Новая тактика вируса-майнера прячет его среди ботнета

Исследователи обнаружили в активном ботнете из СНГ новые методы запутывания майнинга без согласия пользователя, которые они описали как «уникальные».

В четверг фирма по кибербезопасности ESET заявила, что обнаружение было сделано путем проверки ботнета Stantinko, который был активен по крайней мере с 2012 года.

С самого начала ботнет Stantinko специализировался на рапространении рекламы, в основном в России и на Украине. Вредоносная программа распространялась с помощью пиратского программного обеспечения в качестве вектора заражения, при котором загрузчики запускали эти файлы только для одновременного развертывания ряда вредоносных программ и шпионских программ на собственном ПК.

Операторы будут получать доход от вредоносных расширений браузера, поставляемых в комплекте с программным обеспечением, которое выполняет инъекцию рекламы и мошенничают с кликами, а также устанавливает бэкдоры и совершает атаки методом «грубой силы» на CMS-системы веб-сайтов.

В 2019 году операторы Stantinko добавили новый модуль майнинга криптовалюты для получения дополнительных незаконных доходов, а также расширили свой пул жертв в России, Украине, Беларуси и Казахстане. Аналитик ESET по вредоносным программам, Владислав Хрчка, говорит:

Новый модуль майнинга Monero представляет интерес, учитывая, что защитные методы, встречающиеся во время анализа, являются более продвинутыми, чем вредоносное ПО, которое они защищают.  Некоторые методы еще не были публично описаны.

SolutionSeries: проверка контроля доступа к сети

По мере того, как вирусы-майнеры становятся более гибкими в отношении своего рабочего времени и местоположения, они хотят иметь возможность доступа к сетевым ресурсам в любое время и из любого места. Это удобно для защиты рабочих станций, подключенных к вашей сети, когда они относительно защищены.

В целом, выделяются два метода запутывания, способ скрытия строк и метод, называемый обфускацией потока управления.

Первый метод основан на строках в памяти, которые присутствуют в памяти только при их использовании. Все строки, встроенные в модуль криптовалютного майнинга, не связаны с реальной функциональностью майнера, и «они либо служат строительными блоками для построения строк, которые фактически используются, либо не используются вообще». Согласно ESET:

Строки, используемые вредоносными программами, генерируются в памяти, чтобы избежать обнаружения на основе файлов и препятствовать анализу.

Запутывание потока управления изменяет поток управления в форму, которую трудно прочитать, и выполнение заказов базовых блоков считается «непредсказуемым».

Отдельная функция разбивается на блоки, и эти блоки затем помещаются как диспетчеризация в оператор switch внутри цикла, причем каждая диспетчеризация состоит из одного базового блока. Управляющая переменная определяет, какой блок должен быть выполнен. Исследователи уточняют:

Базовым блокам присваивается идентификатор, а управляющая переменная всегда содержит идентификатор базового блока. Все базовые блоки устанавливают значение управляющей переменной равным идентификатору ее преемника (базовый блок может иметь несколько возможных преемников; в этом случае непосредственный преемник может быть выбран в условии).

Однако, поскольку код сглаживается на уровне исходного кода, обычные инструменты для удаления этой запутанности не будут работать в случае ботнета.

Кроме того, использование модуля запутывания потока управления включает в себя два блока управления «голова и хвост», которые управляют функцией. Голова решает, какую диспетчеризацию нужно выполнить, тогда как хвост увеличивает управляющую переменную, используя фиксированную константу, и либо возвращается к голове, либо выходит из цикла.

Модуль также объединяет некоторые основные блоки при подключении отправок. Весь этот процесс постоянно вызывает аномалии в контурах выравнивания, что затрудняет анализ.

Кроме того, субъекты угроз также реализовали куски нежелательного кода и мертвые строки, чтобы предотвратить обнаружение вредоносного ПО как вредоносного. Также был найден код «ничего не делать», который выполняется, но не имеет реальной функциональности. ESET сообщает:

Преступники, стоящие за ботнетом Stantinko, постоянно совершенствуются и разрабатывают новые модули, которые часто содержат нестандартные и интересные методы. Поскольку ботнет остается активным, вероятно, мы увидим новые функциональные возможности или скрытые методы в будущем.

В связанных новостях новая кампания Trickbot, недавно обнаруженная Bitdefender, также демонстрирует ранее невиданное поведение в поиске интеллектуальной собственности и финансовой информации о пользователях.

Источник: AltStake



Самые актуальные новости - в Telegram-канале

Читайте также

Вверх