Bitcoini pahavara | Kuidas digitaalvaluutat kindlustada

Lugemisaeg: 4 protokoll

Elektroonilist raha (e-raha) kasutavad inimesed veebist ostude sooritamiseks üha sagedamini. Ja kindlasti, kuna öö järgneb päevale, tähendab see, et ka elektrooniline raha võidab tähelepanu malware autorid, kes püüavad sellest igal võimalikul viisil kasu saada. Kohtasime pahatahtlikku näidist, mille ülesanne ei ole varastada, vaid genereerida ("kaevandada") digitaalset valuutat, kasutades Bitcoini "kaevandusbasseini" (hajutatud arvutusvõrk "Bitcoinide" genereerimiseks). Rünnak viiakse läbi Trooja hobuse programmi installimisega ohvrite arvutite võrku ja seejärel kasutatakse nende töötlemisvõimsust Bitcoini plokkide genereerimiseks.

Mis on Bitcoin ja kuidas see töötab? Noh, erinevalt traditsioonilisest valuutast, mida genereeritakse keskasutuse, näiteks emiteeriva panga kaudu, genereeritakse Bitcoine vastavalt vajadusele dünaamiliselt sõlmede ehk kaevurite detsentraliseeritud peer-to-peer võrgu kaudu. Iga "kaevur" on arvutiressursside kogum (mõnikord lihtsalt tavaline arvuti, nagu teie töölaual olev arvuti), mis on pühendatud Bitcoini tehingutega tegelemisele. Kui neid tehinguid on olnud piisavalt, rühmitatakse need "plokkideks" – ja see täiendav tehingute plokk lisatakse seejärel peamisse "plokiahelasse", mida hoitakse kogu Bitcoini võrgus. Peamine asi, mida siinkohal märkida, on see, et "ploki" loomise protsess on väga riistvaramahukas ja nõuab palju arvutusvõimsust. Vastutasuks oma riistvara vabatahtliku kasutamise eest premeeritakse kaevureid, kes suudavad ploki luua, hulgaliselt Bitcoine ja neile makstakse selle ploki tehingutasud. See kaevurite preemiate andmise süsteem on tegelikult ka mehhanism, mille abil Bitcoini rahapakkumist suurendatakse.

Nagu mainitud, on ploki loomise arvutuslikud nõudmised väga kõrged, nii et mida rohkem töötlemisvõimsust üksus saab kasutada, seda rohkem tehinguid nad saavad käsitleda ja seda rohkem Bitcoine nad võivad saada. Ja mis oleks häkkeri jaoks parem arvutusvõimsuse allikas, kui tema enda zombie-arvutite võrk, mis halastamatult Bitcoini tehinguid maha surub?

Kaevanduskomponente installiv troojalane on 80 KB suurune ja käivitamisel dekrüpteerib mälus PE-faili, mis asub .kood jaotis, 0x9400, suurus 0xAA00. Dekrüpteerimine on lihtne bait XOR, milles asub 20 järjestikust baidivõtit .data osa. Installimise etapid viib läbi uus dekrüpteeritud mäluprotsess, mis laadib alla vajalikud komponendid ja sisaldab ka kaevandamisparameetreid (nt kaevanduskogumi kasutaja- ja paroolimandaadid, mis kõik on ressurssides krüpteeritud).

Krüptitud fail on pakitud UPX-iga. Failis olevad olulised ressursid:

Krüpteeritud OTR0 ressurss

See sisaldab kaevandamisbasseini tööparameetreid ja mandaate (“-t 2 -o http://user:password@server.com:port“. Parameeter -t tähistab arvutustes kasutatavate keermete arvu. Parameeter -o määrab serveri, millega ühenduse luua.

Dekrüpteerimine paljastab basseiniserveri aadressi ja mandaadid

OTR2 – [7C 6E 6C 63 60 76 25 66 7F 68] – mahajäetud kaevandamisfaili nimi (socket.exe)
OTR8 – [7C 6E 6C 63 60 76 78 2D 62 75 60] – nimi, mille all fail ise kopeerib (sockets.exe)
OTR9 – [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] – krüptitud ressursi stringide dekrüpteerimisvõti (seda kasutatakse ressurssidena salvestatud stringiparameetrite dekodeerimiseks)

Fail kopeerib end asukohta Minu dokumendidWindowssockets.exe ja teostab koopia.

Pärast täitmist laadib see alla järgmised failid:

– 142.0.36.34/u/main.txt – kaevandamisbinaarfail, mis on salvestatud nimega „socket.exe”, mis näib olevat teadaoleva avatud lähtekoodiga kaevandusrakenduse modifikatsioon.
– 142.0.36.34/u/m.txt – binaarse PE kuueteistkümnendväärtusi sisaldav lihttekstifail teisendatakse failiks „miner.dll”, mis on eelmise sõltuvus.

– 142.0.36.34/u/usft_ext.txt – binaarfail, sõltuvus salvestatakse kui "usft_ext.dll".
– 142.0.36.34/u/phatk.txt – Salvestatud kui “phatk.ptx” – GPU-de koostajajuhised, mida saab kasutada täpsemate arvutuste tegemiseks.
– 142.0.36.34/u/phatk.cl – Salvestatud kui "phatk.cl" – lähtefail, mis on mõeldud GPU arvutuste jaoks.

Kui kõik allalaadimised on lõpule viidud ja sõltuvused on paigas, käivitatakse kaevandusbinaar koos dekodeeritud parameetritega ja hakkab tegema arvutusi, et genereerida virtuaalseid münte. Nagu ennustatud, suureneb protsessori kasutus, hoides arvuti suure koormuse all.

Pahatahtlik binaar suhtleb arvutustsüklite lõpetamisel korduvalt puuliserveriga ja saadab oma arvutuste tulemused – “virtuaalsed mündid”.

Trooja tilguti:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Kahefaili kaevandamine:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

ITSM lahendused

ALUSTA TASUTA KATSET HANKIGE TASUTA OMA INSTANT TURVAKARTI

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• ChartPrime. Tõsta oma kauplemismängu ChartPrime'iga kõrgemale. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/