Malware Bitcoin | Come procedere per proteggere la valuta digitale

Malware Bitcoin | Come procedere per proteggere la valuta digitale

Timestamp: 16 gennaio 2013 2:46

Malware Bitcoin | Come procedere per proteggere la valuta digitale PlatoBlockchain Data Intelligence. Ricerca verticale. Ai. Momento della lettura: 4 verbale

La moneta elettronica (moneta elettronica) viene utilizzata sempre più spesso dalle persone per effettuare acquisti online. E sicuramente man mano che la notte segue il giorno, questo significa che anche la moneta elettronica sta guadagnando attenzione il malware autori che stanno provando a trarne beneficio con ogni mezzo possibile. Abbiamo riscontrato un campione dannoso, il cui ruolo non è rubare ma generare ("estrarre") la valuta digitale utilizzando un "pool di mining" di Bitcoin (una rete computazionale distribuita per generare "Bitcoin"). L'attacco viene eseguito installando un programma trojan horse su una rete di computer vittime e quindi sfruttando la loro potenza di elaborazione per generare blocchi Bitcoin.

Cos'è Bitcoin e come funziona? Bene, a differenza della valuta tradizionale, che viene generata attraverso un'autorità centrale come una banca emittente, i Bitcoin sono generati dinamicamente come e quando richiesto attraverso una rete decentralizzata di nodi peer-to-peer - o "minatori". Ogni 'minatore' è un insieme di risorse informatiche (a volte solo un normale computer come quello sul desktop) che è stato dedicato alla gestione delle transazioni Bitcoin. Una volta che ci sono state abbastanza di queste transazioni, vengono raggruppate in un "blocco" - e questo ulteriore blocco di transazioni viene quindi aggiunto alla "catena di blocchi" principale che viene mantenuta attraverso la rete Bitcoin maggiore. La cosa fondamentale da notare qui è che il processo di produzione di un 'blocco' richiede molta hardware e richiede molta potenza di calcolo. Quindi, in cambio del volontariato del loro hardware, i minatori che riescono a generare un blocco vengono premiati con una generosità di Bitcoin e ricevono tutte le commissioni di transazione da quel blocco. Questo sistema di concessione di premi ai minatori è in realtà anche il meccanismo attraverso il quale aumenta l'offerta di moneta Bitcoin.

Come accennato, le esigenze computazionali di produzione di un blocco sono molto elevate, quindi maggiore è la potenza di elaborazione che un'entità può utilizzare, più transazioni possono gestire e più Bitcoin sono suscettibili di ricevere. E quale migliore fonte di potenza computazionale per un hacker rispetto alla sua stessa rete di PC zombi che sgranocchia incessantemente transazioni Bitcoin?

Il trojan che installa i componenti di mining ha una dimensione di 80 KB e, in fase di esecuzione, decodifica in memoria un file PE situato nel .code sezione, a 0x9400, dimensione 0xAA00. La decrittografia è un semplice byte XOR, con 20 chiavi di byte successive posizionate in .dati sezione. Le fasi dell'installazione sono prese dal nuovo processo in memoria decrittografato che scarica i componenti necessari e contiene anche i parametri di mining (come le credenziali utente e password per il pool di mining, tutte crittografate nelle risorse).

Il file crittografato è compresso con UPX. Risorse importanti presenti nel file:

Risorsa OTR0 crittografata
codice binario dannoso

Contiene parametri e credenziali in esecuzione per il pool di mining (“-t 2 -o http://user:password@server.com:port“. Il parametro -t indica il numero di thread utilizzati per i calcoli. Il parametro -o consente di specificare il server a cui connettersi.

La decrittografia rivela l'indirizzo e le credenziali per il server del pool
codice binario dannoso

OTR2 - [7C 6E 6C 63 60 76 25 66 7F 68] - nome del file di mining rilasciato (socket.exe)
OTR8 - [7C 6E 6C 63 60 76 78 2D 62 75 60] - nome con il quale il file si copia automaticamente (sockets.exe)
OTR9 - [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] - chiave di decrittografia per stringhe di risorse crittografate (verrà utilizzata per decodificare i parametri di stringa memorizzati come risorse)

Il file si copia su DocumentiWindowssockets.exe ed esegue la copia.

codice binario

Dopo l'esecuzione, scarica i seguenti file:

- 142.0.36.34/u/main.txt - Un file binario di mining salvato come "socket.exe", che sembra essere una modifica di un'applicazione di mining open source nota.
- 142.0.36.34/u/m.txt - Un file di testo semplice contenente valori esadecimali di un PE binario verrà trasformato in "miner.dll", una dipendenza della precedente.

Codice sorgente della pagina Web
Codice binario

- 142.0.36.34/u/usft_ext.txt - Un file binario, dipendenza salvata come “usft_ext.dll”.
- 142.0.36.34/u/phatk.txt - Salvato come “phatk.ptx” - istruzioni assembler per GPU, che possono essere utilizzate per calcoli avanzati.
- 142.0.36.34/u/phatk.cl - Salvato come “phatk.cl” - file di origine progettato per i calcoli della GPU.

Quando tutti i download sono completi e le dipendenze sono presenti, il binario di mining viene avviato con parametri decodificati e inizia a fare calcoli per generare monete virtuali. Come previsto, l'utilizzo della CPU aumenta, mantenendo il computer a carico elevato.

Esecuzione di codice binario
Esecuzione di codice binario

Il binario dannoso comunica ripetutamente con il server del pool al termine dei cicli computazionali e invia i risultati dei suoi calcoli: le "monete virtuali".

Trojan dropper
Trojan dropper:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Binario di mining:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

Soluzioni ITSM

INIZIA LA PROVA GRATUITA OTTIENI IL TUO SCORECARD DI SICUREZZA ISTANTANEO GRATUITAMENTE

Timestamp:

Di più da Sicurezza informatica Comodo