Tento článok je tlačová správa a je publikovaný bez redakčných úprav.

Malware ťažiaci digitálne meny používa rôzne techniky, ktoré mu pomáhajú ukryť sa pred obrannými mechanizmami. Jednou z nich je využívanie inštalačných služieb Windows.

Za obrovským nárastom malwaru zameraného na ťaženie kryptomien stojí nielen snaha získať prostredníctvom tohto typu hrozby veľký zisk, ale tiež schopnosť ostať v napadnutom systéme neodhalený. Koncept skrytého a len obtiažne odhaliteľného malwaru je zaujímavý pre mnohých útočníkov. V dôsledku toho vzniká kombinácia stále nových skrývajúcich techník. Príkladom môže byť malware detekovaný ako Coinminer.Win32.MALXMR.TIAOODAM, ktorého súčasťou je hneď niekoľko postupne aktivovaných „zahmlievajúcich“ mechanizmov.

Spôsob nákazy prebieha podľa nasledujúceho obrázku:

Malware dorazí do potenciálne zneužitelného počítača ako MSI balíček pre Windows Installer Service – už tento samotný fakt stojí za pozornosť, pretože ide o službu oprávnenú inštalovať software do operačného systému. Použitie dôveryhodnej súčasti systému Windows spôsobuje, že daný malware pôsobí menej podozrivo a má väčšiu šancu obísť niektoré bezpečnostné filtre.

Analýza vzorky ukázala, že malware sám seba nainštaluje do adresára:

%AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server

Ak by tento adresár ešte neexistoval, dôjde k jeho automatickému vytvoreniu. Obsahom tohto adresára bude niekoľko rôznych súborov slúžiacich ako súčasť „ochranného“ mechanizmu, konkrétne ide o:

  • bat – dávkový súbor so skriptom, ktorý má za úlohu zastaviť aktuálne spustené anti-malwarové programy
  • exe – dekomprimovací nástroj určený pre rozbalenie ďalšieho „inštalačného“ súboru: icon.ico
  • ico – súbor vo formáte zip, ktorý je chránený heslom a tvári sa ako súbor s ikonami. Lenže to tak v skutočnosti nie je a jeho rozbalením sa v počítači obete objavia dva ďalšie súbory (viď stredná tretina vyššie uvedeného obrázku):
    • ocx – modul zavádzača zodpovedný za dešifrovanie a inštaláciu modulu pre ťaženie kryptomeny
    • bin – šifrovaný súbor s modulom pre ťaženie preložený vo vývojovom prostredí Delphi a komprimovaný v univerzálnom formáte pre kompresiu spustitelných súborov UPX

V ďalšej časti inštalačného procesu dôjde k vytvoreniu kópií knižnice jadra operačného systému ntdll.dll a pre komponenty užívateľského rozhrania user32.dll – cieľom je s najväčšou pravdepodobnosťou ešte o niečo sťažiť detekciu volania funkcií aplikačného rozhrania malwaru. Nasleduje vytvorenie konfiguračného súboru vrátane nastavenia pre samotný ťažiaci modul. Zajímavosťou sú dialógy zobrazované počas inštalácie, ktoré obsahujú texty v azbuke a nie v angličtine – táto zdanlivá drobnosť by mohla byť vodítkom k tomu, z akej oblasti malware vlastne pochádza.

Zaujímavý je aj ďalší postup – príde k vytvoreniu troch nezávislých procesov hostiteľa služby pre zavedenie kódu s tým, že prvé dva budú zastávať rolu strážnych psov. Tie majú na starosť prípadné opakované stiahnutie inštalačného balíčka v prípade narušenia činnosti malwaru. A čerešničkou na torte je potom samo-deštrukčný mechanizmus, ktorý má sťažiť detekciu aj následnú analýzu. Je úplne nespochybnitelné – i s ohľadom na použitie obľúbeného nástroja pre tvorbu inštalačných balíčkov WiX – že autori tohto ťažiaceho malwaru vyvinuli pre čo najlepšie ukrytie svojho diela skutočne maximálne úsilie.

Z uvedeného popisu je zrejmá zákernosť, ktorá je natoľko účinná, že skutočne vedie k sťaženiu detekcie bežnými prostriedkami. Navyše počítačoví zločinci svoje „krycie“ postupy neustále zdokonaľujú a jedinou možnosťou tak je využívať výkonné bezpečnostné nástroje a riešenia. Napríklad Trend Micro pre ochranu koncových bodov využíva popri iných riešenie Smart Protection Suites a Worry-Free Business Security, ktoré môžu chrániť užívateľa a firmy pred hrozbami detekovaním škodlivých súborov a správ a tiež blokovaním všetkých súvisiacich podozrivých URL adries. Alebo riešenie Trend Micro ™ Deep Discovery™, ktoré má e-mailovú inšpekčnú vrstvu chrániacu podniky tým, že detekuje škodlivé prílohy a adresy URL.

Najnovšia generácia riešení pre ochranu fyzických, virtuálnych i cloudových zariadení Trend Micro XGen je účinná proti všetkým druhom hrozieb, a to vrátane tých, ktoré obchádzajú tradičné bezpečnostné mechanizmy. Poradí si aj s ťažiacim malwarom alebo šifrujúcim ransomwarom. Pre svoju činnosť využíva radu pokročilých technológií vrátane strojového učenia, testovania vo vyhradenom bezpečnostnom priestore (tzv. sandboxing) a pod. V každom prípade je dôležité vnímať moderné hrozby ako reálne a nepodľahnúť falošnému pocitu bezpečia.

Značky: