Мультитул для майнинга

akok

Команда форума
Администратор
Сообщения
15,469
Симпатии
12,573
Баллы
2,203
#1
Недавно в поле зрения наших защитных решений попала интересная реализация майнера, которую мы назвали PowerGhost. Зловред умеет незаметно закрепляться в системе и распространяется внутри крупных корпоративных сетей, заражая как рабочие станции, так и сервера. В целом, скрытое закрепление характерно для майнеров: чем больше и чем дольше машины будут заражены, тем больше доход у злоумышленника. Потому нередки случаи заражения чистого ПО майнером, в таком случае массовость обеспечивалась за счет популярности легитимной программы. Однако создатели PowerGhost пошли дальше и стали использовать бесфайловые (fileless) техники для закрепления нелегального майнера в системе. Похоже, рост популярности и стоимости криптовалют, убедил киберпреступников в необходимости вкладывать ресурсы в разработку новых техник для майнеров, которые по нашим данным постепенно приходят на смену троянцам-вымогателям.

Технические детали и способ распространения
PowerGhost представляет собой обфусцированный powershell-скрипт, содержащий основной код и дополнительные модули: непосредственно майнер, mimikatz, библиотеки msvcp120.dll и msvcr120.dll, необходимые для работы майнера, модуль для reflective PE injection и shellcode для эксплойта EternalBlue.

proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F07%2F25165541%2F180725-miner-powershell-1.png&hash=a6daaca4857dc4c42976e219606004fa

Фрагмент обфусцированного скрипта
proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F07%2F25165545%2F180725-miner-powershell-2.png&hash=82fb120554f6648f90c40dee26aa71f2

Дополнительные модули, закодированные в base64
Зловред использует множество бесфайловых техник, чтобы оставаться незаметным для пользователя и избегать обнаружения антивирусными технологиями. Заражение машины происходит удаленно с использованием эксплойтов или инструментов удаленного администрирования (Windows Management Instrumentation). При заражении запускается однострочный powershell-скрипт, который выкачивает основное тело зловреда и сразу запускает его, не записывая на жесткий диск.

Далее работу скрипта можно разделить на несколько этапов:

  • Автообновление. PowerGhost проверяет наличие новой версии на C&C и, если она есть, скачивает и запускает ее вместо себя.
  • proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F07%2F25165541%2F180725-miner-powershell-3.png&hash=7f5af1ca85d1c90f9c1a367727f33ac1
  • Распространение. При помощи mimikatz зловред получает данные учетных записей с текущей машины и с их помощью пытается распространиться по локальной сети, авторизуясь и запуская свою копию через WMI. Под “своей копией” здесь и далее подразумевается однострочник, скачивающий основное тело с C&C-сервера злоумышленников.
    Кроме того, PowerGhost также пытается распространиться по локальной сети, используя печально известный эксплойт Eternalblue (MS17-010, CVE-2017-0144).
  • Повышение привилегий. Распространяясь через mimikatz и WMI, зловред может попасть на новую машину с правами пользователя. Далее он пытается повысить свои привилегии в системе при помощи эксплойтов (32- или 64-битных) для MS16-032, MS15-051 и CVE-2018-8120.
  • Закрепление в системе. PowerGhost сохраняет все модули как свойства WMI-класса. Тело зловреда сохраняется в виде однострочного powershell-скрипта в WMI-подписку, которая срабатывает каждые 1,5 часа.
  • proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F07%2F25165546%2F180725-miner-powershell-4.png&hash=68f7c943a5ff6396030a6352f81983cd
  • Полезная нагрузка. Последним скрипт запускает майнер, загружая PE файл через reflective PE injection.
В одной из версий PowerGhost мы обнаружили инструмент для проведения DDoS-атак. Очевидно, авторы решили получить дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.

proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F07%2F25165541%2F180725-miner-powershell-5.png&hash=ff7d8efb9d89981d7e21ed73feefff1f

Powershell-функция с говорящим именем RunDDOS
Стоит отметить, что это единственная функция зловреда, которая копирует файлы на жесткий диск. Вполне вероятно, что это тестовый инструмент и в дальнейшем он будет заменен на бесфайловую реализацию. В пользу того, что функция была добавлена в данный образец, скажем так, на скорую руку, также указывает особенность запуска DDoS-модуля. Скрипт скачивает два PE-модуля logos.png и cohernece.txt. Первый сохраняется на диске как java-log-9527.log и представляет собой исполняемый файл для проведения DDoS-атак. Файл cohernece.txt защищен протектором Themida с опцией проверки запуска в виртуальной среде. Если проверка не обнаружила “песочницу”, то cohernece.txt запускает файл java-log-9527.log на исполнение. Таким странным способом к уже готовому DDoS-модулю добавили функцию проверки виртуальной среды.

proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F07%2F25165541%2F180725-miner-powershell-6.png&hash=624dd6743f728ebd9e68c29df4d53201

Фрагмент дизассемблированного кода файла cohernece.txt
Статистика и география
Основными жертвами атаки стали корпоративные пользователи: PowerGhost проще распространяться внутри локальной сети компании.

proxy.php?image=https%3A%2F%2Fmedia.kasperskycontenthub.com%2Fwp-content%2Fuploads%2Fsites%2F58%2F2018%2F07%2F25165541%2F180725-miner-powershell-7.png&hash=f1e52d5d0de46685bb89c95fc10c4797

География распространения майнера
В основном, PowerGhost встречается в Индии, Бразилии, Колумбии и Турции.

Продукты “Лаборатории Касперского” определяют зловред и его компоненты со следующими вердиктами:

  • PDM:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
Кошельки на nanopool.org и minexmr.com

  • 43QbHsAj4kHY5WdWr75qxXHarxTNQDk2ABoiXM6yFaVPW6TyUJehRoBVUfEhKPNP4n3JFu2H3PNU2Sg3ZMK85tPXMzTbHkb
  • 49kWWHdZd5NFHXveGPPAnX8irX7grcNLHN2anNKhBAinVFLd26n8gX2EisdakRV6h1HkXaa1YJ7iz3AHtJNK5MD93z6tV9H
Индикаторы заражения (IoC)
C&C hostnames:
  • 7h4uk[.]com
  • 128.43.62
  • 7h4uk[.]com
MD5:
  • AEEB46A88C9A37FA54CA2B64AE17F248
  • 4FE2DE6FBB278E56C23E90432F21F6C8
  • 71404815F6A0171A29DE46846E78A079
  • 81E214A4120A4017809F5E7713B7EAC8
securelist.ru
 

wumbo12

Пользователь
Сообщения
166
Симпатии
70
Баллы
38
#2
Знаю этого скрипта. Можно сказать что веб криминалист , написал хитрую код.
Я на таких не ведусь =)
Сообщения объединены:

Язык написан на Visual Basic + HTML, PHP.
Сообщения объединены:

Коды очень схожие . Знаю это .
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,863
Симпатии
5,720
Баллы
588
#3
Интересно, зачем ipsec-блокировка. Обычно, наоборот.
 
Сверху Снизу