Это логическое продолжение этой статьи.
В данном отчете рассмотрены обнаруженные механизмы работы CoinMiner на основе данных системы AhnLab EDR, а также объясняются методы его выявления.
Этот VBS-скрипт затем выполняет BAT-файл x<случайные 6 цифр>.bat, который создает папку C:\Windows(space)\System32. На схеме ниже показано поведение BAT-файла при создании и доступе к папке C:\Windows(space)\System32.
Рисунок 1. Поведение, обнаруженное при создании и доступе к папке "C:\Windows(space)\System32"
Если x.bat выполняется успешно, он создает два файла в этой папке:
Создание папки с пробелом в имени C:\Windows(space)\System32 — это распространенная техника маскировки, позволяющая злоумышленникам скрывать вредоносные файлы в директории, похожей на системную. Этот метод также используется для повышения привилегий исполняемых файлов.
При проверке условий для повышения привилегий операционная система анализирует:
Если хотя бы одно из этих условий не выполняется, автоматическое повышение привилегий не происходит. Однако, как показано на Рисунке 1, файлы внутри C:\Windows(space)\System32 удовлетворяют условиям для доверенной папки, что позволяет вредоносному ПО получить повышенные привилегии.
Это предотвращает обнаружение вредоносных файлов при их последующем создании в этих каталогах.
Система AhnLab EDR фиксирует попытки добавления исключений в Windows Defender, как показано ниже.
Рисунок 2. AhnLab EDR фиксирует попытки обхода Windows Defender
AhnLab EDR обнаруживает эти действия, что представлено на диаграммах ниже.
Рисунок 3. Обнаружение регистрации вредоносного сервиса
Рисунок 4. Обнаружение задания в планировщике задач
При этом оригинальные файлы жертвы скрываются в скрытой папке. Затем в корневом каталоге USB-накопителя создаются файлы:
AhnLab EDR фиксирует создание скрытых файлов, изменение их атрибутов и модификацию реестра.
Рисунок 5. Обнаружение распространения через USB-носители
Источник
1. Обзор
CoinMiner — это вредоносное ПО, которое скрытно использует ресурсы процессора (CPU) и видеокарты (GPU) зараженного компьютера для майнинга криптовалют. Это приводит к замедлению работы системы. Обычно CoinMiner распространяется через фишинговые электронные письма, вредоносные веб-сайты, уязвимости системы и другие методы.В данном отчете рассмотрены обнаруженные механизмы работы CoinMiner на основе данных системы AhnLab EDR, а также объясняются методы его выявления.
2. Повышение привилегий
Зараженный USB-носитель содержит не оригинальные файлы пользователя, а ярлык с именем USB Drive.lnk. При запуске он выполняет VBS-скрипт x<случайные 6 цифр>.vbs, расположенный в скрытой папке rootdir, которая создается в процессе распространения вредоносного ПО.Этот VBS-скрипт затем выполняет BAT-файл x<случайные 6 цифр>.bat, который создает папку C:\Windows(space)\System32. На схеме ниже показано поведение BAT-файла при создании и доступе к папке C:\Windows(space)\System32.
Рисунок 1. Поведение, обнаруженное при создании и доступе к папке "C:\Windows(space)\System32"
Если x.bat выполняется успешно, он создает два файла в этой папке:
- printui.exe (обычный системный файл);
- printui.dll (вредоносная библиотека).
Создание папки с пробелом в имени C:\Windows(space)\System32 — это распространенная техника маскировки, позволяющая злоумышленникам скрывать вредоносные файлы в директории, похожей на системную. Этот метод также используется для повышения привилегий исполняемых файлов.
При проверке условий для повышения привилегий операционная система анализирует:
- Наличие в манифесте файла параметра <autoElevate>true</autoElevate>;.
- Действительность цифровой подписи файла.
- Запуск файла из доверенной папки, такой как C:\Windows\System32.
Если хотя бы одно из этих условий не выполняется, автоматическое повышение привилегий не происходит. Однако, как показано на Рисунке 1, файлы внутри C:\Windows(space)\System32 удовлетворяют условиям для доверенной папки, что позволяет вредоносному ПО получить повышенные привилегии.
3. Обход Windows Defender
CoinMiner использует технику DLL Side-Loading и выполняет PowerShell-команду, которая добавляет папки C:\Windows(space)\System32 и C:\Windows\System32 в исключения Windows Defender.Это предотвращает обнаружение вредоносных файлов при их последующем создании в этих каталогах.
Система AhnLab EDR фиксирует попытки добавления исключений в Windows Defender, как показано ниже.
Рисунок 2. AhnLab EDR фиксирует попытки обхода Windows Defender
4. Удержание устойчивости в системе
Для обеспечения постоянного присутствия в системе вредоносное ПО регистрирует:- Сервис, выполняющий сам CoinMiner;
- Планировщик задач, загружающий обновленные версии CoinMiner.
AhnLab EDR обнаруживает эти действия, что представлено на диаграммах ниже.
Рисунок 3. Обнаружение регистрации вредоносного сервиса
Рисунок 4. Обнаружение задания в планировщике задач
5. Распространение через USB-носители
После запуска CoinMiner проверяет подключенные к компьютеру USB-устройства и копирует на них вредоносные файлы.При этом оригинальные файлы жертвы скрываются в скрытой папке. Затем в корневом каталоге USB-накопителя создаются файлы:
- x<случайные 6 цифр>.vbs
- x<случайные 6 цифр>.bat
- x<случайные 6 цифр>.dat
- USB Drive.lnk
AhnLab EDR фиксирует создание скрытых файлов, изменение их атрибутов и модификацию реестра.
Рисунок 5. Обнаружение распространения через USB-носители
6. Заключение
Благодаря системе AhnLab EDR можно детально отслеживать поведение CoinMiner, включая его распространение через USB, повышение привилегий, обход Windows Defender и другие вредоносные действия. Эти данные помогают администраторам безопасности выявлять цепочку событий, приводящих к запуску вредоносного ПО, а также использовать собранную информацию в расследованиях инцидентов кибербезопасности.Названия детектов EDR
- Persistence/EDR.Event.M12408
- DefenseEvasion/EDR.WindowDefender.M11093
- Suspicious/DETECT.T1053.M2676
MD5-хэши вредоносных файлов
- 607ac6645be22077443b74cf38b92ce0
- 60f6acfb9efce8dbf5a6d69a418c0eed
- 819aa5e784063af3bf18b7a7fcdc1855
- 8972c43c579d02b463484e31506a64ff
- a62826dabcdf904941b0793e9f7b2238
Источник
