Varonis bir kripto madenciliği virüsü keşfetti: araştırmamız

Siber güvenlik araştırma ekibimiz yakın zamanda orta ölçekli bir şirkette neredeyse tamamen kripto madencilik virüsü bulaşmış bir ağı araştırdı. Analiz
Toplanan kötü amaçlı yazılım örnekleri, yeni bir değişikliğin bulunduğunu gösterdi
bu tür virüsler denir Normandiyavarlığını gizlemek için çeşitli yöntemler kullanıyor. Ayrıca keşfedildi etkileşimli web kabuğumadencilik işletmecileri için geçerli olabilir.

Çalışmaya Genel Bakış

• Varonis şirketi, kripto madencilerinden kaynaklanan büyük ölçekli bir enfeksiyon tespit etti: şirketteki neredeyse tüm sunuculara ve iş istasyonlarına bu tür yazılımlar bulaştı
• Bir yıldan uzun bir süre önce ilk bulaşmanın yaşanmasından bu yana, modifikasyonların ve virüs bulaşan cihazların sayısı giderek arttı
• Tespit edilmekten kaçınmak amacıyla güvenlik yazılımı tarafından analizden saklanmak için çeşitli yöntemler kullanan yeni bir Monero kripto madencisi (Norman) türü keşfettik
• Kötü amaçlı yazılım türlerinin çoğu, kontrol merkezine (C&C sunucuları) bağlanmak ve yapılandırma parametrelerini almak veya yeni veriler göndermek için DuckDNS'yi (ücretsiz bir Dinamik DNS hizmeti) kullanıyordu
• Norman, açık kaynaklı madenciyi temel alan yüksek performanslı bir Monero kripto para madencisidir - XMRig
• Henüz kripto madencilerini etkileşimli bir PHP kabuğuna bağlayan reddedilemez bir kanıta sahip değiliz. Ancak bunların aynı saldırgandan geldiğine inanmak için iyi nedenler var. Araştırmacılar böyle bir bağlantının varlığına veya yokluğuna ilişkin ek kanıtlar topluyor.
• Bu makalede Varonis'in uzak web kabuklarına ve kripto madencilere karşı korunmaya ilişkin önerilerini öğrenebilirsiniz.

soruşturma

Soruşturma bir sonraki pilot proje sırasında başladı Platformlar
siber güvenlik Varonis (Varonis Veri Güvenliği Platformu), dosya sistemindeki anormal eylemlerle ilişkili İnternet istekleri sırasında (bir web proxy aracılığıyla) ağ düzeyindeki birkaç şüpheli anormal olayı hızlı bir şekilde tanımlamayı mümkün kıldı.
Müşteri, Platformumuz tarafından tanımlanan cihazların
yakın zamanda uygulama çökmeleri ve ağ yavaşlamaları bildiren kullanıcılara aitti.

Ekibimiz, Varonis Platformu tarafından oluşturulan uyarılara uygun olarak virüs bulaşmış bir istasyondan diğerine geçerek müşterinin ortamını manuel olarak inceledi. Olay müdahale ekibi özel bir kural geliştirdi. DataAlert modülü Aktif olarak madencilik yapan bilgisayarları tespit etmek, tehdidin hızla ortadan kaldırılmasına yardımcı oldu. Toplanan kötü amaçlı yazılım örnekleri, örneklerin daha fazla incelenmesinin gerekli olduğunu bildiren adli tıp ve geliştirme ekiplerine gönderildi.
Virüslü düğümler, yaptıkları çağrılar sayesinde keşfedildi ÖrdekDNS, kullanıcılarının kendi alan adlarını oluşturmalarına ve bunları değişen IP adresleriyle hızlı bir şekilde eşleştirmelerine olanak tanıyan bir Dinamik DNS hizmetidir. Yukarıda belirtildiği gibi, olaydaki kötü amaçlı yazılımların çoğu kontrol merkezine (C&C) bağlanmak için DuckDNS'e erişirken, diğerleri yapılandırma parametrelerine erişti veya yeni veriler gönderdi.

Neredeyse tüm sunuculara ve bilgisayarlara kötü amaçlı yazılım bulaştı. Esas olarak kullanılır
kripto madencilerin ortak çeşitleri. Diğer kötü amaçlı yazılımlar arasında parola dökümü araçları ve PHP kabukları yer alıyordu ve bazı araçlar birkaç yıldır çalışıyordu.

Sonuçları müşteriye sağladık, kötü amaçlı yazılımı ortamdan kaldırdık ve daha fazla bulaşmayı durdurduk.

Keşfedilen tüm kripto madenci örnekleri arasında bir tanesi göze çarpıyordu. Ona adını verdik Normandiya.

Bizimle buluş! Norman. Kripto madenci

Norman, XMRig kodunu temel alan yüksek performanslı bir Monero kripto para madencisidir. Bulunan diğer madenci örneklerinden farklı olarak Norman, tespit edilmekten kaçınmak ve daha fazla yayılmasını önlemek için onu güvenlik yazılımı tarafından analizden gizleme tekniklerini kullanıyor.

İlk bakışta bu kötü amaçlı yazılımın svchost.exe adı altında saklanan sıradan bir madenci olduğu görülüyor. Ancak çalışma, tespit edilmekten saklanmak ve işleri devam ettirmek için daha ilginç yöntemler kullandığını buldu.

Bu kötü amaçlı yazılımın dağıtım süreci üç aşamaya ayrılabilir:

• verim;
• uygulama;
• madencilik.

Adım adım analiz

Aşama 1. Yürütme

İlk aşama yürütülebilir dosya svchost.exe ile başlar.

Bu kötü amaçlı yazılım, alışılmadık bir şekilde NSIS (Nullsoft Scriptable Install System) kullanılarak derlenmiştir. NSIS, yükleyiciler oluşturmak için kullanılan açık kaynaklı bir sistemdir. WindowsSFX gibi, bu sistem de bir dosya arşivi ve yükleyici çalıştırıldığında yürütülen bir komut dosyası oluşturur. Komut dosyası, programa hangi dosyaların çalıştırılacağını söyler ve arşivdeki diğer dosyalarla etkileşim kurabilir.

Not: Yürütülebilir bir dosyadan NSIS komut dosyası elde etmek için, sonraki sürümler bu özelliği uygulamadığından 7zip sürüm 9.38'i kullanmanız gerekir.

NSIS arşivlenmiş kötü amaçlı yazılım aşağıdaki dosyaları içerir:

• CallAnsiPlugin.dll, CLR.dll - .NET DLL işlevlerini çağırmak için NSIS modülleri;
• 5zmjbxUIOVQ58qPR.dll - ana yük DLL'si;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - yük dosyaları;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png, yalnızca daha fazla kötü amaçlı etkinlikle hiçbir ilgisi olmayan dosyalardır.

Payload'ı çalıştıran NSIS script dosyasındaki komut aşağıda verilmiştir.

Kötü amaçlı yazılım, diğer dosyaları parametre olarak alan 5zmjbxUIOVQ58qPR.dll işlevi çağrılarak yürütülür.

Aşama 2. Uygulama

Yukarıdaki NSIS betiğinden görülebileceği gibi 5zmjbxUIOVQ58qPR.dll dosyası ana yüktür. Meta verilerin hızlı bir analizi, DLL'nin orijinal olarak Norman.dll olarak adlandırıldığını ortaya çıkardı, bu yüzden ona bu adı verdik.

DLL dosyası .NET'te geliştirilmiştir ve üçlü şaşırtma yöntemiyle tersine mühendisliğe karşı korunmaktadır.
Tanınmış ticari ürün Agile .NET Obfuscator'ı kullanarak.

Yürütme sırasında, birçok kendi kendine enjeksiyon işlemi, diğer süreçlerin yanı sıra kendi sürecine de dahil olur. İşletim sistemi bit derinliğine bağlı olarak, kötü amaçlı yazılım
sistem klasörlerine farklı yollar seçin ve farklı işlemleri başlatın.

Kötü amaçlı yazılım, sistem klasörü yoluna bağlı olarak çalıştırılacak farklı işlemleri seçecektir.

Enjekte edilen yükün iki ana işlevi vardır: bir kripto madenciyi çalıştırmak ve algılamayı önlemek.

İşletim sistemi 64 bit ise

Orijinal svchosts.exe dosyası (NSIS dosyası) çalıştırıldığında kendine ait yeni bir süreç oluşturur ve veri yükünü (1) ona enjekte eder. Kısa bir süre sonra, notepad.exe veya explorer.exe'yi başlatır ve kripto madenciyi ona enjekte eder (2).

Bundan sonra orijinal svchost.exe dosyası çıkar ve yeni svchost.exe dosyası, madenci sürecini izleyen bir program olarak kullanılır.

İşletim sistemi 32 bit ise

Orijinal svchosts.exe dosyası (NSIS dosyası) çalıştırıldığında, tıpkı 64 bit sürümde olduğu gibi, kendi işlemini çoğaltır ve veriyi ona enjekte eder.

Bu durumda kötü amaçlı yazılım, kullanıcının explorer.exe işlemine bir veri yükü enjekte eder. Kötü amaçlı kod buradan yeni bir işlem (wuapp.exe veya vchost.exe) başlatır ve ona bir madenci enjekte eder.

Kötü amaçlı yazılım, daha önce enjekte edilen kodun üzerine wuapp.exe yolunu ve boş değerleri yazarak kendisini explorer.exe'ye enjekte ettiği gerçeğini gizler.

64 bit ortamda çalışırken olduğu gibi, orijinal svchost.exe işleminden çıkılır ve işlem kullanıcı tarafından sonlandırılırsa ikincisi, kötü amaçlı kodu explorer.exe'ye yeniden enjekte etmek için kullanılır.

Yürütme algoritmasının sonunda kötü amaçlı yazılım, başlattığı meşru sürece her zaman bir kripto madenci enjekte eder.

Kullanıcı Görev Yöneticisini başlattığında madenciyi sonlandırarak tespit edilmesini önlemek için tasarlanmıştır.

Görev Yöneticisi'ni başlattıktan sonra wuapp.exe işleminin sona erdiğini lütfen unutmayın.

Görev yöneticisini kapattıktan sonra kötü amaçlı yazılım, wuapp.exe işlemini tekrar tekrar başlatıyor
madenci onu içine enjekte eder.

Aşama 3. Madenci

Yukarıda bahsedilen XMRig madencisini düşünün.

Kötü amaçlı yazılım, madencinin gizlenmiş bir UPX sürümünü not defterine, exe'ye, explorer.exe'ye enjekte eder.
İşletim sistemi bit derinliğine ve yürütme algoritmasının aşamasına bağlı olarak svchost.exe veya wuapp.exe.

Madencideki PE başlığı kaldırıldı ve aşağıdaki ekran görüntüsünde UPX ile maskelendiğini görebiliyoruz.

Bir döküm oluşturduktan ve yürütülebilir dosyayı yeniden oluşturduktan sonra onu çalıştırabildik:

Hedef XMR sitesine erişimin reddedildiğini ve bunun da bu madenciyi etkili bir şekilde etkisiz hale getirdiğini belirtmek gerekir.

Madenci yapılandırması:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

C&C'ye veri aktaran gizemli PHP kabuğu

Bu soruşturma sırasında adli tıp ekibimiz dikkatlerini çeken bir XSL dosyası keşfetti. Örneğin derinlemesine analizinin ardından, kontrol merkezine (C&C sunucusu) sürekli bağlanan yeni bir PHP kabuğu keşfedildi.

Müşterinin ortamındaki birden fazla sunucuda, bilinen bir yürütülebilir dosya tarafından çalıştırılan bir XSL dosyası bulundu. Windows (mscorsv.exe) dosyasını sysWOW64 dizinindeki bir klasörden indirin.

Kötü amaçlı yazılım klasörüne Otomatik Kurtarma adı verildi ve birkaç dosya:

• XSL dosyası: xml.XSL
• dokuz DLL dosyası

Yürütülebilir dosyalar:

• Mscorsv.exe
• Wmiprvse.exe

XSL dosyası

XSL dosyaları, bir XML belgesinin nasıl görüntüleneceğini açıklayan, CSS'de kullanılanlara benzer stil sayfalarıdır.

Notepad'i kullanarak bunun aslında bir XSL dosyası değil, Zend Guard tarafından gizlenen PHP kodu olduğunu belirledik. Bu ilginç gerçek şunu gösteriyordu:
Kötü amaçlı yazılımın yükü, yürütme algoritmasına göre belirlenir.

Dokuz DLL

XSL dosyasının ilk analizi böyle bir sayının varlığının ortaya çıkmasına neden oldu.
DLL'lerin belirli bir anlamı vardır. Ana klasörde php.dll adlı bir DLL ve SSL ve MySQL ile ilgili diğer üç kitaplık bulunur. Uzmanlar alt klasörlerde dört PHP kütüphanesi ve bir Zend Guard kütüphanesi buldu. Hepsi yasaldır ve PHP kurulum paketinden veya harici dll dosyaları olarak elde edilir.

Bu aşamada zararlı yazılımın PHP tabanlı oluşturulduğu ve Zend Guard tarafından gizlendiği varsayıldı.

Yürütülebilir dosyalar

Ayrıca bu klasörde iki yürütülebilir dosya vardı: Mscorsv.exe ve Wmiprvse.exe.

mscorsv.exe dosyasını analiz ettikten sonra ProductName parametresi “Microsoft.msc” olarak ayarlanmış olmasına rağmen Microsoft tarafından imzalanmadığını tespit ettik. Net Çerçevesi".
İlk başta garip geldi ama Wmiprvse.exe'yi analiz etmek durumu daha iyi anlamamızı sağladı.

Wmiprvse.exe dosyası da imzasızdı ancak bir PHP grubu telif hakkı simgesi ve bir PHP simgesi içeriyordu. Satırlarına hızlı bir bakış, PHP yardımındaki komutları ortaya çıkardı. -version anahtarıyla çalıştırıldığında, bunun Zend Guard'ı çalıştırmak için tasarlanmış yürütülebilir bir dosya olduğu keşfedildi.

Mscorsv.exe benzer şekilde başlatıldığında aynı veriler ekranda görüntülendi. Bu iki dosyanın ikili verilerini karşılaştırdık ve meta veriler dışında aynı olduklarını gördük.
Telif Hakkı ve Şirket Adı/Ürün Adı.

Buna dayanarak XSL dosyasının, mscorsv.exe adı altında gizlenmiş Zend Guard yürütülebilir dosyası kullanılarak çalıştırılan PHP kodunu içerdiği sonucuna varıldı.

XSL dosyasını ayrıştırma

Uzmanlar, bir İnternet araması kullanarak Zend Guard kod gösterme aracını hızla elde etti ve xml.XSL dosyasının orijinal görünümünü geri yükledi:

Kötü amaçlı yazılımın kendisinin sürekli olarak kontrol merkezine (C&C sunucusu) bağlı olan bir PHP kabuğu olduğu ortaya çıktı.

Gönderdiği ve aldığı komutlar ve çıktılar şifrelenir. Kaynak kodu elimizde olduğundan hem şifreleme anahtarımız hem de komutlarımız vardı.

Bu kötü amaçlı yazılım aşağıdaki yerleşik işlevleri içerir:

• Eval - Genellikle koddaki mevcut değişkenleri değiştirmek için kullanılır
• Yerel dosya kaydı
• Veritabanıyla çalışma olanakları
• PSEXEC ile çalışma olanakları
• Gizli Yürütme
• Haritalama Süreçleri ve Hizmetleri

Aşağıdaki değişken, kötü amaçlı yazılımın birden fazla sürümü olduğunu gösteriyor.

Örnekleri toplarken aşağıdaki versiyonlar keşfedildi:

• 0.5f
• 0.4p
• 0.4o

Kötü amaçlı yazılımın sistemde sürekli varlığını sağlamanın tek işlevi, çalıştırıldığında kendisini çalıştıran bir hizmet oluşturması ve adını vermesidir.
sürümden sürüme değişir.

Uzmanlar internette benzer örnekler bulmaya çalıştı ve kötü amaçlı yazılım keşfetti
Onlara göre bu, mevcut örneğin önceki bir versiyonuydu. Klasörün içeriği benzerdi ancak XSL dosyası farklıydı ve farklı bir sürüm numarasına sahipti.

Parle-Vu Kötü Amaçlı Yazılım mı?

Kötü amaçlı yazılımın kaynağı Fransa veya Fransızca konuşulan başka bir ülke olabilir: SFX dosyasında Fransızca yorumlar vardı, bu da yazarın dosyayı oluşturmak için WinRAR'ın Fransızca sürümünü kullandığını gösteriyordu.

Ayrıca kodda yer alan bazı değişken ve fonksiyonlara da Fransızca isim verilmiş.

Yürütmeyi izleme ve yeni komutları bekleme

Uzmanlar kötü amaçlı yazılım kodunu değiştirdi ve önceden değiştirilmiş olanı güvenli bir şekilde başlattı
Aldığı komutlar hakkında bilgi toplamak için sürüm.

İlk iletişim oturumunun sonunda uzmanlar, kötü amaçlı yazılımın, EVAL64 başlatma anahtarı için argüman olarak Base64 kullanılarak kodlanmış bir komut aldığını gördü.
Bu komutun kodu çözülür ve yürütülür. Birkaç dahili değişkeni (okuma ve yazma arabelleği boyutları) değiştirir ve ardından kötü amaçlı yazılım, komutları bekleyen bir çalışma döngüsüne girer.

Şu anda yeni bir komut alınmadı.

Etkileşimli PHP kabuğu ve kripto madenci: ilişkililer mi?

Varonis uzmanları Norman'ın bir PHP kabuğuyla ilişkili olup olmadığından emin değiller çünkü bu varsayımın hem lehine hem de aleyhine güçlü argümanlar var:

Neden ilişkili olabilirler?

• Kötü amaçlı kripto madenciliği yazılımı örneklerinin hiçbiri, çeşitli ağ segmentlerindeki çeşitli cihazlarda bulunmasına rağmen, bağımsız olarak diğer sistemlere yayılma yeteneğine sahip değildi. Saldırganın her bir düğüme ayrı ayrı bulaşmış olması mümkündür (belki de Hasta Sıfır'ı enfekte ederken kullandığı aynı saldırı vektörünü kullanarak), ancak saldırının hedefi olan ağa yayılmak için bir PHP kabuğu kullanmak daha etkili olacaktır.
• Belirli bir kuruluşa yönelik büyük ölçekli, hedefli otomatik kampanyalar genellikle geride teknik eserler veya siber güvenlik tehditlerinin tanınabilir izlerini bırakır. Bu durumda böyle bir şey bulunamadı.
• Hem Norman hem de PHP kabuğu DuckDNS hizmetini kullanıyordu.

Neden ilişkili olmayabilirler?

• Kripto madenciliği kötü amaçlı yazılım çeşitleri ile PHP kabuğu arasında teknik benzerlik yoktur. Kötü niyetli kripto madenci C++ dilinde oluşturulmuştur ve kabuk PHP'dedir. Ayrıca kod yapısında benzerlik yoktur ve ağ fonksiyonları farklı şekilde uygulanmaktadır.
• Kötü amaçlı yazılım çeşitleri ile PHP kabuğu arasında veri alışverişi için doğrudan bir iletişim yoktur.
• Geliştirici yorumlarını, dosyalarını, meta verilerini veya dijital parmak izlerini paylaşmazlar.

Uzak mermilere karşı koruma için üç öneri

Çalışmak için kontrol merkezinden (C&C sunucuları) komutlar gerektiren kötü amaçlı yazılımlar normal virüsler gibi değildir. Eylemleri o kadar tahmin edilebilir değil ve bir bilgisayar korsanının veya pentester'ın otomatik araçlar veya komut dosyaları olmadan gerçekleştirdiği eylemlere daha çok benzeyecek. Bu nedenle, kötü amaçlı yazılım imzası olmayan bu saldırıları tespit etmek, normal antivirüs taramasından daha zordur.

Aşağıda şirketleri uzak kabuklardan korumaya yönelik üç öneri yer almaktadır:

1. Tüm yazılımı güncel tutun
   Saldırganlar genellikle bir kuruluşun ağına yayılmak ve ilgilenilen verileri aramak için yazılım ve işletim sistemlerindeki güvenlik açıklarını kullanır.
   Çalınması. Zamanında yama uygulanması bu tür tehditlerin riskini önemli ölçüde azaltır.
2. Anormal veri erişim olaylarını izleyin
   Büyük olasılıkla saldırganlar kuruluşun gizli verilerini çevrenin dışına çıkarmaya çalışacaktır. Bu verilere anormal erişim olaylarının izlenmesi,
   Güvenliği ihlal edilmiş kullanıcıları ve aslında saldırganların eline geçebilecek klasör ve dosya kümesinin tamamını tespit edin ve yalnızca bu kullanıcıların erişebildiği tüm verileri bu şekilde değerlendirmeyin.
3. Ağ trafiğini izleyin
   Bir güvenlik duvarı ve/veya proxy sunucusu kullanmak, kötü amaçlı yazılım kontrol merkezlerine (C&C sunucuları) yapılan kötü amaçlı bağlantıları tespit edip engelleyebilir, böylece saldırganların komutları yürütmesini önleyebilir ve saldırganların komutları yürütmesini zorlaştırabilir.
   çevre verileri.

Gri madencilik konusunda endişeli misiniz? Koruma için altı öneri:

1. Tüm işletim sistemlerini güncel tutun
   Kaynakların kötüye kullanımını ve kötü amaçlı yazılım bulaşmalarını önlemek için yama yönetimi çok önemlidir.
2. Ağ trafiğini ve web proxy'lerini kontrol edin
   Bazı saldırıları tespit etmek için bunu yapın ve bazılarını önlemek için, kötü amaçlı alan adlarına ilişkin bilgilere dayalı trafiği engelleyebilir veya gereksiz veri aktarım kanallarını sınırlayabilirsiniz.
3. Antivirüs çözümlerini ve uç nokta güvenlik sistemlerini kullanın ve sürdürün (Ancak hiçbir şekilde kendinizi yalnızca bu koruma katmanını kullanmakla sınırlamayın).
   Uç nokta ürünleri, iyi bilinen kripto madencileri tespit edebilir ve sistem performansına ve enerji kullanımına zarar vermeden önce enfeksiyonları önleyebilir. Yeni değişikliklerin veya algılamayı engellemeye yönelik yeni yöntemlerin, uç nokta güvenliğinin aynı kötü amaçlı yazılımın yeni sürümlerini algılamada başarısız olmasına neden olabileceğini lütfen unutmayın.
4. Bilgisayarın CPU etkinliğini izleyin
   Tipik olarak, kripto madencileri madencilik için bir bilgisayarın merkezi işlemcisini kullanır. Performansın düştüğüne dair mesajların analiz edilmesi gerekir (“Bilgisayarım yavaşlamaya başladı.”).
5. Dinamik DNS hizmetlerinin (DuckDNS gibi) olağandışı kullanımı için DNS'yi izleyin

   DuckDNS ve diğer Dinamik DNS hizmetleri doğası gereği sisteme zararlı olmasa da DuckDNS'in kötü amaçlı yazılımlar tarafından kullanılması, araştırma ekiplerimizin virüslü ana bilgisayarları tespit etmesini kolaylaştırdı.

6. Bir Olay Müdahale Planı Geliştirin
   Bu tür olayların gri kripto madenciliği tehdidini otomatik olarak tespit etmesi, kontrol altına alması ve hafifletmesi için gerekli prosedürlere sahip olduğunuzdan emin olun.

Varonis müşterilerine not.
Varonis Veri Uyarısı Kripto madenciliği kötü amaçlı yazılımlarının tespit edilmesini sağlayan tehdit modellerini içerir. Müşteriler ayrıca kara listeye alınmaya aday etki alanlarına göre yazılım tespitini hedeflemek için özel kurallar da oluşturabilir. DataAlert'in en son sürümünü çalıştırdığınızdan ve doğru tehdit modellerini kullandığınızdan emin olmak için satış temsilciniz veya Varonis Destek ile iletişime geçin.

Kaynak: habr.com