Złośliwe oprogramowanie Bitcoin | Jak zabezpieczyć walutę cyfrową

Czas czytania: 4 minuty

Pieniądze elektroniczne (e-pieniądze) są coraz częściej wykorzystywane przez ludzi do zakupów online. A ponieważ noc następuje po dniu, oznacza to, że pieniądze elektroniczne również przyciągają uwagę malware autorów, którzy próbują z tego skorzystać wszelkimi możliwymi sposobami. Natknęliśmy się na złośliwą próbkę, której rolą nie jest kradzież, ale generowanie ("kopanie") cyfrowej waluty przy użyciu "puli wydobywczej" Bitcoina (rozproszonej sieci obliczeniowej do generowania "Bitcoinów"). Atak jest przeprowadzany poprzez zainstalowanie programu konia trojańskiego w sieci komputerów ofiar, a następnie wykorzystanie ich mocy obliczeniowej do generowania bloków Bitcoin.

Czym więc jest Bitcoin i jak działa? Cóż, w przeciwieństwie do tradycyjnej waluty, która jest generowana przez organ centralny, taki jak bank emisyjny, bitcoiny są generowane dynamicznie, gdy jest to wymagane, przez zdecentralizowaną sieć węzłów peer-to-peer – lub „górników”. Każdy „górnik” to zestaw zasobów komputerowych (czasami po prostu zwykły komputer, taki jak ten na twoim pulpicie), który został poświęcony na obsługę transakcji Bitcoin. Gdy liczba tych transakcji jest wystarczająca, są one grupowane w „blok” – a ten dodatkowy blok transakcji jest następnie dodawany do głównego „łańcucha bloków”, który jest utrzymywany w większej sieci Bitcoin. Kluczową rzeczą, na którą należy zwrócić uwagę, jest to, że proces tworzenia „bloku” jest bardzo intensywny sprzętowo i wymaga dużej mocy obliczeniowej. Tak więc, w zamian za dobrowolne udostępnienie swojego sprzętu, górnicy, którym uda się wygenerować blok, są nagradzani nagrodami w postaci bitcoinów i otrzymują wszelkie opłaty transakcyjne z tego bloku. Ten system przyznawania nagród górnikom jest w rzeczywistości również mechanizmem, dzięki któremu zwiększa się podaż pieniądza Bitcoin.

Jak wspomniano, wymagania obliczeniowe związane z produkcją bloku są bardzo wysokie, więc im więcej mocy obliczeniowej jednostka może wykorzystać, tym więcej transakcji może obsłużyć i tym więcej bitcoinów może otrzymać. A jakie jest lepsze źródło mocy obliczeniowej dla hakera niż jego własna sieć komputerów zombie nieustannie przetwarzających transakcje Bitcoin?

Trojan, który instaluje komponenty do wydobywania, ma rozmiar 80 KB i po uruchomieniu odszyfrowuje w pamięci plik PE znajdujący się w .code sekcja, przy 0x9400, rozmiar 0xAA00. Deszyfrowanie to prosty bajt XOR, z 20 kolejnymi kluczami bajtowymi umieszczonymi w .idane Sekcja. Kroki instalacji są podejmowane przez nowy odszyfrowany proces w pamięci, który pobiera niezbędne komponenty, a także zawiera parametry wyszukiwania (takie jak poświadczenia użytkownika i hasła do puli wydobycia, wszystkie zaszyfrowane w zasobach).

Zaszyfrowany plik jest spakowany przy użyciu UPX. Ważne zasoby obecne w pliku:

Zaszyfrowany zasób OTR0

Zawiera parametry działania i poświadczenia dla puli wydobywczej („-t 2 -o http://user:password@server.com:port“. Parametr -t oznacza liczbę wątków użytych do obliczeń. Parametr -o określa serwer, z którym ma nastąpić połączenie.

Odszyfrowanie ujawnia adres i dane uwierzytelniające serwera puli

OTR2 – [7C 6E 6C 63 60 76 25 66 7F 68] – nazwa porzuconego pliku miningowego (socket.exe)
OTR8 – [7C 6E 6C 63 60 76 78 2D 62 75 60] – nazwa pod jaką plik samokopiuje się (sockets.exe)
OTR9 – [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] – klucz deszyfrujący dla zaszyfrowanych ciągów zasobów (będzie on używany do dekodowania parametrów ciągów przechowywanych jako zasoby)

Plik kopiuje się do Moje dokumentyWindowssockets.exe i wykonuje kopię.

Po wykonaniu pobiera następujące pliki:

– 142.0.36.34/u/main.txt – Kopiujący plik binarny zapisany jako „socket.exe”, który wydaje się być modyfikacją znanej aplikacji do kopania o otwartym kodzie źródłowym.
– 142.0.36.34/u/m.txt – Zwykły plik tekstowy zawierający wartości szesnastkowe binarnego PE zostanie przekształcony w „miner.dll”, zależność od poprzedniego.

– 142.0.36.34/u/usft_ext.txt – Plik binarny, zależność zapisana jako „usft_ext.dll”.
– 142.0.36.34/u/phatk.txt – Zapisane jako „phatk.ptx” – instrukcje asemblera dla GPU, które można wykorzystać do zaawansowanych obliczeń.
– 142.0.36.34/u/phatk.cl – Zapisany jako „phatk.cl” – plik źródłowy przeznaczony do obliczeń GPU.

Gdy wszystkie pobrania są zakończone, a zależności istnieją, plik binarny wyszukiwania jest uruchamiany z odkodowanymi parametrami i zaczyna wykonywać obliczenia w celu wygenerowania wirtualnych monet. Zgodnie z przewidywaniami wzrasta użycie procesora, utrzymując komputer w dużym obciążeniu.

Złośliwy plik binarny wielokrotnie komunikuje się z serwerem puli po zakończeniu cykli obliczeniowych i wysyła wyniki swoich obliczeń – „wirtualne monety”.

Trojan dropper:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Kopiowanie binarne:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

Rozwiązania ITSM

ROZPOCZNIJ DARMOWY OKRES PRÓBNY ODBIERZ SWOJĄ NATYCHMIASTOWĄ KARTĘ BEZPIECZEŃSTWA ZA DARMO

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/