Bitcoin zlonamerna programska oprema | Kako se lotiti varovanja digitalne valute

Čas branja: 4 min

Elektronski denar (e-denar) ljudje vse pogosteje uporabljajo za spletne nakupe. In ker noč sledi dnevu, to pomeni, da pozornost dobiva tudi elektronski denar zlonamerna programska oprema avtorji, ki se trudijo, da bi od tega izkoristili vse mogoče načine. Naleteli smo na zlonamerni vzorec, katerega vloga ni krasti, ampak ustvariti (ruditi) digitalno valuto z uporabo Bitcoin 'rudniškega bazena' (porazdeljeno računalniško omrežje za ustvarjanje 'Bitcoinov'). Napad se izvrši z namestitvijo programa trojanskih konj v omrežje računalnikov žrtev in nato njihovo procesno moč za ustvarjanje blokov Bitcoin.

Kaj je torej Bitcoin in kako deluje? No, za razliko od tradicionalne valute, ki se ustvarja prek centralnega organa, kot je banka izdajateljica, se Bitcoini dinamično generirajo kot in kadar je to potrebno prek decentralizirane mreže vrstnikov - ali "rudarjev". Vsak 'rudar' je niz računalniških virov (včasih le navaden računalnik, kot je tisti na namizju), ki je bil namenjen ukvarjanju s transakcijami Bitcoin. Ko je teh transakcij dovolj, jih razvrstimo v 'blok' - ta dodatni blok transakcij pa se nato doda v glavno 'blok verigo', ki se vzdržuje v večjem omrežju Bitcoin. Pri tem je treba opozoriti, da je postopek izdelave "bloka" zelo strogo intenziven in zahteva veliko računalniške moči. Torej, v zameno za prostovoljstvo svoje strojne opreme, rudarji, ki uspejo ustvariti blok, so nagrajeni z množico Bitcoinov in jim od tega bloka pripadajo kakršne koli transakcijske provizije. Ta sistem podeljevanja nagrad rudarjem je pravzaprav tudi mehanizem, s katerim se poveča denarna masa Bitcoin.

Kot rečeno, so računske zahteve za izdelavo bloka zelo visoke, tako da večjo procesno moč lahko uporablja subjekt, več transakcij, ki jih lahko opravi, in več bitcoinov, ki jih lahko prejmejo. In kakšen boljši vir računalniške moči za hekerja od njegove lastne mreže zombijskih osebnih računalnikov neusmiljeno krči bitcoin transakcije?

Trojanski program, ki namesti rudarske komponente, je v velikosti 80 KB in po izvedbi dešifrira v pomnilnik PE datoteko, ki se nahaja v . kodo odsek, pri 0x9400, velikosti 0xAA00. Dešifriranje je preprost bajt XOR z 20 zaporednimi bajt tipkami .idata odsek. Namestitvene korake sprejme nov dešifriran pomnilniški postopek, ki naloži potrebne komponente in vsebuje tudi rudarske parametre (na primer uporabniške in geslo za rudarske baze, vse šifrirane v virih).

Šifrirana datoteka je pakirana z UPX. Pomembni viri v datoteki:

Šifriran vir OTR0

Vsebuje tekaške parametre in poverilnice za rudniški bazen ("-t 2 -o" http://user:password@server.com:port". Parameter -t pomeni število niti, ki se uporabljajo za izračune. Parameter -o določa, na katerega strežnika se lahko povežete.

Dešifriranje razkriva naslov in poverilnice za strežnik bazena

OTR2 - [7C 6E 6C 63 60 76 25 66 7F 68] - ime izpuščene rudarske datoteke (socket.exe)
OTR8 - [7C 6E 6C 63 60 76 78 2D 62 75 60] - ime, pod katerim se datoteka samodejno kopira (sockets.exe)
OTR9 - [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] - ključ za dešifriranje šifriranih nizov virov (to bo uporabljeno za dekodiranje parametrov nizov, shranjenih kot viri)

Datoteka se sam kopira v Moji dokumentiWindowssockets.exe in izvrši kopijo.

Po izvedbi prenese naslednje datoteke:

- 142.0.36.34/u/main.txt - Binarni rudarski zapis, shranjen kot "socket.exe", ki je videti kot sprememba znane odprtokodne aplikacije za rudarjenje.
- 142.0.36.34/u/m.txt - Navadna besedilna datoteka, ki vsebuje šestnajsti vrednosti binarnega PE, se pretvori v „miner.dll“, odvisno od prejšnje.

- 142.0.36.34/u/usft_ext.txt - Binarna datoteka, odvisnost shranjena kot "usft_ext.dll".
- 142.0.36.34/u/phatk.txt - Shranjeno kot "phatk.ptx" - navodila za sestavljanje za GPU-je, ki jih je mogoče uporabiti za napredne izračune.
- 142.0.36.34/u/phatk.cl - Shranjeno kot "phatk.cl" - izvorna datoteka, namenjena izračunom GPU-ja.

Ko so vsi prenosi preneseni in so odvisnosti vzpostavljene, se binarni binarni program začne z dekodiranimi parametri in začne izračunavati generiranje virtualnih kovancev. Po predvidevanjih se poraba CPE-ja povečuje in ohranja računalnik v visoki obremenitvi.

Zlonamerni binarni program po zaključku računskih ciklov večkrat komunicira s strežnikom bazena in pošlje rezultate svojih izračunov - "virtualne kovance".

Trojanski kapljač:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Binarni rudarstvo:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

ITSM rešitve

ZAČNITE BREZPLAČEN PREIZKUS BREZPLAČNO SVOJO MESTO ZAGOTAVLJAJO

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• ChartPrime. Izboljšajte svojo igro trgovanja s ChartPrime. Dostopite tukaj.
• BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
• vir: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/