Шкідливе програмне забезпечення Bitcoin | Як захистити цифрову валюту

Час читання: 4 протокол

Електронні гроші (електронні гроші) все частіше використовуються людьми для здійснення покупок в Інтернеті. І безсумнівно, оскільки ніч йде за днем, це означає, що електронні гроші також привертають увагу шкідливих програм авторів, які намагаються отримати від цього будь-які можливості. Ми зіткнулися зі зловмисним зразком, роль якого полягає не в крадіжці, а у створенні (видобутку) цифрової валюти за допомогою «пулу для майнінгу» біткойн (розподілена обчислювальна мережа для генерації «біткойнів»). Атака виконується шляхом встановлення програми троянського коня в мережу комп’ютерів-жертв, а потім використання їх потужності обробки для створення блоків біткойн.

Отже, що таке біткойн і як він працює? Що ж, на відміну від традиційної валюти, яка генерується через центральний орган, як-от банк-емітент, біткойни динамічно генеруються за потребою через децентралізовану однорангову мережу вузлів – або «майнерів». Кожен «майнер» — це набір комп’ютерних ресурсів (іноді просто звичайний комп’ютер, як на вашому робочому столі), який був присвячений обробці транзакцій з біткойнами. Як тільки цих трансакцій буде достатньо, вони групуються в «блок» – і цей додатковий блок транзакцій потім додається до головного «ланцюга блоків», який підтримується у великій мережі Bitcoin. Тут важливо зазначити, що процес створення «блоку» дуже апаратно інтенсивний і вимагає великої обчислювальної потужності. Таким чином, в обмін на волонтерство свого обладнання, майнери, яким вдається згенерувати блок, отримують щедрість біткойнів і отримують будь-які транзакції з цього блоку. Ця система надання винагород майнерам насправді також є механізмом, за допомогою якого збільшується грошова маса біткойн.

Як уже згадувалося, обчислювальні вимоги створення блоку дуже високі, тому чим більше обчислювальної потужності може використовувати суб’єкт, тим більше транзакцій він може обробити і тим більше біткойнів він може отримати. І що є кращим джерелом обчислювальної потужності для хакера, ніж його власна мережа зомбі-ПК, які невпинно розбивають біткойн-транзакції?

Троян, який встановлює компоненти для майнінгу, має розмір 80 КБ і після виконання він розшифровує в пам’яті файл PE, розташований у .код розділ, на 0x9400, розмір 0xAA00. Дешифрування являє собою простий байт XOR, у якому розташовано 20 послідовних байтових ключів .data розділ. Кроки встановлення виконуються за допомогою нового розшифрованого процесу в пам’яті, який завантажує необхідні компоненти, а також містить параметри майнінгу (наприклад, облікові дані користувача та пароля для пулу майнінгу, усі зашифровані в ресурсах).

Зашифрований файл упакований із UPX. Важливі ресурси, присутні у файлі:

Зашифрований ресурс OTR0

Він містить параметри роботи та облікові дані для пулу майнінгу (“-t 2 -o http://user:password@server.com:port“. Параметр -t означає кількість потоків, що використовуються для обчислень. Параметр -o визначає сервер, до якого потрібно підключитися.

Розшифровка розкриває адресу та облікові дані для сервера пулу

OTR2 – [7C 6E 6C 63 60 76 25 66 7F 68] – назва вилученого файлу для майнінгу (socket.exe)
OTR8 – [7C 6E 6C 63 60 76 78 2D 62 75 60] – ім’я, під яким самокопіюється файл (sockets.exe)
OTR9 – [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] – ключ дешифрування для зашифрованих рядків ресурсів (це буде використовуватися для декодування параметрів рядка, що зберігаються як ресурси)

Файл копіюється до Мої документиWindowssockets.exe і виконує копію.

Після виконання він завантажує такі файли:

– 142.0.36.34/u/main.txt – двійковий файл для майнінгу, збережений як «socket.exe», який, здається, є модифікацією відомої програми для майнінгу з відкритим кодом.
– 142.0.36.34/u/m.txt – звичайний текстовий файл, що містить шістнадцяткові значення двійкового PE, буде перетворено в “miner.dll”, залежність від попереднього.

– 142.0.36.34/u/usft_ext.txt – двійковий файл, залежність, збережена як «usft_ext.dll».
– 142.0.36.34/u/phatk.txt – Збережено як “phatk.ptx” – інструкції ассемблера для графічних процесорів, які можна використовувати для розширених обчислень.
– 142.0.36.34/u/phatk.cl – Збережено як “phatk.cl” – вихідний файл, призначений для обчислень GPU.

Після завершення всіх завантажень і встановлення залежностей двійковий файл для майнінгу запускається з декодованими параметрами і починає робити обчислення для створення віртуальних монет. Як і передбачалося, використання ЦП зростає, підтримуючи комп'ютер у високому навантаженні.

Шкідливий двійковий файл багаторазово спілкується з сервером пулу після завершення обчислювальних циклів і надсилає результати своїх обчислень – «віртуальні монети».

Троян Dropper:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Майнінг бінарних файлів:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

Рішення ITSM

ПОЧНІТЬ БЕЗКОШТОВНУ ПРОБУ БЕЗКОШТОВНО ОТРИМАЙТЕ СВОЙ МОМЕНТАЛЬНИЙ СКОРЕКАРД

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/