Bitcoin Malware | Hogyan tegyük a digitális valuta biztosítását

Olvasási idő: 4 jegyzőkönyv

Az elektronikus pénzt (e-pénzt) az emberek egyre gyakrabban használják online vásárlásra. És persze ahogy éjszaka követi a napot, ez azt jelenti, hogy az elektronikus pénz is felkelti a figyelmet malware szerzők, akik minden lehetséges eszközzel próbálnak hasznot húzni belőle. Találkoztunk egy rosszindulatú mintával, amelynek nem az a szerepe, hogy lopjon, hanem digitális valutát generál ("bányászok") egy Bitcoin "bányászati ​​készlet" (egy elosztott számítási hálózat a "Bitcoinok" előállítására) segítségével. A támadást úgy hajtják végre, hogy egy trójai programot telepítenek az áldozat számítógépek hálózatára, majd a feldolgozási teljesítményüket használják Bitcoin blokkok generálására.

Tehát mi az a Bitcoin és hogyan működik? Nos, ellentétben a hagyományos valutával, amelyet egy központi hatóságon, például egy kibocsátó bankon keresztül állítanak elő, a bitcoinokat dinamikusan generálják szükség szerint a csomópontok – vagy „bányászok” decentralizált peer-to-peer hálózatán keresztül. Minden „bányász” számítógépes erőforrások halmaza (néha csak egy szokásos számítógép, mint amilyen az Ön asztalán van), amelyet a Bitcoin-tranzakciók kezelésének szenteltek. Ha már elég volt ezekből a tranzakciókból, azokat egy „blokkba” csoportosítják – és ezt a további tranzakcióblokkot hozzáadják a fő „blokklánchoz”, amelyet a nagyobb Bitcoin hálózaton keresztül tartanak fenn. A legfontosabb dolog, amit itt meg kell jegyezni, hogy a „blokk” előállításának folyamata nagyon hardverigényes, és nagy számítási teljesítményt igényel. Tehát a hardver önkéntes felajánlásáért cserébe azok a bányászok, akiknek sikerül blokkot generálniuk, bőséges Bitcoint kapnak, és a blokkból származó tranzakciós díjat is megkapják. A bányászoknak jutalmazó rendszer valójában egyúttal a Bitcoin pénzkínálatának növelésének mechanizmusa is.

Amint már említettük, egy blokk létrehozásának számítási igénye nagyon magas, így minél több feldolgozási teljesítményt tud használni egy entitás, annál több tranzakciót tud kezelni, és annál több Bitcoint kaphat. És mi lehetne jobb számítási teljesítményforrás egy hacker számára, mint saját zombi-PC-hálózata, amely könyörtelenül rontja a Bitcoin-tranzakciókat?

A bányászati ​​komponenseket telepítő trójai 80 KB méretű, és végrehajtáskor visszafejt egy PE fájlt a memóriában. .kód szakasz, 0x9400, 0xAA00 méret. A visszafejtés egy egyszerű bájtos XOR, amelyben 20 egymást követő bájtos kulcs található .data szakasz. A telepítési lépéseket az új, dekódolt memórián belüli folyamat hajtja végre, amely letölti a szükséges összetevőket, és tartalmazza a bányászati ​​paramétereket is (például a bányászati ​​készlet felhasználói és jelszavai hitelesítő adatait, mind erőforrásokban titkosítva).

A titkosított fájl UPX-szel van csomagolva. A fájlban található fontos források:

Titkosított OTR0 erőforrás

Futó paramétereket és hitelesítő adatokat tartalmaz a bányászati ​​készlethez (“-t 2 -o http://user:password@server.com:port“. A -t paraméter a számításokhoz használt szálak számát jelenti. Az -o paraméter határozza meg a kiszolgálót, amelyhez csatlakozni kell.

A visszafejtés felfedi a készletkiszolgáló címét és hitelesítő adatait

OTR2 – [7C 6E 6C 63 60 76 25 66 7F 68] – az eldobott bányászati ​​fájl neve (socket.exe)
OTR8 – [7C 6E 6C 63 60 76 78 2D 62 75 60] – név, amely alatt a fájl önmagától másolódik (sockets.exe)
OTR9 – [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] – Dekódoló kulcs a titkosított erőforrás-karakterláncokhoz (ezt használják az erőforrásként tárolt karakterlánc-paraméterek dekódolására)

A fájl átmásolja magát ide My DocumentsWindowssockets.exe és végrehajtja a másolatot.

A végrehajtás után a következő fájlokat tölti le:

– 142.0.36.34/u/main.txt – „socket.exe” néven mentett bányászati ​​bináris fájl, amely úgy tűnik, egy ismert nyílt forráskódú bányászati ​​alkalmazás módosítása.
– 142.0.36.34/u/m.txt – A bináris PE hexadecimális értékeit tartalmazó egyszerű szöveges fájl „miner.dll”-vé alakul, amely az előző függősége.

– 142.0.36.34/u/usft_ext.txt – Bináris fájl, a függőség „usft_ext.dll” néven mentve.
– 142.0.36.34/u/phatk.txt – „Phatk.ptx” néven mentve – GPU-k összeszerelői utasításai, amelyek speciális számításokhoz használhatók.
– 142.0.36.34/u/phatk.cl – „phatk.cl” néven mentve – GPU-számításokhoz tervezett forrásfájl.

Amikor az összes letöltés befejeződött és a függőségek a helyükön vannak, a bányászati ​​bináris elindul dekódolt paraméterekkel, és elkezdi a számításokat a virtuális érmék generálásához. Az előrejelzéseknek megfelelően a CPU-használat növekszik, így a számítógép nagy terhelésben marad.

A rosszindulatú bináris a számítási ciklusok befejeztével ismételten kommunikál a pool szerverrel, és elküldi számításainak eredményét – a „virtuális érméket”.

Dropper trójai:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Bányászat bináris:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

ITSM megoldások

INGYENES PRÓBA INDÍTÁSA INGYEN SZEREZZE MEG AZONNALI BIZTONSÁGI EREDMÉNYKÁRTYÁT

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• ChartPrime. Emelje fel kereskedési játékát a ChartPrime segítségével. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/