anu disandikeun nganggo Base64 salaku argumen pikeun konci peluncuran EVAL64.
Paréntah ieu dikodekeun sareng dieksekusi. Éta ngarobih sababaraha variabel internal (baca sareng nyerat ukuran panyangga), saatos éta malware asup kana siklus padamelan ngantosan paréntah.

Di momen, euweuh paréntah anyar geus narima.

Cangkang PHP interaktif sareng cryptominer: aya hubunganana?

Spesialis Varonis henteu yakin naha Norman pakait sareng cangkang PHP, sabab aya dalil anu kuat pikeun sareng ngalawan asumsi ieu:

Naha maranéhna bisa jadi patali?

• Euweuh sahiji conto parangkat lunak cryptomining jahat anu mampuh nyebarkeun sacara mandiri ka sistem anu sanés, sanaos kapanggih dina sababaraha alat dina sababaraha bagéan jaringan. Aya kamungkinan yén panyerang nginféksi unggal titik sacara misah (panginten nganggo vektor serangan anu sami sareng nalika nginféksi Patient Zero), sanaos langkung efektif ngagunakeun cangkang PHP pikeun nyebarkeun sapanjang jaringan anu janten target serangan.
• Kampanye otomatis skala ageung sareng sasaran anu diarahkeun ka organisasi khusus sering ngantunkeun artefak téknis atanapi ngalacak ancaman cybersecurity anu tiasa dipikanyaho. Dina hal ieu, euweuh nanaon kapanggih.
• Duanana Norman sareng cangkang PHP nganggo jasa DuckDNS.

Naha maranéhna bisa jadi teu patali?

• Henteu aya kamiripan téknis antara varian malware cryptomining sareng cangkang PHP. The cryptominer jahat dijieun dina C ++, jeung cangkang aya dina PHP. Ogé, henteu aya kamiripan dina struktur kode, sareng fungsi jaringan dilaksanakeun sacara béda.
• Henteu aya komunikasi langsung antara varian malware sareng cangkang PHP pikeun tukeur data.
• Aranjeunna henteu ngabagi koméntar pamekar, file, metadata, atanapi sidik ramo digital.

Tilu saran pikeun ngajaga ngalawan cangkang jauh

Malware, anu merlukeun paréntah ti puseur kontrol (C&C servers) pikeun beroperasi, teu kawas virus biasa. Lampahna henteu tiasa diprediksi sareng bakal langkung mirip sareng tindakan hacker atanapi pentester anu dilakukeun tanpa alat atanapi skrip otomatis. Ku alatan éta, ngadeteksi serangan ieu tanpa tanda tangan malware langkung nangtang tibatan scanning antipirus biasa.

Di handap ieu aya tilu saran pikeun ngajagi perusahaan tina cangkang jauh:

1. Tetep sagala software up to date
   Penyerang sering ngagunakeun kerentanan dina parangkat lunak sareng sistem operasi pikeun nyebarkeun ka jaringan organisasi sareng milarian data anu dipikaresep pikeun
   maling. Patching timely sacara signifikan ngirangan résiko ancaman sapertos kitu.
2. Ngawas kajadian aksés data anomali
   Paling dipikaresep, panyerang bakal nyobian nyandak data rahasia organisasi saluareun perimeter. Ngawaskeun acara aksés anomali ka data ieu bakal ngidinan
   ngadeteksi pamaké kompromi jeung sakabéh set polder jeung payil nu sabenerna bisa digolongkeun kana leungeun panyerang, jeung teu ngan nganggap kawas kitu sadaya data sadia pikeun pamaké ieu.
3. Ngawas lalulintas jaringan
   Nganggo firewall sareng/atawa server proxy tiasa ngadeteksi sareng meungpeuk sambungan jahat ka pusat kontrol malware (server C&C), nyegah panyerang tina ngalaksanakeun paréntah sareng ngajantenkeun langkung hese.
   data perimeter.

Prihatin ngeunaan masalah pertambangan abu? Genep rekomendasi pikeun panyalindungan:

1. Tetep sadaya sistem operasi up to date
   Pangaturan patch penting pisan pikeun nyegah nyalahgunakeun sumber daya sareng inféksi malware.
2. Kontrol lalu lintas jaringan sareng proxy wéb
   Laksanakeun ieu pikeun ngadeteksi sababaraha serangan, sareng pikeun nyegah sababaraha serangan anjeun tiasa meungpeuk lalu lintas dumasar kana inpormasi ngeunaan domain jahat atanapi ngawatesan saluran pangiriman data anu teu perlu.
3. Anggo sareng mertahankeun solusi antipirus sareng sistem kaamanan endpoint (Tapi henteu hartosna ngawatesan diri anjeun ngan ukur nganggo lapisan panyalindungan ieu).
   Produk titik akhir tiasa ngadeteksi cryptominers anu terkenal sareng nyegah inféksi sateuacan nyababkeun karusakan kana kinerja sistem sareng panggunaan énergi. Punten perhatikeun yén modifikasi énggal atanapi metode énggal pikeun nyegah deteksi tiasa nyababkeun kaamanan endpoint gagal ngadeteksi vérsi énggal tina malware anu sami.
4. Ngawas aktivitas CPU komputer
   Ilaharna, panambang crypto ngagunakeun prosesor sentral komputer pikeun pertambangan. Perlu nganalisis pesen naon waé ngeunaan panurunan dina pagelaran ("Komputer kuring mimiti ngalambatkeun.").
5. Monitor DNS kanggo panggunaan jasa DNS Dinamis anu teu biasa (sapertos DuckDNS)

   Sanaos DuckDNS sareng jasa Dynamic DNS sanés ngabahayakeun sistem, panggunaan DuckDNS ku malware ngagampangkeun tim investigasi urang pikeun ngadeteksi host anu katépaan.

6. Ngembangkeun Rencana Tanggapan Kajadian
   Pastikeun yén anjeun gaduh prosedur anu dipikabutuh pikeun kajadian sapertos kitu pikeun otomatis ngadeteksi, ngandung, sareng ngirangan ancaman pertambangan crypto abu-abu.

Catetan ka konsumén Varonis.
Varonis DataAlert ngawengku model ancaman anu ngamungkinkeun deteksi malware cryptomining. Konsumén ogé tiasa nyiptakeun aturan khusus pikeun nargétkeun deteksi parangkat lunak dumasar kana domain anu janten calon daptar hideung. Pikeun mastikeun yén anjeun ngajalankeun versi panganyarna tina DatAlert sareng nganggo modél ancaman anu leres, hubungi wakil penjualan anjeun atanapi Rojongan Varonis.

sumber: www.habr.com