Bitcoin-Malware | So sichern Sie digitale Währungen

Bitcoin-Malware | So sichern Sie digitale Währungen

Zeitstempel: 16. Januar 2013, 2:46 Uhr

Bitcoin-Malware | So sichern Sie die digitale Währung PlatoBlockchain Data Intelligence. Vertikale Suche. Ai. Lesezeit: 4 Minuten

Elektronisches Geld (E-Geld) wird immer häufiger von Menschen für Online-Einkäufe verwendet. Und da die Nacht auf den Tag folgt, gewinnt auch das elektronische Geld die Aufmerksamkeit von Malware Autoren, die versuchen, mit allen Mitteln davon zu profitieren. Wir sind auf eine böswillige Stichprobe gestoßen, deren Aufgabe es ist, nicht zu stehlen, sondern digitale Währung mithilfe eines Bitcoin-Mining-Pools (eines verteilten Computernetzwerks zur Generierung von Bitcoins) zu generieren (abzubauen). Der Angriff wird ausgeführt, indem ein Trojaner-Programm in einem Netzwerk von Computercomputern installiert und anschließend mit ihrer Verarbeitungsleistung Bitcoin-Blöcke generiert werden.

Was ist Bitcoin und wie funktioniert es? Im Gegensatz zu herkömmlichen Währungen, die von einer zentralen Behörde wie einer ausstellenden Bank generiert werden, werden Bitcoins bei Bedarf dynamisch über ein dezentrales Peer-to-Peer-Netzwerk von Knoten - oder „Minern“ - generiert. Jeder "Miner" ist eine Reihe von Computerressourcen (manchmal nur ein normaler Computer wie der auf Ihrem Desktop), die für die Abwicklung von Bitcoin-Transaktionen vorgesehen sind. Sobald genügend dieser Transaktionen vorhanden sind, werden sie zu einem "Block" zusammengefasst. Dieser zusätzliche Transaktionsblock wird dann zur "Blockkette" des Masters hinzugefügt, die im gesamten Bitcoin-Netzwerk verwaltet wird. Das Wichtigste dabei ist, dass der Prozess der Herstellung eines "Blocks" sehr hardwareintensiv ist und viel Rechenleistung erfordert. Als Gegenleistung für die freiwillige Bereitstellung ihrer Hardware werden Bergleute, die es schaffen, einen Block zu generieren, mit einer Prämie an Bitcoins belohnt und erhalten Transaktionsgebühren aus diesem Block. Dieses System der Gewährung von Belohnungen an Bergleute ist eigentlich auch der Mechanismus, durch den die Bitcoin-Geldmenge erhöht wird.

Wie bereits erwähnt, sind die Rechenanforderungen für die Erstellung eines Blocks sehr hoch. Je mehr Verarbeitungsleistung eine Entität nutzen kann, desto mehr Transaktionen können sie verarbeiten und desto mehr Bitcoins können sie erhalten. Und welche bessere Quelle für Rechenleistung für einen Hacker als sein eigenes Netzwerk von Zombie-PCs, die unermüdlich Bitcoin-Transaktionen ausführen?

Der Trojaner, der die Mining-Komponenten installiert, hat eine Größe von 80 KB und entschlüsselt bei der Ausführung eine PE-Datei im Speicher .code Abschnitt, bei 0x9400, Größe 0xAA00. Die Entschlüsselung ist ein einfaches Byte-XOR mit 20 aufeinanderfolgenden Byteschlüsseln in .idata Sektion. Die Installationsschritte werden vom neuen entschlüsselten In-Memory-Prozess ausgeführt, der die erforderlichen Komponenten herunterlädt und auch die Mining-Parameter enthält (z. B. Benutzer- und Kennwortanmeldeinformationen für den Mining-Pool, alle in Ressourcen verschlüsselt).

Die verschlüsselte Datei ist mit UPX gepackt. Wichtige Ressourcen in der Datei vorhanden:

Verschlüsselte OTR0-Ressource
bösartiger Binärcode

Es enthält Ausführungsparameter und Anmeldeinformationen für den Mining-Pool („-t 2 -o http://user:password@server.com:port“. Der Parameter -t steht für die Anzahl der Threads, die für Berechnungen verwendet werden. Der Parameter -o gibt den Server an, zu dem eine Verbindung hergestellt werden soll.

Bei der Entschlüsselung werden Adresse und Anmeldeinformationen für den Poolserver angezeigt
bösartiger Binärcode

OTR2 - [7C 6E 6C 63 60 76 25 66 7F 68] - Name der abgelegten Mining-Datei (socket.exe)
OTR8 - [7C 6E 6C 63 60 76 78 2D 62 75 60] - Name, unter dem sich die Datei selbst kopiert (sockets.exe)
OTR9 - [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] - Entschlüsselungsschlüssel für verschlüsselte Ressourcenzeichenfolgen (dies wird verwendet, um die als Ressourcen gespeicherten Zeichenfolgenparameter zu dekodieren).

Die Datei kopiert sich in Meine DokumenteWindowssockets.exe und führt die Kopie aus.

Binärcode

Nach der Ausführung werden die folgenden Dateien heruntergeladen:

- 142.0.36.34/u/main.txt - Eine als "socket.exe" gespeicherte Mining-Binärdatei, die eine Modifikation einer bekannten Open-Source-Mining-Anwendung zu sein scheint.
- 142.0.36.34/u/m.txt - Eine Nur-Text-Datei mit Hex-Werten eines binären PE wird in "mineral.dll" umgewandelt, eine Abhängigkeit der vorherigen.

Webseite Quellcode
Binärcode

- 142.0.36.34/u/usft_ext.txt - Eine Binärdatei, deren Abhängigkeit als "usft_ext.dll" gespeichert ist.
- 142.0.36.34/u/phatk.txt - Gespeichert als "phatk.ptx" - Assembler-Anweisungen für GPUs, die für erweiterte Berechnungen verwendet werden können.
- 142.0.36.34/u/phatk.cl - Gespeichert als "phatk.cl" - Quelldatei für GPU-Berechnungen.

Wenn alle Downloads abgeschlossen sind und Abhängigkeiten vorhanden sind, wird die Mining-Binärdatei mit dekodierten Parametern gestartet und beginnt mit der Berechnung virtueller Münzen. Wie vorhergesagt steigt die CPU-Auslastung und hält den Computer in hoher Last.

Ausführung von Binärcode
Ausführung von Binärcode

Die böswillige Binärdatei kommuniziert nach Abschluss der Rechenzyklen wiederholt mit dem Poolserver und sendet die Ergebnisse ihrer Berechnungen - die „virtuellen Münzen“.

Tropfentrojaner
Tropfentrojaner:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Mining-Binärdatei:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

ITSM-Lösungen

KOSTENLOS TESTEN ERHALTEN SIE IHRE SOFORTIGE SICHERHEITSKORECARD KOSTENLOS

Zeitstempel:

Mehr von Cybersicherheit Comodo