Malware Bitcoin | Como proceder para proteger a moeda digital

Malware Bitcoin | Como proceder para proteger a moeda digital

Carimbo de hora: 16 de janeiro de 2013, 2h46

Malware Bitcoin | Como proteger a inteligência de dados PlatoBlockchain da moeda digital. Pesquisa vertical. Ai. Tempo de leitura: 4 minutos

O dinheiro eletrônico (dinheiro eletrônico) está sendo usado cada vez mais frequentemente pelas pessoas para fazer compras on-line. E, como a noite segue o dia, isso significa que o dinheiro eletrônico também está ganhando a atenção de malwares autores que estão tentando se beneficiar com isso da melhor maneira possível. Encontramos uma amostra maliciosa, cuja função não é roubar, mas gerar (para 'minerar') moeda digital usando um 'pool de mineração' do Bitcoin (uma rede computacional distribuída para gerar 'Bitcoins'). O ataque é executado instalando um programa de cavalo de Troia em uma rede de computadores vítimas e, em seguida, usa seu poder de processamento para gerar blocos de Bitcoin.

Então, o que é Bitcoin e como ele funciona? Bem, ao contrário da moeda tradicional, que é gerada por uma autoridade central como um banco emissor, os Bitcoins são gerados dinamicamente quando necessário, por meio de uma rede descentralizada de nós ponto a ponto - ou 'mineradores'. Cada 'minerador' é um conjunto de recursos de computador (às vezes apenas um computador comum como o da sua área de trabalho) que foi dedicado a lidar com transações de Bitcoin. Depois que essas transações são suficientes, elas são agrupadas em um 'bloco' - e esse bloco adicional de transações é adicionado à 'cadeia de blocos' principal que é mantida em toda a rede Bitcoin. O principal a ser observado aqui é que o processo de produção de um 'bloco' é muito intensivo em hardware e requer uma grande quantidade de poder computacional. Assim, em troca do voluntariado de seu hardware, os mineradores que conseguem gerar um bloco são recompensados ​​com uma recompensa de Bitcoins e recebem quaisquer taxas de transação desse bloco. Esse sistema de concessão de recompensas aos mineradores também é, na verdade, o mecanismo pelo qual a oferta monetária de Bitcoin é aumentada.

Como mencionado, as demandas computacionais de produção de um bloco são muito altas, portanto, quanto mais poder de processamento uma entidade puder usar, mais transações elas poderão manipular e mais Bitcoins poderão receber. E qual a melhor fonte de poder computacional para um hacker do que sua própria rede de PCs zumbis, implacavelmente analisando as transações Bitcoin?

O cavalo de Troia que instala os componentes de mineração tem 80 KB de tamanho e, após a execução, descriptografa na memória um arquivo PE localizado no diretório .code seção, em 0x9400, tamanho 0xAA00. A descriptografia é um XOR de byte simples, com 20 chaves de byte sucessivas localizadas em .idata seção. As etapas de instalação são executadas pelo novo processo descriptografado na memória, que baixa os componentes necessários e também contém os parâmetros de mineração (como credenciais de usuário e senha para o pool de mineração, todos criptografados em recursos).

O arquivo criptografado é fornecido com o UPX. Recursos importantes presentes no arquivo:

Recurso OTR0 criptografado
código binário malicioso

Ele contém parâmetros e credenciais em execução para o pool de mineração (“-t 2 -o http://user:password@server.com:port". O parâmetro -t representa o número de encadeamentos usados ​​para cálculos. O parâmetro -o especifica o servidor ao qual se conectar.

A descriptografia revela endereço e credenciais para o servidor do pool
código binário malicioso

OTR2 - [7C 6E 6C 63 60 76 25 66 7F 68] - nome do arquivo de mineração descartado (socket.exe)
OTR8 - [7C 6E 6C 63 60 76 78 2D 62 75 60] - nome sob o qual o arquivo é copiado automaticamente (sockets.exe)
OTR9 - [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] - chave de decriptografia para sequências de recursos criptografadas (isso será usado para decodificar os parâmetros da sequência armazenados como recursos)

O arquivo se copia para Meus documentosWindowssockets.exe e executa a cópia.

código binário

Após a execução, ele baixa os seguintes arquivos:

- 142.0.36.34/u/main.txt - Um binário de mineração salvo como "socket.exe", que parece ser uma modificação de um aplicativo de mineração de código aberto conhecido.
- 142.0.36.34/u/m.txt - Um arquivo de texto sem formatação contendo valores hexadecimais de um PE binário será transformado em "miner.dll", uma dependência do anterior.

Código-fonte da página da web
Código binário

- 142.0.36.34/u/usft_ext.txt - Um arquivo binário, dependência salva como "usft_ext.dll".
- 142.0.36.34/u/phatk.txt - Salva como “phatk.ptx” - instruções do assembler para GPUs, que podem ser usadas para cálculos avançados.
- 142.0.36.34/u/phatk.cl - Salvo como "phatk.cl" - arquivo de origem projetado para cálculos de GPU.

Quando todos os downloads estão completos e as dependências estão em vigor, o binário de mineração é iniciado com parâmetros decodificados e começa a fazer cálculos para gerar moedas virtuais. Como previsto, o uso da CPU aumenta, mantendo o computador em alta carga.

Execução de código binário
Execução de código binário

O binário malicioso se comunica repetidamente com o servidor do pool após concluir os ciclos computacionais e envia os resultados de seus cálculos - as "moedas virtuais".

Conta-gotas trojan
Tróia do conta-gotas:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Binário de mineração:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

Soluções ITSM

COMECE O TESTE GRÁTIS OBTENHA SEU SCORECARD DE SEGURANÇA INSTANTÂNEO GRATUITAMENTE

Carimbo de hora:

Mais de Comodo de segurança cibernética