Час читання: 4 протокол
Електронні гроші (електронні гроші) все частіше використовуються людьми для здійснення покупок в Інтернеті. І безсумнівно, оскільки ніч йде за днем, це означає, що електронні гроші також привертають увагу шкідливих програм авторів, які намагаються отримати від цього будь-які можливості. Ми зіткнулися зі зловмисним зразком, роль якого полягає не в крадіжці, а у створенні (видобутку) цифрової валюти за допомогою «пулу для майнінгу» біткойн (розподілена обчислювальна мережа для генерації «біткойнів»). Атака виконується шляхом встановлення програми троянського коня в мережу комп’ютерів-жертв, а потім використання їх потужності обробки для створення блоків біткойн.
Отже, що таке біткойн і як він працює? Що ж, на відміну від традиційної валюти, яка генерується через центральний орган, як-от банк-емітент, біткойни динамічно генеруються за потребою через децентралізовану однорангову мережу вузлів – або «майнерів». Кожен «майнер» — це набір комп’ютерних ресурсів (іноді просто звичайний комп’ютер, як на вашому робочому столі), який був присвячений обробці транзакцій з біткойнами. Як тільки цих трансакцій буде достатньо, вони групуються в «блок» – і цей додатковий блок транзакцій потім додається до головного «ланцюга блоків», який підтримується у великій мережі Bitcoin. Тут важливо зазначити, що процес створення «блоку» дуже апаратно інтенсивний і вимагає великої обчислювальної потужності. Таким чином, в обмін на волонтерство свого обладнання, майнери, яким вдається згенерувати блок, отримують щедрість біткойнів і отримують будь-які транзакції з цього блоку. Ця система надання винагород майнерам насправді також є механізмом, за допомогою якого збільшується грошова маса біткойн.
Як уже згадувалося, обчислювальні вимоги створення блоку дуже високі, тому чим більше обчислювальної потужності може використовувати суб’єкт, тим більше транзакцій він може обробити і тим більше біткойнів він може отримати. І що є кращим джерелом обчислювальної потужності для хакера, ніж його власна мережа зомбі-ПК, які невпинно розбивають біткойн-транзакції?
Троян, який встановлює компоненти для майнінгу, має розмір 80 КБ і після виконання він розшифровує в пам’яті файл PE, розташований у .код розділ, на 0x9400, розмір 0xAA00. Дешифрування являє собою простий байт XOR, у якому розташовано 20 послідовних байтових ключів .data розділ. Кроки встановлення виконуються за допомогою нового розшифрованого процесу в пам’яті, який завантажує необхідні компоненти, а також містить параметри майнінгу (наприклад, облікові дані користувача та пароля для пулу майнінгу, усі зашифровані в ресурсах).
Зашифрований файл упакований із UPX. Важливі ресурси, присутні у файлі:
Він містить параметри роботи та облікові дані для пулу майнінгу (“-t 2 -o http://user:password@server.com:port“. Параметр -t означає кількість потоків, що використовуються для обчислень. Параметр -o визначає сервер, до якого потрібно підключитися.
OTR2 – [7C 6E 6C 63 60 76 25 66 7F 68] – назва вилученого файлу для майнінгу (socket.exe)
OTR8 – [7C 6E 6C 63 60 76 78 2D 62 75 60] – ім’я, під яким самокопіюється файл (sockets.exe)
OTR9 – [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] – ключ дешифрування для зашифрованих рядків ресурсів (це буде використовуватися для декодування параметрів рядка, що зберігаються як ресурси)
Файл копіюється до Мої документиWindowssockets.exe і виконує копію.
Після виконання він завантажує такі файли:
– 142.0.36.34/u/main.txt – двійковий файл для майнінгу, збережений як «socket.exe», який, здається, є модифікацією відомої програми для майнінгу з відкритим кодом.
– 142.0.36.34/u/m.txt – звичайний текстовий файл, що містить шістнадцяткові значення двійкового PE, буде перетворено в “miner.dll”, залежність від попереднього.
– 142.0.36.34/u/usft_ext.txt – двійковий файл, залежність, збережена як «usft_ext.dll».
– 142.0.36.34/u/phatk.txt – Збережено як “phatk.ptx” – інструкції ассемблера для графічних процесорів, які можна використовувати для розширених обчислень.
– 142.0.36.34/u/phatk.cl – Збережено як “phatk.cl” – вихідний файл, призначений для обчислень GPU.
Після завершення всіх завантажень і встановлення залежностей двійковий файл для майнінгу запускається з декодованими параметрами і починає робити обчислення для створення віртуальних монет. Як і передбачалося, використання ЦП зростає, підтримуючи комп'ютер у високому навантаженні.
Шкідливий двійковий файл багаторазово спілкується з сервером пулу після завершення обчислювальних циклів і надсилає результати своїх обчислень – «віртуальні монети».
Троян Dropper: Filename: sockets.exe SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda MD5: ba9c16fa419d24c3eadb74e016ad544f CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Майнінг бінарних файлів: Filename: socket.exe SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce MD5: e82cd32fefb2f009c84c14cec1f13624 CIS detection name: Application.Win32.CoinMiner.b
ПОЧНІТЬ БЕЗКОШТОВНУ ПРОБУ БЕЗКОШТОВНО ОТРИМАЙТЕ СВОЙ МОМЕНТАЛЬНИЙ СКОРЕКАРД
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://blog.comodo.com/e-commerce/malware-using-your-computer-to-make-digital-money/
- : має
- :є
- : ні
- 20
- 225
- 25
- 2D
- 36
- 41
- 51
- 60
- 66
- 75
- 97
- a
- МЕНЮ
- через
- насправді
- доданий
- Додатковий
- адреса
- просунутий
- ВСІ
- Також
- an
- та
- будь-який
- додаток
- ЕСТЬ
- AS
- At
- атака
- увагу
- влада
- authors
- Банк
- BE
- було
- буття
- користь
- Краще
- Біткойн
- Мережа Bitcoin
- біткойні транзакції
- Bitcoins
- Блокувати
- блоки
- Блог
- щедрість
- але
- by
- розрахунки
- CAN
- центральний
- центральний орган влади
- СНД
- клацання
- код
- Монети
- COM
- повний
- Компоненти
- обчислювальна потужність
- комп'ютер
- комп'ютери
- обчислення
- обчислювальна потужність
- З'єднуватися
- містить
- Повноваження
- Валюта
- циклів
- день
- угода
- справу
- Децентралізований
- запити
- залежно
- Залежність
- призначений
- робочий стіл
- Виявлення
- цифровий
- цифрова валюта
- розподілений
- робить
- завантажень
- впав
- динамічно
- електронні гроші
- кожен
- Electronic
- зашифрованих
- досить
- суб'єкта
- Event
- виконано
- Виконує
- виконання
- Інформація про оплату
- філе
- Файли
- після
- слідує
- для
- Безкоштовна
- від
- набирає
- породжувати
- генерується
- отримати
- даний
- Go
- GPU
- Графічні процесори
- Надання
- великий
- великий
- хакер
- обробляти
- апаратні засоби
- Мати
- тут
- HEX
- Високий
- його
- Кінь
- Як
- How To
- HTTP
- HTTPS
- важливо
- in
- збільшений
- установка
- установка
- мить
- інструкції
- в
- видачі
- IT
- ЙОГО
- сам
- просто
- зберігання
- ключ
- ключі
- відомий
- запущений
- як
- загрузка
- розташований
- зробити
- Робить
- шкідливих програм
- управляти
- майстер
- MD5
- засоби
- механізм
- пам'ять
- згаданий
- шахтарі
- Mining
- гірничий басейн
- гроші
- грошова маса
- більше
- ім'я
- необхідно
- мережу
- Нові
- ніч
- вузли
- nt
- номер
- of
- часто
- on
- один раз
- ONE
- онлайн
- покупки в Інтернеті
- з відкритим вихідним кодом
- or
- з
- власний
- P&E
- упакований
- параметр
- параметри
- Пароль
- ПК
- пірінгових
- Люди
- PHP
- місце
- одноколірний
- plato
- Інформація про дані Платона
- PlatoData
- басейн
- це можливо
- влада
- передвіщений
- представити
- попередній
- процес
- обробка
- Обробна потужність
- виробництво
- програма
- Купівля
- отримати
- регулярний
- ПОВТОРНО
- вимагається
- Вимагається
- ресурс
- ресурси
- результати
- повертати
- Виявляє
- винагороджені
- Нагороди
- Піднімається
- Роль
- біг
- зберігаються
- показник
- розділ
- забезпечення
- безпеку
- Здається,
- послати
- посилає
- комплект
- простий
- Розмір
- So
- Source
- вихідні
- стенди
- починається
- заходи
- зберігати
- рядок
- поставка
- Переконайтеся
- система
- прийняті
- текст
- ніж
- Що
- Команда
- їх
- потім
- Там.
- Ці
- вони
- річ
- це
- через
- час
- до
- традиційний
- угода
- Операційні збори
- Transactions
- перетворений
- троянець
- троянський кінь
- намагається
- при
- на відміну від
- на
- Використання
- використання
- використовуваний
- користувач
- використання
- Цінності
- дуже
- Жертва
- Віртуальний
- we
- ДОБРЕ
- Що
- Що таке
- Що таке Bitcoin
- коли
- який
- ВООЗ
- чий
- волі
- з
- Work
- вашу
- зефірнет
- зомбі