Image
4.3.2019 0 Comments

Malware ťažiaci digitálne meny je stále zákernejší

Za obrovským nárastom malwaru zameraného na ťaženie kryptomien stojí nielen snaha získať prostredníctvom tohto typu hrozby veľký zisk, ale tiež schopnosť ostať v napadnutom systéme neodhalený. Koncept skrytého a len obtiažne odhaliteľného malwaru je zaujímavý pre mnohých útočníkov. V dôsledku toho vzniká kombinácia stále nových skrývajúcich techník.

Príkladom môže byť malware detekovaný ako Coinminer.Win32.MALXMR.TIAOODAM, ktorého súčasťou je hneď niekoľko postupne aktivovaných „zahmlievajúcich“ mechanizmov. 

Spôsob nákazy prebieha podľa nasledujúceho obrázku:

Malware dorazí do potenciálne zneužitelného počítača ako MSI balíček pre Windows Installer Service – už tento samotný fakt stojí za pozornosť, pretože ide o službu oprávnenú inštalovať software do operačného systému. Použitie dôveryhodnej súčasti systému Windows spôsobuje, že daný malware pôsobí menej podozrivo a má väčšiu šancu obísť niektoré bezpečnostné filtre.

Analýza vzorky ukázala, že malware sám seba nainštaluje do adresára:

%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server​

Ak by tento adresár ešte neexistoval, dôjde k jeho automatickému vytvoreniu. Obsahom tohto adresára bude niekoľko rôznych súborov slúžiacich ako súčasť „ochranného“ mechanizmu, konkrétne ide o:

  • f.bat – dávkový súbor so skriptom, ktorý má za úlohu zastaviť aktuálne spustené anti-malwarové programy
  • ex.exe – dekomprimovací nástroj určený pre rozbalenie ďalšieho „inštalačného“ súboru: icon.ico
  • icon.ico – súbor vo formáte zip, ktorý je chránený heslom a tvári sa ako súbor s ikonami. Lenže to tak v skutočnosti nie je a jeho rozbalením sa v počítači obete objavia dva ďalšie súbory (viď stredná tretina vyššie uvedeného obrázku):
    • default.ocx – modul zavádzača zodpovedný za dešifrovanie a inštaláciu modulu pre ťaženie kryptomeny 
    • data.bin – šifrovaný súbor s modulom pre ťaženie preložený vo vývojovom prostredí Delphi a komprimovaný v univerzálnom formáte pre kompresiu spustitelných súborov UPX

V ďalšej časti inštalačného procesu dôjde k vytvoreniu kópií knižnice jadra operačného systému ntdll.dll a pre komponenty užívateľského rozhrania user32.dll – cieľom je s najväčšou pravdepodobnosťou ešte o niečo sťažiť detekciu volania funkcií aplikačného rozhrania malwaru.

Nasleduje vytvorenie konfiguračného súboru vrátane nastavenia pre samotný ťažiaci modul. Zajímavosťou sú dialógy zobrazované počas inštalácie, ktoré obsahujú texty v azbuke a nie v angličtine – táto zdanlivá drobnosť by mohla byť vodítkom k tomu, z akej oblasti malware vlastne pochádza. 

Zaujímavý je aj ďalší postup – príde k vytvoreniu troch nezávislých procesov hostiteľa služby pre zavedenie kódu s tým, že prvé dva budú zastávať rolu strážnych psov. Tie majú na starosť prípadné opakované stiahnutie inštalačného balíčka v prípade narušenia činnosti malwaru. A čerešničkou na torte je potom samo-deštrukčný mechanizmus, ktorý má sťažiť detekciu aj následnú analýzu. Je úplne nespochybnitelné – i s ohľadom na použitie obľúbeného nástroja pre tvorbu inštalačných balíčkov WiX – že autori tohto ťažiaceho malwaru vyvinuli pre čo najlepšie ukrytie svojho diela skutočne maximálne úsilie.

Z uvedeného popisu je zrejmá zákernosť, ktorá je natoľko účinná, že skutočne vedie k sťaženiu detekcie bežnými prostriedkami. Navyše počítačoví zločinci svoje „krycie“ postupy neustále zdokonaľujú a jedinou možnosťou tak je využívať výkonné bezpečnostné nástroje a riešenia. V každom prípade je dôležité vnímať moderné hrozby ako reálne a nepodľahnúť falošnému pocitu bezpečia. 

Zobrazit Galériu
Autor: Redakcia

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Internet

Ubráňte sa hackerom aj vďaka tejto konferencii

14.08.2019 00:11

Po úspešne vypredanom 1. ročníku sa spoločnosť GOPAS SR pustila do príprav konferencie HackerFest Slovakia 2019, ktorá sa považuje za najväčšiu IT Security a Hacking udalosť na Slovensku. Konferencia ...

Internet

Náhodný únik odhalil novú ponuku Štart vo Windows 10

26.07.2019 00:15

Microsoft omylom vydal testerom Windows Insider internú 32-bitovú verziu zostavenia 18947 Windows 10, ktorá je určená na vývoj Xboxu. Je to síce verzia z odnože Canary, ale Micorsoft ju nedopatrením d ...

Internet 3

Pripravte sa na film, ktorý vás naozaj prinúti zamyslieť sa nad tým, čo zdieľate na Facebooku

25.07.2019 00:05

Názov britskej firmy Cambridge Analytica venujúcej sa politickému poradenstvu, ktorá pracovala na kampani prezidenta Donalda Trumpa v roku 2016, sa dostal do povedomia verejnosti v súvislosti s minu ...

q

Žiadne komentáre

Vyhľadávanie

eFocus_2019

Najnovšie videá