GoMiner мутирует и распространяется через облачные хранилища

Предлагаем к прочтению перевод авторской статьи Пола Кимайонга (Paul Kimayong), специалиста компании Juniper по противодействию вредоносному программному обеспечению и обратному воспроизведению кода. Оригинал статьи доступен по ссылке.

Специалисты Juniper Threat Labs (подразделение Juniper по поиску угроз и уязвимостей - прим.ред.) обнаружили семейство вредоносных майнеров криптовалюты Monero, которые распространялись через поставщиков облачных хранилищ, таких как OneDrive, Google Drive и Dropbox, а также через съёмные накопители. Помимо этого, криптомайнеры оказались способны мутировать или изменять себя с целью избежать обнаружения. Количество обнаруженных уникальных образцов оказалось относительно большим: более 160 000 экземпляров были представлены в VirusTotal в течение периода 90 дней.

GoMiner 1.png

Криптомайнеры валюты Monero

Основной целью этой вредоносной программы является добыча криптовалюты Monero. Для этого код программы включает в себя версию майнера XMRig. Система, зараженная этим вредоносным ПО, будет работать заметно медленее, поскольку криптомайнер будет потреблять бОльшую часть вычислительной мощности процессора.

xmrig.png

модуль XMRig внутри кода

Мы смогли извлечь файлы конфигурации XMRig из проанализированного нами кода и идентифицировали как минимум четыре пула майнинга, к которым присоединяется этот криптомайнер. Это указывает на то, что за сетью  криптомайнеров может стоять несколько действующих лиц. Ниже приведены примеры конфигураций, которые включают пулы майнинга, к которым присоединяется криптомайнер, в том числе используемые им имена пользователей и пароли.

"pools": [
        {
            "algo": "cn/r",
            "url": "35.156.248.16:443",
            "user": "1111",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
        }

Образец: ad5c6dbc06422bc19682080fc2eb40e24ad7913836f7947ffc3d791ddf488d07

"pools": [
        {
            "algo": null,
            "coin": null,
            "url": "n73fu7.wayout.pictures:3333",
            "user": "44VFWAnouZiSaEJMASVtZWc4dvtZgP3snVJQ6mtPHBgCgRQ93wA6N8tDiLauJru1cp2mfaWsvrthuX4hGVPizRSQGDYMD9c",
           "pass": "x",
            "rig-id": null,
    ],

Образец: 271cb5b032376c6531f4f57fe17b4f9255ac2577b59320ad49f59e1f60cb4689

"pools": [

        {
            "algo": "cn/r",
            "url": "abrakadabra.host:443",
            "user": "1111",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
            "keepalive": false,
            "enabled": true,
            "tls": true,
            "tls-fingerprint": "e7658755a5a527a4db783b032bbbc91501c8605e72947213ffc7aae7d52502f4",
            "daemon": false
        }
    ],
Образец: ec3ffdfd40d9bef3c7ffe3dfd4838f42cddbd1981135d87e193dc18419f964a0

"pools": [

        {
            "algo": null,
            "coin": null,
            "url": "fh724.pikatchuworld.club:3333",
            "user": "1111",
            "pass": "x",
            "rig-id": null,
            "nicehash": false,
        }
    ],
Образец: 1a455a3291e996ef9f7e964695eb48646d223e588ccb1f355c06fc21b1052456

Заражение публичного облачного хранилища

Одна из уникальных особенностей криптомайнера GoMiner заключается в том, что он может распространяться через общедоступные облачные хранилища, помещая несколько своих копий в «публичные» папки.

Криптомайнер выявляет наличие и доступность следующих каталогов, прежде чем поместить себя в них:

    %USERPROFILE%\Dropbox\Public
    %USERPROFILE%\OneDrive\Public
    %USERPROFILE%\Google Drive

Если указанные выше папки существуют, он оставит свою копию со следующими именами файлов:

    USBDriver.exe
    Installer.exe
    Install.exe
    Setup.exe   

spread1.png

Код, который сбрасывает себя в "публичную" папку Dropbox

К счастью, в актуальных версиях Dropbox, OneDrive и Google Drive «публичные» папки по умолчанию отсутствуют. Однако, вы все равно можете заразиться, если вы синхронизировали чью-то общедоступную папку, которая уже заражена.

Заражение USB-накопителя

Криптомайнер GoMiner распространяется путем сканирования доступных сменных накопителей. Если такой найдётся, то червь оставит свою копию, используя любой из следующих файлов:

    USBDriver.exe
    Installer.exe
    Install.exe
    Setup.exe

Он также оставит файл autorun.inf, чтобы запустить автоматическое выполнение вредоносных программ, когда съемный накопитель подключат к ПК.

spread2.png

Код, который сбрасывается на USB-накопители

Заражение папки «Program Files»

Каждый раз при запуске этой вредоносной программы, она ищет любой исполняемый файл в папке «Program Files» и заменяет его своей измененной копией. Это означает, что любое приложение, которое оно заменило, теперь станет GoMiner.

program_files.png

Код, который заменяет файлы в папке "Program Files"

Мутация

Еще одной уникальной особенностью этого вредоносного ПО является способность к мутации. Само по себе мутирующее вредоносное ПО не является чем-то новым, однако встречается в настоящее время редко. Мы считаем, что это попытка авторов вредоносных программ избежать обнаружения.

Криптомайнер имеет функцию под названием «change_self_b», которая генерирует 4-байтовый ключ и использует этот ключ для выполнения XOR («сложение по модулю 2» - прим. ред.) к большинству байтов в своем теле, как мы покажем ниже. Сгенерированные ключи являются случайными и сохраняются в определённом разделе кода.

mutation1.png

Фрагмент кода с мутацией

Когда вредоносный код запускается, он в первую очередь возвращает исходные значения зашифрованных байтов в файл. Программа получает доступ к 4-байтовому ключу по специальному адресу и затем расшифровывает его код. Это создаёт невозможность распаковка со стороны UPX (the Ultimate Packer for eXecutables).

mutation_entry.png

Код во вредноносном ПО,который возвращает мутировавший код

Кроме того, в программе имеется другая функция, которая генерирует случайные строки и добавляет их в конец файла. Этот простой метод изменяет хеш образца, что может позволить избежать детекции от инструментов обнаружения на основе хеша, например такие, как "чёрные списки".

Регионы присутствия

За 90 дней в VirusTotal (VT) было отправлено 165 000 образцов этой вредоносной программы. Мы использовали данные для отправки в VT, чтобы определить область присутствие криптомайнера по всему миру. Большинство образцов были зафиксированы в Канаде, США, Бразилии и Аргентине.

footprint.png

Следы присутствия вредноносного кода на основе данных VT

Дополнительные сведения

Все образцы, которые мы видели, являются 64-битными и скомпилированы с Go, с размерами от 2 МБ до 7 МБ для упакованных образцов и до 15 МБ для распакованных.

Этот майнер использует UPX в качестве распаковщика, но перед фактической распаковкой UPX срабатывает ​​простая процедура расшифровки XOR. Это приводит к тому, что утилита UPX не может распаковать исходный файл и позволяет вредоносному ПО избежать обнаружения с помощью инструментов, которые для распаковки используют инструмент UPX.

Как правило, обратное воспроизведение скомпилированного с помощью Go кода является непростой задачей из-за его другой структуры и дополнительных функций, в сравнению с типичным C-скомпилированным кодом. Для помощи в этом процессе мы использовали вспомогательный скрипт IDA для переименования функций от компилятора Go. После использования скрипта нам стало проще с обратным воспроизведением, поскольку основные функции уже были видны.

go_ida.png

Процедуры вредноносного кода могут быть разделены на 4 группы

1. RegistryToy

  • Отключает через реестр службы Windows Task Manager, Реестра и командную строку (CMD). Обычно делается для того, чтобы усложнить процесс администрирования.
2. XMRig Miner
  • Запускает непосредственно майнер XMRig.
3. Random Action 1
  • Запускает случайным выбором функцию из списка ниже, по кругу;
  • Main_Walk - подменяет приложения;
  • MainHTTPHit1 - подключается к случайно сгенерированным readme.io субдоменам, например: {random}.{random}.readme.io и сбрасывает свою мутировавшую копию в текущую папку;
  • MainHttpHit2 - подключается к случайно сгенерированным readme.io субдоменам, например: {random}.{random}.bitbucket.com и сбрасывает свою мутировавшую копию в текущую папку;
  • MainPlantStartup - создаёт запись автоматического запуска в системном реестре и сбрасывает себя в %system32%\{random}.exe.
4. Random Action 2
  • Запускает случайным выбором функцию из списка ниже, по кругу;
  • Заражение:
    • Через съёмный накопитель;
    • dropboxInfection;
    • oneDriveInfection;
    • googleDriveInfection;
  • SetHomepage -- устанавливает стартовую страницу браузера на случайно сгенерированный домен;
  • Сбрасывает свою мутировавшую копию в текущую папку.

Заключение

Этот зловредный криптомайнер привлёк наше внимание из-за количества образцов, которые мы видим, и его способности распространяться и мутировать. Его возможности - эффективный способ для вредоносного ПО попытаться избежать обнаружения при одновременном увеличении области присутствия. С одной стороны, чтобы избежать обнаружения этому вредноносному криптомайнеру пришлось пойти на увеличение размера в сравнении с другими. Тем не менее, единожды попав в систему - и из-за изменений, которые он вносит в произвольные исполняемые приложения и на стартовую страницу браузера - не пройдёт много времени, прежде чем пользователь поймёт, что что-то пошло не так.

Решения Juniper Advanced Threat Protection выявляют данный вредоносный код и блокируют соответствующие майнинговые пулы.

skyatp.png

IOC
Sha256
1a455a3291e996ef9f7e964695eb48646d223e588ccb1f355c06fc21b1052456
<...>
db3ce6b9ad58923db5e2a3137c40a59ab186f223483f696869d56a641b233062

Mining Pools
35.156.248.16:443
N73fu7.wayout.pictures:3333
Abrakadabra.host:443
fh724.pikatchuworld.club:3333

__

Подписывайтесь на наши социальные сети и добавляйте новостной раздел в закладки, чтобы ничего не пропустить.
По вопросам консультации и приобретения обращайтесь к нашим специалистам.
+7 (495) 981-60-70
sales@t-mash.ru

  

Статьи по теме
Обзор решения по защите данных Dell EMC Integrated Data Protection Appliance
28.08.2017
Обзоры

Обзор решения по защите данных Dell EMC Integrated Data Protection Appliance


Маркетинговый обзор от коллег из Dell EMC программно-аппаратного решения по комплексной защите данных организаций - Dell EMC Integrated Data Protection Appliance. Решение для среднего и, скорее, крупного бизнеса, позиционируется производителем как конкурент на рынке таких продуктов как HPE StoreOnce 5100/5500/6600, Veritas NetBackup 5240/5330, Quantum DXi4700/DXi6900. 
Читать полностью
Другие статьи
Выпущены обновленные ОС «Альт Сервер» 10.2 и «Альт Рабочая станция» 10.2 на платформе p10
18.03.2024
Обзоры

Выпущены обновленные ОС «Альт Сервер» 10.2 и «Альт Рабочая станция» 10.2 на платформе p10


Компания «Базальт СПО» (российский разработчик операционных систем семейства «Альт») сообщила о выходе обновлений для своих основных решений - операционных систем «Альт Сервер» и «Альт Рабочая станция». Предлагаем обзор от разработчика с перечнем новых функций и изменений, а также ссылки на обновлённую  официальную документацию.
Читать полностью
Компания АСКОН обновила версии продуктов Pilot до 23.18.0.46285
07.06.2023
Статьи

Компания АСКОН обновила версии продуктов Pilot до 23.18.0.46285


Коллеги из компании АСКОН сообщили об обновлении продуктов линейки Pilot (Pilot-BIM, Pilot-ICE, Pilot-Server, Pilot-BIM-Server, Pilot-SDK) до версии 23.18.0.46285. В новом обновлении разработчик особо акцентирует внимание на реализацию поддержки протокола LDAPS (LDAP over SSL) в серверной лицензии, а также добавление нового инженерного инструментария в Pilot-BIM. Чуть более подробно изложено в статье, а также опубликован список всех изменений и исправлений в линейке Pilot.
Читать полностью
Обзор ТСД Point Moblie PM75 от Клеверенс
05.09.2022
Обзоры

Обзор ТСД Point Moblie PM75 от Клеверенс


Предлагаем к прочтению технический обзор терминала сбора данных (ТСД) Point Moblie PM75 от Алеси Януш, эксперта по техническим статьям, анализу и тестированию работы ТСД в компании "Клеверенс". В обзоре приводятся краткие технические характеристики, распаковка, даётся оценка фактическим рабочим характеристикам и подводятся итоги с плюсами / минусами устройства.
Читать полностью
АСКОН объявляет о выходе бета-версии КОМПАС-3D v21
05.04.2022
Статьи

АСКОН объявляет о выходе бета-версии КОМПАС-3D v21


Коллеги из компании АСКОН, российский разработчик САПР, объявили об открытом бета-тестировании новой версии своего флагманского решения КОМПАС-3D v21, выход которого ожидается летом 2022г. Сам период бета-тестирования начался с 01 апреля и завершится 31 мая 2022г. Ввиду текущего геополитического контекста, мы со своей стороны призываем коллег со стороны заказчиков присоединиться к инициативе и внести свой вклад в появлении на рынке конкурентного продукта.
Читать полностью
Шасси для медиаконвертеров D-Link DMC-1000/RU, собранные в Рязани
31.03.2022
Обзоры

Шасси для медиаконвертеров D-Link DMC-1000/RU, собранные в Рязани


Коллеги из российского представительство D-Link объявили о начале поставок с 4 апреля 2022 года шасси для медиаконвертеров DMC-1000/RU, собранных на производственных мощностях в Рязанской области. Тематика локализации производства иностранных производителей и доступности к приобретению радиоэлектронной продукции является крайне актуальной. Предлагаем к прочтению обзор от коллег из D-Link технических характеристик и комплектации DMC-1000/RU.
Читать полностью
Обзор маршрутизаторов серии Cisco Catalyst 8000
25.02.2021
Обзоры

Обзор маршрутизаторов серии Cisco Catalyst 8000


В марте 2021г. становятся доступными к заказу в Российскую Федерацию анонсированные в октябре 2020г. маршрутизаторы серии Cisco Catalyst 8000. К этому событию коллеги из российского представительства Cisco Systems подготовили небольшую авторскую статью, в которой коротко изложили позиционирование и особенности моделей в серии Catalyst 8000 и сравнили их с моделями маршрутизаторов из серий Cisco ASR 1000 и Cisco ISR 4000. Предлагаем к прочтению.
Читать полностью
Axis Communications увеличивает срок бесплатного гарантийного обслуживания продуктов до 5 лет
12.11.2020
Статьи

Axis Communications увеличивает срок бесплатного гарантийного обслуживания продуктов до 5 лет


С 01 октября 2020г компания Axis Communications увеличила стандартный срок гарантии на свою продукцию с 3-х до 5-ти лет. Правило применяется ко всей продукции, отгруженной с 01 апреля 2020г. Официальный пресс-релиз производителя, ссылки на тематические разделы и брошюры производителя, а также наш перевод секции "вопросы-ответы" внутри статьи.
Читать полностью
"Это нормально - любить свою СХД" ролик от HPE к 14 февраля
13.02.2020
Видео

"Это нормально - любить свою СХД" ролик от HPE к 14 февраля


Компания HPE поздравила своих клиентов с 14 февраля коротким шуточным роликом "Идеальный компаньон. Это нормально - любить свою СХД".
Читать полностью
Изменение в модели лицензирования продуктов VMware по процессорам
11.02.2020
Статьи

Изменение в модели лицензирования продуктов VMware по процессорам


В феврале 2020г компания VMware официально анонсировала изменения в политике лицензирования своих продуктов, использующих принцип ценообразования из расчёта количества процессоров платформы. Изменения вступят в силу с апреля 2020г. В статье мы даём перевод официального заявления VMware, раздел "вопросы и ответы" и схему с примерами: имеется важная информация о льготах и существенных нюансах для владельцев серверов с многоядерными процессорами
Читать полностью
Принцип лицензирования QVR Pro от QNAP
10.02.2020
Статьи

Принцип лицензирования QVR Pro от QNAP


Небольшая информационная статья-памятка от коллег из российского офиса QNAP о принципе лицензирования платформы QVR Pro, программного решения для управления видеорегистраторами и системами видеонаблюдения.
Читать полностью