Гидра через тор браузер

4571 Просмотров

Исследование: анализ криптовалютного взлома и вредоносных программ Киберпреступники все чаще используют криптовалюты, чтобы максимизировать свои доходы. За счет использования различных форм уязвимостей интернет-браузеров и операционных систем, киберпреступники захватывают вычислительные ресурсы пользователей для незаконного майнинга криптовалют. Недавно опубликованное исследование анализирует текущее криптовалютное вредоносное ПО с помощью динамических и статических методов. В этом документе также рассматриваются потенциальные негативные последствия криптовалюты для операционных систем, корпоративных серверов и критически важных сетевых инфраструктур. История крипто-взлома: Согласно отчету Symantec Internet Security Threat Report (ISTR), опубликованному в 2018 году, количество сценариев криптовалютного майнинга вредоносных программ на конечных точках выросло в 2017 году на 8500%. Следовательно, появился новый акт схемы киберпреступности, ориентированный на майнинг криптовалюты. В конце 2017 года и в начале 2018 года те, кто посещал Politifact.com или MSN.com, нажимали на рекламу YouTube или загружали приложение на свои устройства Android, могли непреднамеренно финансироваться киберпреступниками. Из-за своего высокого прибыльного потенциала и низкого барьера для входа киберпреступники в значительной степени использовали эту возникающую поверхность атаки использования майнеров криптовалюты для захвата вычислительной мощности компьютеров и использования облачного ЦП пользователями и предприятиями для добычи различных монет. В период с 2016 по 2017 год такие компании, как Coinhive, CoinImp, Coinloot и deepMiner, разработали специальные сценарии для встраивания в страницы веб-сайтов, которые передают вычислительную мощность от компьютеров посетителей для майнинга криптовалют. Это означает поддержку веб-сайта вместо обычной рекламы. Тем не менее, многие киберпреступники воспользовались возможностью, чтобы злонамеренно внедрить JavaScript-код этой монеты в уязвимые веб-сайты и рекламу. Например, поиск на publicwww.com, поисковой системе для исходных кодов веб-сайтов, в настоящее время показывает, что существует более 43 000 веб-сайтов, включая потенциально вредоносный скрипт добычи монет. Этот сценарий захватывает вычислительные ресурсы машины посетителя на время посещения веб-сайта, чтобы добывать Monero (XMR). Было доказано, что этот скрипт был встроен в веб-сайты известных компаний, таких как The Los Angeles Times, Showtime и Politifact, а также производителя мобильных устройств Blackberry. По сообщениям, в 2018 году еще одна атака, направленная на майнинг Monero с помощью утилиты XMRig с открытым исходным кодом, поразила более 30 миллионов систем по всему миру. Было доказано, что злоумышленники использовали службу сокращения URL-адресов Bit.ly для автоматической установки вредоносной программы, которая запускает клиент майнинга Monero. Анализ вредоносного ПО для добычи монет: Чтобы проанализировать и сформулировать лучшее понимание вредоносных программ, авторы статьи получили образцы вредоносных программ с помощью VirusTotal, который является общедоступным сервисом, позволяющим пользователю отправить файл или URL-адрес веб-сайта для сканирования более более 70 антивирусных программ и решений для фильтрации URL. Результаты сканирования включают антивирусные программы, которые распознали файл или URL как вредоносные. 132 лучших образца вредоносных программ с тегом майнинга криптовалюты были получены, а затем проанализированы в специально настроенной безопасной среде для тестирования. Oracle VirtualBox был использован авторами для создания виртуальной машины (ВМ) для анализа образцов вредоносных программ. Использование нескольких виртуальных машин может ограничивать исходящие соединения, а также записывать незараженные конфигурации. Это позволяет запускать потенциально вредоносный код и отслеживать его поведение без риска заражения компьютера оператора или других устройств в сети. Методы статического и динамического анализа: Статический анализ направлен на выявление особенностей файла вредоносного ПО. Был использован PEStudio, который предоставляет информацию о файле, включая его имя, импортированные библиотеки, язык программирования и другую соответствующую информацию. Динамический анализ пытается спровоцировать злонамеренное поведение посредством выполнения и мониторинга поведения переносимых исполняемых файлов (PE). Это было достигнуто с помощью двух разных программ: Process Monitor и RegShot. Process Monitor записывает события процесса и потоки в режиме реального времени. RegShot позволяет сравнивать куст реестра ОС Windows до и после выполнения программы. Вредоносные песочницы использовались в качестве альтернативного средства для обнаружения и автоматизации процесса анализа вредоносных программ. Использовалась онлайн-служба Hybrid-Analysis, которая обеспечивает гибкость уязвимой ОС жертвы, а также индивидуальных параметров уязвимых машин в «песочнице». Hybrid-Analysis отправляет исполняемый файл нескольким конкретным механизмам и генерирует отчет, как показано на рисунке (1). Это гадость был использован для проверки и представления дополнительных контекстов для результатов, полученных с помощью статического и динамического анализа. Рисунок (1): Образец четкого отчета, полученного через Hybrid-analysis.com Крипто-взлом векторов атаки: Существует два основных вида векторов атак, используемых в криптовалюте: Захват интернет-браузера: Атаки, направленные на интернет-браузер, могут потенциально поставить под угрозу большое количество жертв. Встраивая скрипт майнинга в страницу сайта, злоумышленник может извлечь выгоду из его популярности. Есть много майнеров Javascript, которые могут это сделать, но самым популярным из них является сервис Coinhive. Чтобы использовать скрипт Coinhive, злоумышленник должен создать учетную запись и получить ключ сайта. Скрипт включает дроссель, который ограничивает процент ресурсов ЦП, откачиваемых от жертв. Согласно данным, представленным на веб-сайте Coinhive, владелец сайта или криптохакер может получать ежемесячную прибыль в размере около 0,3 XMR (около 76 долларов США) через один веб-сайт, обслуживающий от 10 до 20 майнеров. Атаки собственного кода: Эта форма атаки включает в себя вредоносное ПО, запрограммированное для запуска на уязвимых устройствах, включая ПК или онлайн-серверы. Авторы статьи выявили 96 вредоносных программ из этой категории, маскирующихся в виде бесплатной китайской антивирусной программы под названием 360 Security. Еще 23 скрипта вредоносных программ маскировались под неназванную папку, которая позднее была признана трояном-червем. Еще 5 сценариев вредоносного ПО, по-видимому, напрямую добывали монеты через машины жертв. Анализ вредоносных программ всех трех форм показал, что все они являются вариантами одного и того же вредоносного ПО. Также было показано, что вредоносная программа отключает настройки безопасности Internet Explorer. Он также изменяет реестр, чтобы не показывать скрытые папки и файлы, чтобы файл Zhudonfangyu.exe (вирус майнинга) оставался скрытым. Вирус действует, внедряя себя вместе со скриптом Coinhive в максимально возможное количество программ и файлов на компьютере жертвы. Таким образом, жертва будет выполнять сценарий и копировать Monero для злоумышленника, пока они продолжают использовать свою машину. Вирус имеет тенденцию сохраняться на целевой машине и сопротивляется удалению, отключая функции безопасности ОС. Анализ вредоносных программ выявил еще одного криптоминирующего червя из категории атак с использованием собственного кода, известного как «Night Miner». Этот криптоминирующий червь маскируется под папку с изображением, которая предлагает жертве открыть его для запуска процедуры атаки. Этот червь очень опасен, так как может распространяться на сетевые ресурсы и подключенные носители, что расширяет масштабы первоначального заражения. Как только это выполнено, это активирует майнер ЦП, который присоединяется к майнинговым пулам к моему Монеро.




Page rendered in 0.07s | Memory usage 4 Mb of 6 Mb