Siber güvenlik satıcısı Darktrace’taki araştırmacılar, Söylediklerini ortaya çıkardılar, NBMiner kriptominasyon kötü amaçlı yazılımlarının ilk belgelenmiş durumu, kötü amaçlı kod kodlarını doğrudan meşru Windows süreçlerine enjekte eden PowerShell tabanlı bir saldırı zinciri aracılığıyla konuşlandırıldı.
Saldırı Temmuz ayında bir perakende ve e -ticaret müşterinin ağında tespit edildi ve Darktrace’in Tara Gould liderliğindeki tehdit araştırma ekibi ve analist Keanna Grelicha.
Darktrace, kriptolama tekniklerinde önemli bir evrimi temsil ettiğini, tehdit aktörlerinin, tehlikeye atılan sistemlerde kripto para madenciliğine madencilik yaparken tespitten kaçınmak için giderek daha karmaşık yöntemler kullandığını söyledi.
Kriptaj saldırıları, neredeyse 4 trilyon dolarlık bir aktifleştirmeye sahip olan büyüyen kripto para piyasasının yanı sıra, yasadışı madenciliği tehlikeye atılmış bilgi işlem kaynaklarından para kazanmak isteyen suçlular için cazip bir öneri haline getirdi.
Saldırı, DarkTrace’in ağ izlemesi, 8000 bağlantı noktası üzerinden 45.141.87.195’te bulunan şüpheli bir uç noktaya bağlanan enfekte bir masaüstü cihazı tespit ettiğinde başladı.
Oradan, hizmet, kötü amaçlı yükün ilk damlası olarak hizmet veren Infect.ps1 adlı bir PowerShell komut dosyası indirdi.
Araştırmacıların yoğun bir şekilde gizlenmiş PowerShell betiği analizi, Base64 ve XOR kodlu verilerin çoklu değişkenlerini içerdiğini gösterdi.
Birinci aşamalı bir veri bloğu, sistemin uygulama veri dizininde saklanan meşru bir Otoit yürütülebilir dosyası üretmek için 97 XOR tuşu kullanılarak kod çözülür.
Komut dosyasının ikinci aşaması, sisteme şifreli bir ikili yazmayı içeriyordu, üçüncü bir bileşen ise, araştırmacıların saldırganların Windows iç kısımları hakkında sofistike anlayışını gösterdiklerini söyledikleri gizli bir otomatik komut dosyasına kodladı.
Kod çözüldükten sonra, Autoit yükleyici, enjeksiyon ana bilgisayar olarak meşru Windows Karakter Haritası uygulamasını (CharMap.exe) hedefleyerek bir kaçırma tekniği kullandı ve bellek alanına tam erişim ayrıcalıkları elde etmeden önce iyi huylu işlemi sessizce başlattı.
Diğer kaçırma teknikleri, bir analiz ortamında algılamayı geciktirmek için uyuyarak anti-sandBoxing’i içerir.
Kötü amaçlı yazılım yükü ayrıca hangi antivirüs ürünlerinin yüklendiğini kontrol eder ve yalnızca Windows Defender tek koruması ise devam eder.
Mevcut kullanıcıların ayrıcalıkları da yönetici haklarına sahip olup olmadıklarını görmek için kontrol edilir ve eğer değilse, kötü amaçlı yazılım, ayrıcalıkları yükseltmek için kullanıcı hesabı kontrolü (UAC) istemlerini atlamaya çalışır.
Meşru sürecin içinde, kötü amaçlı yazılım yürütülebilir ve yazılabilir bellek bölgeleri tahsis etti, 47 XOR tuşunu kullanarak NBMiner yükünü şifre kaldırdı ve Cryptominer’ı yeni bir yürütme iş parçacığını ortaya çıkarmadan önce doğrudan tahsis edilen alana yazdı.
Bu işlem enjeksiyon tekniği, kötü amaçlı madencilik faaliyetini meşru sistem davranışı olarak etkili bir şekilde gizler, bu da tespiti süreç tabanlı izlemeye dayanan geleneksel güvenlik araçları için önemli ölçüde daha zor hale getirir.
Enjekte edilen NBMiner yükü, birden fazla anti-analiz özelliği, görev yöneticisi süreçlerini kontrol etmek, Windows dosya imzası doğrulama araçlarını sonlandırmaya çalışan ve enfekte sistemlerde kalıcılığı korumak için kullanıcı hesabı kontrol bypass’ın uygulanmasını içeriyordu.
Aktif olduğunda, Cryptominer, kullanıcı tespitinden kaçınmak için işlem penceresini gizlerken Ravencoin kripto para birimini hedefleyen Asia.ravenminer.com madencilik havuzuna bağlandı.
Kriptaj saldırıları genellikle düşük şiddetli sorunlar olarak reddedilir, ancak potansiyel olarak daha fazla sömürüye yol açan daha ciddi uzlaşmalara öncül olabilirler.