비트코인 악성코드 | 디지털 화폐 보안 방법

읽기 시간 : 4 분

전자 화폐(e-money)는 사람들이 온라인 구매를 위해 점점 더 자주 사용하고 있습니다. 그리고 확실히 밤이 지나면 전자 화폐가 주목을 받고 있음을 의미합니다. 악성 코드 가능한 모든 수단을 사용하여 이익을 얻으려고 노력하는 작가. 우리는 비트코인 ​​'마이닝 풀'('비트코인'을 생성하기 위한 분산 계산 네트워크)을 사용하여 디지털 통화를 훔치는 것이 아니라 생성('채굴')하는 역할을 하는 악성 샘플을 발견했습니다. 공격은 피해자 컴퓨터의 네트워크에 트로이 목마 프로그램을 설치한 다음 처리 능력을 사용하여 비트코인 ​​블록을 생성하는 방식으로 실행됩니다.

그렇다면 비트코인은 무엇이며 어떻게 작동합니까? 발행 은행과 같은 중앙 기관을 통해 생성되는 기존 통화와 달리 비트코인은 노드의 분산형 PXNUMXP 네트워크 또는 '광부'를 통해 필요할 때 동적으로 생성됩니다. 각 '광부'는 비트코인 ​​거래를 처리하는 데 사용되는 일련의 컴퓨터 리소스(때로는 데스크탑에 있는 것과 같은 일반 컴퓨터)입니다. 이러한 트랜잭션이 충분하면 '블록'으로 그룹화되고 이 추가 트랜잭션 블록은 더 큰 비트코인 ​​네트워크에서 유지 관리되는 마스터 '블록 체인'에 추가됩니다. 여기서 주목해야 할 핵심은 '블록'을 생성하는 프로세스가 매우 하드웨어 집약적이며 많은 컴퓨팅 성능이 필요하다는 것입니다. 따라서 하드웨어 자원 봉사에 대한 대가로 블록을 생성하는 광부에게는 현상금의 비트코인과 해당 블록의 모든 거래 수수료가 제공됩니다. 채굴자에게 보상을 제공하는 이 시스템은 실제로 비트코인 ​​화폐 공급이 증가하는 메커니즘이기도 합니다.

언급한 바와 같이 블록 생성에 대한 계산 요구는 매우 높기 때문에 엔터티가 사용할 수 있는 처리 능력이 높을수록 더 많은 트랜잭션을 처리할 수 있고 더 많은 비트코인을 받을 수 있습니다. 그리고 해커에게 비트코인 ​​거래를 가차 없이 처리하는 좀비 PC 네트워크보다 더 나은 계산 능력 소스가 어디 있겠습니까?

마이닝 구성 요소를 설치하는 트로이 목마의 크기는 80KB이며 실행 시 메모리에 있는 PE 파일을 복호화합니다. .code 섹션, 0x9400, 크기 0xAA00. 복호화는 20개의 연속 바이트 키가 있는 단순 바이트 XOR입니다. .idata 부분. 설치 단계는 필요한 구성 요소를 다운로드하고 마이닝 매개 변수 (마이닝 풀의 사용자 및 암호 자격 증명, 모두 리소스로 암호화 된)를 포함하는 새로운 해독 된 메모리 내 프로세스에 의해 수행됩니다.

암호화된 파일은 UPX로 압축됩니다. 파일에 있는 중요한 리소스:

암호화된 OTR0 리소스

여기에는 마이닝 풀("-t 2 -o http://user:password@server.com:port". -t 매개변수는 계산에 사용되는 스레드 수를 나타냅니다. -o 매개변수는 연결할 서버를 지정합니다.

암호 해독은 풀 서버의 주소와 자격 증명을 보여줍니다.

OTR2 – [7C 6E 6C 63 60 76 25 66 7F 68] – 드롭된 마이닝 파일의 이름(socket.exe)
OTR8 – [7C 6E 6C 63 60 76 78 2D 62 75 60] – 파일이 자체 복사되는 이름(sockets.exe)
OTR9 – [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] – 암호화된 리소스 문자열에 대한 암호 해독 키(이는 리소스로 저장된 문자열 매개변수를 디코딩하는 데 사용됨)

파일이 다음 위치에 복사됩니다. 내 문서Windowssockets.exe 복사를 실행합니다.

실행 후 다음 파일을 다운로드합니다.

– 142.0.36.34/u/main.txt – 알려진 오픈 소스 마이닝 애플리케이션의 수정으로 보이는 "socket.exe"로 저장된 마이닝 바이너리.
– 142.0.36.34/u/m.txt – 바이너리 PE의 XNUMX진수 값을 포함하는 일반 텍스트 파일은 이전 종속성인 "miner.dll"로 변환됩니다.

– 142.0.36.34/u/usft_ext.txt – 바이너리 파일, 종속성은 “usft_ext.dll”로 저장됩니다.
– 142.0.36.34/u/phatk.txt – “phatk.ptx”로 저장 – 고급 계산에 사용할 수 있는 GPU용 어셈블러 지침.
– 142.0.36.34/u/phatk.cl – “phatk.cl”로 저장 – GPU 계산을 위해 설계된 소스 파일.

모든 다운로드가 완료되고 종속성이 있으면 마이닝 바이너리가 디코딩된 매개변수와 함께 시작되고 가상 코인을 생성하기 위한 계산을 시작합니다. 예상대로 CPU 사용량이 증가하여 컴퓨터를 높은 부하로 유지합니다.

악성 바이너리는 계산 주기가 끝나면 풀 서버와 반복적으로 통신하고 계산 결과인 "가상 코인"을 보냅니다.

드롭퍼 트로이 목마:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k 마이닝 바이너리:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

ITSM 솔루션

무료 평가판 시작 인스턴트 보안 점수를 무료로 받으십시오

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/