Image
4.3.2019 0 Comments

Malware ťažiaci digitálne meny je stále zákernejší

Za obrovským nárastom malwaru zameraného na ťaženie kryptomien stojí nielen snaha získať prostredníctvom tohto typu hrozby veľký zisk, ale tiež schopnosť ostať v napadnutom systéme neodhalený. Koncept skrytého a len obtiažne odhaliteľného malwaru je zaujímavý pre mnohých útočníkov. V dôsledku toho vzniká kombinácia stále nových skrývajúcich techník.

Príkladom môže byť malware detekovaný ako Coinminer.Win32.MALXMR.TIAOODAM, ktorého súčasťou je hneď niekoľko postupne aktivovaných „zahmlievajúcich“ mechanizmov. 

Spôsob nákazy prebieha podľa nasledujúceho obrázku:

Malware dorazí do potenciálne zneužitelného počítača ako MSI balíček pre Windows Installer Service – už tento samotný fakt stojí za pozornosť, pretože ide o službu oprávnenú inštalovať software do operačného systému. Použitie dôveryhodnej súčasti systému Windows spôsobuje, že daný malware pôsobí menej podozrivo a má väčšiu šancu obísť niektoré bezpečnostné filtre.

Analýza vzorky ukázala, že malware sám seba nainštaluje do adresára:

%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server​

Ak by tento adresár ešte neexistoval, dôjde k jeho automatickému vytvoreniu. Obsahom tohto adresára bude niekoľko rôznych súborov slúžiacich ako súčasť „ochranného“ mechanizmu, konkrétne ide o:

  • f.bat – dávkový súbor so skriptom, ktorý má za úlohu zastaviť aktuálne spustené anti-malwarové programy
  • ex.exe – dekomprimovací nástroj určený pre rozbalenie ďalšieho „inštalačného“ súboru: icon.ico
  • icon.ico – súbor vo formáte zip, ktorý je chránený heslom a tvári sa ako súbor s ikonami. Lenže to tak v skutočnosti nie je a jeho rozbalením sa v počítači obete objavia dva ďalšie súbory (viď stredná tretina vyššie uvedeného obrázku):
    • default.ocx – modul zavádzača zodpovedný za dešifrovanie a inštaláciu modulu pre ťaženie kryptomeny 
    • data.bin – šifrovaný súbor s modulom pre ťaženie preložený vo vývojovom prostredí Delphi a komprimovaný v univerzálnom formáte pre kompresiu spustitelných súborov UPX

V ďalšej časti inštalačného procesu dôjde k vytvoreniu kópií knižnice jadra operačného systému ntdll.dll a pre komponenty užívateľského rozhrania user32.dll – cieľom je s najväčšou pravdepodobnosťou ešte o niečo sťažiť detekciu volania funkcií aplikačného rozhrania malwaru.

Nasleduje vytvorenie konfiguračného súboru vrátane nastavenia pre samotný ťažiaci modul. Zajímavosťou sú dialógy zobrazované počas inštalácie, ktoré obsahujú texty v azbuke a nie v angličtine – táto zdanlivá drobnosť by mohla byť vodítkom k tomu, z akej oblasti malware vlastne pochádza. 

Zaujímavý je aj ďalší postup – príde k vytvoreniu troch nezávislých procesov hostiteľa služby pre zavedenie kódu s tým, že prvé dva budú zastávať rolu strážnych psov. Tie majú na starosť prípadné opakované stiahnutie inštalačného balíčka v prípade narušenia činnosti malwaru. A čerešničkou na torte je potom samo-deštrukčný mechanizmus, ktorý má sťažiť detekciu aj následnú analýzu. Je úplne nespochybnitelné – i s ohľadom na použitie obľúbeného nástroja pre tvorbu inštalačných balíčkov WiX – že autori tohto ťažiaceho malwaru vyvinuli pre čo najlepšie ukrytie svojho diela skutočne maximálne úsilie.

Z uvedeného popisu je zrejmá zákernosť, ktorá je natoľko účinná, že skutočne vedie k sťaženiu detekcie bežnými prostriedkami. Navyše počítačoví zločinci svoje „krycie“ postupy neustále zdokonaľujú a jedinou možnosťou tak je využívať výkonné bezpečnostné nástroje a riešenia. V každom prípade je dôležité vnímať moderné hrozby ako reálne a nepodľahnúť falošnému pocitu bezpečia. 

Zobrazit Galériu
Autor: Redakcia

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Internet

Google Mapy budú hlásiť, keď taxikár zíde z optimálnej trasy

14.06.2019 00:15

Zistenie optimálnej trasy je jedna z najužitočnejších funkcií mapovej služby Googlu. Teraz Google Mapy získavajú ďalšiu funkciu, ktorá vám pomôže najmä pri ceste taxíkom. Budú sledovať trasu a upozorn ...

Internet

Waze zdedí jednu z najlepších funkcií Google Maps

12.06.2019 00:05

Počas posledných rokov pridával Google do svojej mapovej služby mnoho funkcií, ktoré robia populárnou navigačnú aplikáciu Waze. Teraz však Waze ohlásil novú funkciu, ktorá by mohla ešte viac zlepšiť v ...

Internet

Google Stadia: Ceny, termín uvedenia a podporované hry

11.06.2019 00:05

Google odhalil množstvo informácií o svojej pripravovanej hernej platforme Stadia vrátane ceny, dátumu uvedenia a hier. Stadia je systém na streamovanie špičkových herných titulov, ako je napr. Assass ...

q

Žiadne komentáre

Vyhľadávanie

SWAN_062019

Najnovšie videá



PC forum button