Де ж ховаються сірі майнери?

Проблема сірого майнінгу, як і раніше, залишається актуальною, а майнери стають все досконалішими. Спробуємо розібратися як вони маскуються після проникнення на комп'ютер користувачів.

Багато сірів майнерів досить примітивні - вони використовують усі доступні ресурси техніки жертви, тим самим видаючи свою присутність, при цьому ніяк не маскуючись. Завдяки цьому вони дуже легко виявляються та видаляються із системи. Але зловмисники з кожним днем ​​стають дедалі підступнішими і вигадують все більше хитрих способів уникнути виявлення. Спробуємо розібратися як ховаються сірі майнери від пильного ока антивірусів та уважних користувачів.

Як це працює?

Однією з перших досить акуратних зловредів був Trojan.BtcMine.1259, мішенню якого були комп'ютери під керуванням Windows та його основною метою - видобуток Monero на зараженій техніці. 

Відразу після старту він перевіряє чи заражена система, встановлює досить серйозного трояна Gh0st RAT, призначеного для повного контролю за системою жертви. Далі він перевіряє кількість ядер процесора і лише у випадку, якщо обчислювальна потужність процесора була більшою за задану величину, виконує запуск майнера, використовуючи при цьому не всю доступну потужність, а лише певний відсоток, щоб не видати своєї присутності. Таким чином, майнер не запускається на занадто "слабкій" техніці, на якій його роботу було б легко помітити, хоча при цьому продовжує використовуватися як ланка ботнет для інших цілей зловмисників. При цьому троян відстежує поточні процеси і, при запуску диспетчера завдань, він завершує роботу майнера, а після закриття вікна таск менеджера знову запускає його.

Ще один метод самооборони майнерів (наприклад, Trojan.BtcMine.1978) - запуск як критичний процес, при примусовому завершенні якого система падає в BSoD ("Blue Screen of Death" - "Синій Екран Смерті"). Так, фахівці з безпеки компанії “360 Total Security” виявили майнер WinstarNssmMiner впроваджується у системний процес svchost.exe, одночасно запускаючи майнер з видобутку Monero та паралельний процес, що займається відстеженням активності антивірусів та програм моніторингу процесів та ресурсів. Процес стеження відключає майнер під час запуску антивірусу Касперського або Avast. При запуску інших антивірусів, троян закидає користувача системними повідомленнями про помилки, блокує роботу програм та системи, а в деяких випадках навіть руйнує систему в BSoD.. За підрахунками фахівців, у перші 3 дні роботи майнер здобув 133 коїни Monero (що за поточним курсом становить близько 17 000 USD).

Кілька днів тому, аналітик порталу Bleeping Computer Лоренс Абрамс (Lawrence Abrams) описав троян “WindowsRecoveryCleaner”. Його особливість у тому, що він припиняє свою роботу при запуску додатків, на чию роботу може вплинути його діяльність, а зокрема – популярні ігри, що вимагають високої продуктивності комп'ютера. Для цього троян створює завдання із загрозливою назвою WindowsRecoveryCleaner, яка раз на хвилину запускає процес Iostream.exe, що дозволяє майнеру запускатися дуже швидко, у разі завершення його роботи. 

Відразу після старту, керуючий додаток Iostream впроваджує код майнера у системний файл C:\Windows\system32\attrib.exe (який використовується для зміни атрибутів файлів і завершується відразу після успішної операції) і запускає його. Після цього Iostream залишається в пам'яті і стежить за списком запущених процесів. Як тільки серед них з'являється Process Explorer, Task Manager, Process Monitor, Process Hacker, AnVir Task Manager, Player Unknown's Battlegrounds (PUBG), Counterstrike: Global Offensive, Rainbox Six, або Dota 2, він завершує свою роботу (Iostream.exe) і роботу травня. Системне завдання WindowsRecoveryCleaner раз на хвилину запускає керуючий процес Iostream, який перевіряє, запущено будь-яку програму з "чорного списку" і, якщо горизонт чистий - запускає майнер. Цей троян є одним із найсучасніших і хитро захованих від користувачів.

Вчаться ховатися не тільки складні майнери, що глибоко зариваються в систему, а й нескладні javascript-майнери. Так, наприкінці 2017, експерт компанії Malwarebytes Джером Сегура (Jerome Segura) rel="nofollow">виявив на сайті yourporn.sexy код браузерного майнера, який виконувався не в основному вікні браузера, а в новому вікні, яке позиціонується в нижньому правому куті екрана (розташування обчислюється динамічно в залежності від розміру екрана користувача, мінус 0 вертикальна – висота екрану мінус 40 пікселів).. 

Таким чином, у користувачів зі стандартними налаштуваннями відображення панелі завдань, вікно майнера виявляється зритим за панеллю завдань Windows. Зловмисник використав модифіковану версію javascript-майнера Coinhive, про який ми вже розповідали у нашій статті "Новий виток сірого майнінгу - браунг". Паразитний скрипт не використовує процесор на всю потужність, чим знижує ймовірність свого виявлення. Завдяки тому, що він ховається в окремому вікні, прихованому від сторонніх очей, він продовжує свою роботу навіть після того, як користувач закриє вікно браузера за допомогою кнопки "Х". Таким чином, навіть якщо Ви закрили всі вікна браузера, а Ваш комп'ютер все ще чимось активно активний. задач, а також перевірте список процесів у диспетчері завдань та переконайтеся, що там не залишилося запущених процесів Вашого браузера.

Для того, щоб майнер було складніше виявити у вихідному коді сторінки і він не був помітний на перший погляд – скрипт може маскуватися під код Google Analytics. Про таку поведінку вперше повідомили Windows Defender Security Intelligence у своєму посту у Twiiter.

Як Ви могли переконатися, сучасні сірі майнери ховаються все краще, часто жертвуючи продуктивністю. На перший погляд може здатися, що хакери при цьому втрачають значну частину прибутку. Але насправді це не так. Адже їм значно вигідніше підтримувати величезну мережу зараженої техніки, яка постійно приносить невеликий дохід, ніж пожадувати і бути відразу ж виявленим через велике завантаження процесора. Способи лікування.

Навіть якщо Ви не боїтеся сірого майнінгу і Вас не бентежить зайве завантаження Вашого пристрою - необхідно обов'язково повністю позбутися трояна, що проник на Вашу територію. Сучасні трояни-майнери не приходять з однією метою заробити на Ваших потужностях, при зараженні на пристрій встановлюється цілий комплекс програмного забезпечення віддаленого управління, що перетворює Ваш пристрій на слухняного бота великої мережі.. З його допомогою зловмисники мають повний доступ до всіх Ваших файлів, можуть запускати та вбивати будь-які процеси в системі, змінювати їх конфігурацію, ініціювати будь-які мережеві з'єднання, беручи участь у DDoS атаках.

Замість стандартної програми моніторингу процесів "Диспетчер Задач" у Windows, фахівці рекомендують використовувати "Process Explorer" Дана програма дозволяє точно дізнатися який саме додаток використовує той чи інший файл, вона покаже які бібліотеки використовуються додатком, покаже його власника і відобразить завантаження як центрального, так і графічного процесора. За допомогою "Process Explorer" навіть не дуже досвідчений користувач зможе виявити непроханого гостя. Також існує менш поширене (що непогано тому, що не всі трояни про нього знаю і, відповідно, не всі від нього ховаються) безкоштовне рішення "AnVir Task Manager, що дозволяє рівень їх у системі. просунутих користувачів існують більш складні комплекси, наприклад AIDA64, який забезпечує комплексний огляд і діагностику всіх особливостей комп'ютера, а також здійснює моніторинг стану системи в реальному часі. комплексу є те, що існують його версії як для Windows, так і для Android, iOS та Windows Phone.

Зараз більшість антивірусних програм та комплексів вміють обчислювати та знешкоджувати прихованих майнерів, тому для захисту від них ми настійно рекомендуємо використовувати найсвіжіше захисне програмне забезпечення та браузерні плагіни блокування javascript-майнінгу. Але також не можна втрачати пильність і завжди продовжувати стежити за здоров'ям своєї системи самостійно.