Τρίτη, 26 Μαΐου, 04:10
Αρχική security Αυτό το cryptocurrency miner χρησιμοποιεί μοναδικές τακτικές για να κρύβεται!

Αυτό το cryptocurrency miner χρησιμοποιεί μοναδικές τακτικές για να κρύβεται!

Οι ερευνητές έχουν αποκαλύψει νέες τεχνικές obfuscation που έχουν περιγράψει ως “μοναδικές” σε ένα ενεργό botnet εξόρυξης κρυπτοσυχνοτήτων (cryptocurrency mining).

Την Πέμπτη, η ESET ανέφερε ότι η ανακάλυψη έγινε μέσω εξέτασης του botnet Stantinko, το οποίο δραστηριοποιείται τουλάχιστον από το 2012.

Κατά την έναρξη, το Stantinko επικεντρώθηκε στην παροχή διαφημιστικών μηνυμάτων κυρίως στη Ρωσία και την Ουκρανία. Το malware εξαπλώθηκε μέσω του πειρατικού software ως φορέα μόλυνσης, στο οποίο οι παραλήπτες θα εκτελούσαν τα αρχεία αυτά μόνο για να αναπτύξουν ταυτόχρονα ένα φάσμα λογισμικού πρόληψης και λογισμικού υποκλοπής σε υπολογιστές.

Τα έσοδα θα δημιουργηθούν από τους φορείς εκμετάλλευσης μέσω κακόβουλων επεκτάσεων του προγράμματος περιήγησης που συνοδεύουν το λογισμικό που πραγματοποίησε ad injections και “click απάτες”, καθώς και την εγκατάσταση backdoors και την πραγματοποίηση επιθέσεων brute-force σε website CMS.

cryptocurrency

Το 2019, οι φορείς εκμετάλλευσης του Stantinko προσέθεσαν μια νέα μονάδα εξόρυξης κρυπτοσυχνοτήτων (cryptocurrency mining) για τη δημιουργία περαιτέρω παράνομων εσόδων και επίσης επέκτειναν την ομάδα των θυμάτων στη Ρωσία, την Ουκρανία, τη Λευκορωσία και το Καζακστάν.

Το νέο module εξόρυξης Monero παρουσιάζει ενδιαφέρον, δεδομένου ότι οι “τεχνικές προστασίας που συναντώνται κατά την ανάλυση είναι πιο προχωρημένες από τα malware που προστατεύουν”, λέει ο Vladislav Hrčka.

Ο αναλυτής κακόβουλου λογισμικού της ESET πρόσθεσε ότι μερικές από τις τεχνικές δεν έχουν ακόμη “περιγραφεί δημόσια”.

Δύο τεχνικές θωράκισης, ο τρόπος που κρύβονται τα strings και μια μέθοδος που ονομάζεται σάρωση ελέγχου ροής, ξεχωρίζουν.

Η πρώτη τεχνική βασίζεται στα strings, κατασκευασμένες στη μνήμη, που υπάρχουν μόνο στη μνήμη όταν χρησιμοποιούνται. Σύμφωνα με την ESET, όλα τα strings που είναι ενσωματωμένα στο cryptocurrency module δεν σχετίζονται με την πραγματική λειτουργικότητα του miner και “είτε χρησιμεύουν ως δομικά στοιχεία για την κατασκευή των strings που χρησιμοποιούνται στην πραγματικότητα είτε δεν χρησιμοποιούνται καθόλου”.

“Τα strings που χρησιμοποιούνται από το malware δημιουργούνται στη μνήμη, προκειμένου να αποφευχθεί η ανίχνευση με βάση αρχεία και η ανάλυση ανατροπής”, σημειώνουν οι ερευνητές.

Η σάρωση ελέγχου ροής αλλάζει τη ροή ελέγχου σε μορφή που είναι δύσκολο να διαβαστεί και η εκτέλεση των βασικών block θεωρείται “απρόβλεπτη”.

Μια ενιαία λειτουργία χωρίζεται σε block και αυτά τα block τοποθετούνται στη συνέχεια ως dispatches σε μια εντολή διακόπτη μέσα σε ένα βρόχο, με κάθε dispatch να αποτελείται από ένα βασικό block. Μια μεταβλητή ελέγχου καθορίζει ποιο block προορίζεται να εκτελεστεί.

“Τα βασικά block έχουν όλα αναγνωριστεί και η μεταβλητή ελέγχου περιέχει πάντα την ταυτότητα του βασικού block”, ανέφεραν οι ερευνητές. “Όλα τα βασικά block θέτουν την τιμή της μεταβλητής ελέγχου στην ταυτότητα του διαδόχου της (ένα βασικό block μπορεί να έχει πολλαπλούς δυνατούς διαδόχους · στην περίπτωση αυτή ο άμεσος «διάδοχος» μπορεί να επιλεγεί σε μια κατάσταση).”

Ωστόσο, καθώς ο κώδικας αναλύεται σε επίπεδο πηγαίου κώδικα, τα κοινά εργαλεία για την αποκατάσταση αυτής της δυσλειτουργίας δεν θα λειτουργούσαν στην περίπτωση του botnet.

Το module συγχέει επίσης μερικά βασικά block όταν συνδέονται τα dispatches. Αυτή η όλη διαδικασία προκαλεί συνεχώς ανωμαλίες στα “flattening loops”, καθιστώντας δύσκολη την ανάλυση.

Επιπλέον, οι φορείς απειλής έχουν επίσης εφαρμόσει κομμάτια junk code και νεκρών string, έναν τρόπο για την αποτροπή της ανίχνευσης κακόβουλου λογισμικού ως κακόβουλης λειτουργίας. Ο κώδικας ” Do nothing “, ο οποίος εκτελείται αλλά δεν έχει πραγματική λειτουργικότητα, βρέθηκε επίσης.

“Οι εγκληματίες πίσω από το botnet Stantinko βελτιώνονται διαρκώς και αναπτύσσουν νέα modules που συχνά περιέχουν μη τυποποιημένες και ενδιαφέρουσες τεχνικές”, λέει η ESET. Καθώς το botnet παραμένει ενεργό, είναι πιθανό να δούμε νέες λειτουργίες ή μυστικές τεχνικές στο μέλλον.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...

Power Glove: Μετατράπηκε σε χειριστήριο modular synth!

Power Glove: μετατράπηκε σε χειριστήριο modular synth: O Sam Battle, βρήκε τον τρόπο να μετατρέψει το γάντι της Nintendo, σε «τηλεχειριστήριο» μουσικής,...

PowerToys: Κυκλοφόρησε η έκδοση 0.18 με δύο νέα εργαλεία

Στο συνέδριο Microsoft Build 2020, η Microsoft ανακοίνωσε τα PowerToys 0.18, τα οποία περιέχουν δύο νέα εργαλεία,...

Mozilla, Twitter και Reddit: Απαραίτητη η προστασία του ιστορικού αναζήτησης και περιήγησης των χρηστών

Μια ομάδα επτά εταιρειών Internet δεσμεύεται να υπερασπιστεί το απόρρητο των χρηστών της αυτή την εβδομάδα, όταν η Βουλή των Αντιπροσώπων των...

Το eBay port σαρώνει τα PC για προγράμματα remote access

Όταν επισκέπτεστε τον ιστότοπο eBay.com, θα τρέχει ένα script που εκτελεί σάρωση τοπικής θύρας του υπολογιστή σας για να εντοπίσει εφαρμογές απομακρυσμένης...

Παραβίαση σε τράπεζα οδήγησε σε διαρροή στοιχείων καρτών πελατών

Οι hackers πίσω από το Maze ransomware δημοσίευσαν δεδομένα καρτών πληρωμής που έκλεψαν από την Τράπεζα της...

Κυκλοφόρησε νέο Unc0ver jailbreak: Επηρεάζει την έκδοση iOS 13.5!

Μια ομάδα από hackers, ερευνητές ασφαλείας και μηχανικούς, η Unc0ver, κυκλοφόρησε ένα νέο jailbreak package για iOS...

Hacker πουλά τις βάσεις δεδομένων των Ledger, Trezor και KeepKey

Ο hacker που παραβίασε το φόρουμ Ethereum.org φέρεται να πουλά τις βάσεις δεδομένων για τα τρία πιο δημοφιλή hard wallets κρυπτογράφησης -...

Πλατφόρμα εκπαίδευσης EduCBA: Επαναφέραμε τα password σας

Ο διαδικτυακός ιστότοπος εκπαίδευσης EduCBA άρχισε να ενημερώνει τους πελάτες ότι επανέφεραν τους κωδικούς πρόσβασης μετά από παραβίαση δεδομένων.

Επιχειρήσεις: “Work From Home” ή “Work From Anywhere”;

Στην εποχή μας, στα περισσότερα επαγγέλματα οι εργαζόμενοι περνούν το μεγαλύτερο μέρος του χρόνου τους σε ένα γραφείο, μπροστά από έναν υπολογιστή....