Bitcoin Malware | Sådan sikrer du digital valuta

Læsetid: 4 minutter

Elektroniske penge (e-penge) bliver oftere og oftere brugt af folk til at foretage onlinekøb. Og når nat følger dag, betyder det, at elektroniske penge også vinder opmærksomhed malware forfattere, der forsøger at drage fordel af det på enhver mulig måde. Vi stødte på en ondsindet prøve, hvis rolle ikke er at stjæle, men at generere (at 'mine') digital valuta ved hjælp af en Bitcoin 'mining pool' (et distribueret computernetværk til at generere 'Bitcoins'). Angrebet udføres ved at installere et trojansk hesteprogram på et netværk af offercomputere og derefter bruge deres processorkraft til at generere Bitcoin-blokke.

Så hvad er Bitcoin, og hvordan virker det? Tja, i modsætning til traditionel valuta, som genereres gennem en central myndighed som en udstedende bank, genereres Bitcoins dynamisk efter behov gennem et decentraliseret peer-to-peer-netværk af noder – eller 'minere'. Hver 'miner' er et sæt computerressourcer (nogle gange bare en almindelig computer som den på dit skrivebord), der har været brugt til at håndtere Bitcoin-transaktioner. Når der har været nok af disse transaktioner, grupperes de i en 'blok' - og denne ekstra blok af transaktioner føjes derefter til master 'blokkæden', der vedligeholdes på tværs af det større Bitcoin-netværk. Det vigtigste at bemærke her er, at processen med at producere en 'blok' er meget hardwareintensiv og kræver en stor mængde computerkraft. Så til gengæld for at melde sig frivilligt til deres hardware, bliver minearbejdere, der formår at generere en blok, belønnet med en dusør af Bitcoins og givet eventuelle transaktionsgebyrer fra den blok. Dette system til at give belønninger til minearbejdere er faktisk også den mekanisme, hvormed Bitcoin pengemængden øges.

Som nævnt er de beregningsmæssige krav til at producere en blok meget høje, så jo mere processorkraft en enhed kan bruge, jo flere transaktioner kan de håndtere, og jo flere Bitcoins kan de modtage. Og hvilken bedre kilde til beregningskraft for en hacker end hans eget netværk af zombie-pc'er, der ubønhørligt knuser Bitcoin-transaktioner?

Trojaneren, der installerer minekomponenterne, er 80 KB stor, og ved udførelse dekrypterer den i hukommelsen en PE-fil, der er placeret i .kode sektion, ved 0x9400, størrelse 0xAA00. Dekryptering er en simpel byte XOR, med 20 på hinanden følgende byte nøgler placeret i .idata afsnit. Installationstrinene tages af den nye dekrypterede proces i hukommelsen, som downloader de nødvendige komponenter og også indeholder mineparametrene (såsom bruger- og adgangskodelegitimationsoplysninger til minepuljen, alt krypteret i ressourcer).

Den krypterede fil er pakket med UPX. Vigtige ressourcer til stede i filen:

Krypteret OTR0-ressource

Den indeholder køreparametre og legitimationsoplysninger til minepulje ("-t 2 -o http://user:password@server.com:port“. Parameteren -t står for antallet af tråde, der bruges til beregninger. Parameteren -o angiver den server, der skal oprettes forbindelse til.

Dekryptering afslører adresse og legitimationsoplysninger for poolserveren

OTR2 – [7C 6E 6C 63 60 76 25 66 7F 68] – navnet på den droppede minefil (socket.exe)
OTR8 – [7C 6E 6C 63 60 76 78 2D 62 75 60] – navn, som filen selvkopierer under (sockets.exe)
OTR9 – [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] – dekrypteringsnøgle til krypterede ressourcestrenge (dette vil blive brugt til at afkode strengparametrene gemt som ressourcer)

Filen kopierer sig selv til My DocumentsWindowssockets.exe og udfører kopien.

Efter udførelse downloader den følgende filer:

– 142.0.36.34/u/main.txt – En minedrift gemt som "socket.exe", som ser ud til at være en modifikation af en kendt open source-mineapplikation.
– 142.0.36.34/u/m.txt – En almindelig tekstfil, der indeholder hex-værdier af en binær PE vil blive transformeret til "miner.dll", en afhængighed af den foregående.

– 142.0.36.34/u/usft_ext.txt – En binær fil, afhængighed gemt som "usft_ext.dll".
– 142.0.36.34/u/phatk.txt – Gemt som “phatk.ptx” – assembler-instruktioner til GPU'er, som kan bruges til avancerede beregninger.
– 142.0.36.34/u/phatk.cl – Gemt som “phatk.cl” – kildefil designet til GPU-beregninger.

Når alle downloads er færdige, og afhængigheder er på plads, lanceres mining-binæren med afkodede parametre og begynder at lave beregninger for at generere virtuelle mønter. Som forudsagt stiger CPU-forbruget, hvilket holder computeren i høj belastning.

Det ondsindede binære program kommunikerer gentagne gange med poolserveren, når de afslutter beregningscyklusser og sender resultaterne af dens beregninger - de "virtuelle mønter".

Dropper trojan:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Mining binær:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

ITSM løsninger

START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• ChartPrime. Løft dit handelsspil med ChartPrime. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/