ΑρχικήsecurityΑυτό το cryptocurrency miner χρησιμοποιεί μοναδικές τακτικές για να κρύβεται!

Αυτό το cryptocurrency miner χρησιμοποιεί μοναδικές τακτικές για να κρύβεται!

Οι ερευνητές έχουν αποκαλύψει νέες τεχνικές obfuscation που έχουν περιγράψει ως “μοναδικές” σε ένα ενεργό botnet εξόρυξης κρυπτοσυχνοτήτων (cryptocurrency mining).

Την Πέμπτη, η ESET ανέφερε ότι η ανακάλυψη έγινε μέσω εξέτασης του botnet Stantinko, το οποίο δραστηριοποιείται τουλάχιστον από το 2012.

Κατά την έναρξη, το Stantinko επικεντρώθηκε στην παροχή διαφημιστικών μηνυμάτων κυρίως στη Ρωσία και την Ουκρανία. Το malware εξαπλώθηκε μέσω του πειρατικού software ως φορέα μόλυνσης, στο οποίο οι παραλήπτες θα εκτελούσαν τα αρχεία αυτά μόνο για να αναπτύξουν ταυτόχρονα ένα φάσμα λογισμικού πρόληψης και λογισμικού υποκλοπής σε υπολογιστές.

Τα έσοδα θα δημιουργηθούν από τους φορείς εκμετάλλευσης μέσω κακόβουλων επεκτάσεων του προγράμματος περιήγησης που συνοδεύουν το λογισμικό που πραγματοποίησε ad injections και “click απάτες”, καθώς και την εγκατάσταση backdoors και την πραγματοποίηση επιθέσεων brute-force σε website CMS.

Το 2019, οι φορείς εκμετάλλευσης του Stantinko προσέθεσαν μια νέα μονάδα εξόρυξης κρυπτοσυχνοτήτων (cryptocurrency mining) για τη δημιουργία περαιτέρω παράνομων εσόδων και επίσης επέκτειναν την ομάδα των θυμάτων στη Ρωσία, την Ουκρανία, τη Λευκορωσία και το Καζακστάν.

Το νέο module εξόρυξης Monero παρουσιάζει ενδιαφέρον, δεδομένου ότι οι “τεχνικές προστασίας που συναντώνται κατά την ανάλυση είναι πιο προχωρημένες από τα malware που προστατεύουν”, λέει ο Vladislav Hrčka.

Ο αναλυτής κακόβουλου λογισμικού της ESET πρόσθεσε ότι μερικές από τις τεχνικές δεν έχουν ακόμη “περιγραφεί δημόσια”.

Δύο τεχνικές θωράκισης, ο τρόπος που κρύβονται τα strings και μια μέθοδος που ονομάζεται σάρωση ελέγχου ροής, ξεχωρίζουν.

Η πρώτη τεχνική βασίζεται στα strings, κατασκευασμένες στη μνήμη, που υπάρχουν μόνο στη μνήμη όταν χρησιμοποιούνται. Σύμφωνα με την ESET, όλα τα strings που είναι ενσωματωμένα στο cryptocurrency module δεν σχετίζονται με την πραγματική λειτουργικότητα του miner και “είτε χρησιμεύουν ως δομικά στοιχεία για την κατασκευή των strings που χρησιμοποιούνται στην πραγματικότητα είτε δεν χρησιμοποιούνται καθόλου”.

“Τα strings που χρησιμοποιούνται από το malware δημιουργούνται στη μνήμη, προκειμένου να αποφευχθεί η ανίχνευση με βάση αρχεία και η ανάλυση ανατροπής”, σημειώνουν οι ερευνητές.

Η σάρωση ελέγχου ροής αλλάζει τη ροή ελέγχου σε μορφή που είναι δύσκολο να διαβαστεί και η εκτέλεση των βασικών block θεωρείται “απρόβλεπτη”.

Μια ενιαία λειτουργία χωρίζεται σε block και αυτά τα block τοποθετούνται στη συνέχεια ως dispatches σε μια εντολή διακόπτη μέσα σε ένα βρόχο, με κάθε dispatch να αποτελείται από ένα βασικό block. Μια μεταβλητή ελέγχου καθορίζει ποιο block προορίζεται να εκτελεστεί.

“Τα βασικά block έχουν όλα αναγνωριστεί και η μεταβλητή ελέγχου περιέχει πάντα την ταυτότητα του βασικού block”, ανέφεραν οι ερευνητές. “Όλα τα βασικά block θέτουν την τιμή της μεταβλητής ελέγχου στην ταυτότητα του διαδόχου της (ένα βασικό block μπορεί να έχει πολλαπλούς δυνατούς διαδόχους · στην περίπτωση αυτή ο άμεσος «διάδοχος» μπορεί να επιλεγεί σε μια κατάσταση).”

Ωστόσο, καθώς ο κώδικας αναλύεται σε επίπεδο πηγαίου κώδικα, τα κοινά εργαλεία για την αποκατάσταση αυτής της δυσλειτουργίας δεν θα λειτουργούσαν στην περίπτωση του botnet.

Το module συγχέει επίσης μερικά βασικά block όταν συνδέονται τα dispatches. Αυτή η όλη διαδικασία προκαλεί συνεχώς ανωμαλίες στα “flattening loops”, καθιστώντας δύσκολη την ανάλυση.

Επιπλέον, οι φορείς απειλής έχουν επίσης εφαρμόσει κομμάτια junk code και νεκρών string, έναν τρόπο για την αποτροπή της ανίχνευσης κακόβουλου λογισμικού ως κακόβουλης λειτουργίας. Ο κώδικας ” Do nothing “, ο οποίος εκτελείται αλλά δεν έχει πραγματική λειτουργικότητα, βρέθηκε επίσης.

“Οι εγκληματίες πίσω από το botnet Stantinko βελτιώνονται διαρκώς και αναπτύσσουν νέα modules που συχνά περιέχουν μη τυποποιημένες και ενδιαφέρουσες τεχνικές”, λέει η ESET. Καθώς το botnet παραμένει ενεργό, είναι πιθανό να δούμε νέες λειτουργίες ή μυστικές τεχνικές στο μέλλον.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS