Где же прячутся серые майнеры?

Проблема серого майнинга по прежнему остается актуальной, а майнеры становятся все совершенне. Попробуем разобраться как же они маскируются после проникновения на компьютер пользователей.

Многие серые майнеры достаточно примитивны - они используют все доступные ресурсы техники жертвы, тем самым выдавая свое присутствие, при этом никак не маскируясь. Благодаря этому они очень легко выявляются и удаляются из системы. Но злоумышленники с каждым днем становятся все коварнее и придумывают все больше хитрых способов избежать обнаружения. Попробуем разобраться как же прячутся серые майнеры от бдительного ока антивирусов и внимательных пользователей.

Как это работает?

Одним из первых достаточно аккуратных зловредов был Trojan.BtcMine.1259, мишенью которого были компьютеры под управлением Windows и его основной целью - добыча Monero на зараженной технике. 

Сразу после старта он проверяет заражена ли система, устанавливает достаточно серьезного трояна Gh0st RAT, предназначенного для полного контроля за системой жертвы. Далее он проверяет количество ядер процессора и только в случае, если вычислительная мощность процессора была больше заданной величины, выполняет запуск майнера, используя при этом не всю доступную мощность, а лишь определенный процент, чтобы не выдать своего присутствия. Таким образом, майнер не запускается на слишком “слабой” технике, на которой его работу было бы легко заметить, хотя при этом продолжает использоваться в качестве звена ботнет для других целей злоумышленников. При этом, троян отслеживает текущие процессы и, при запуске диспетчера задач, он завершает работу майнера, а после закрытия окна таск менеджера, снова запускает его.

Еще один метод самообороны майнеров (например, Trojan.BtcMine.1978) - запуск в качестве критического процесса, при принудительном завершении которого, система падает в BSoD (“Blue Screen of Death” - “Синий Экран Смерти”). Так, специалисты по безопасности компании “360 Total Security” обнаружили майнер WinstarNssmMiner внедряется в системный процесс svchost.exe, одновременно запуская майнер по добыче Monero и параллельный процесс, занимающийся отслеживанием активности антивирусов и программ мониторинга процессов и ресурсов. Процесс слежения отключает майнер при запуске антивируса Касперского или Avast. При запуске других антивирусов, троян забрасывает пользователя системными сообщениями об ошибках, блокирует работу программ и системы, а в некоторых случаях даже рушит систему в BSoD. По подсчетам специалистов, в первые 3 дня работы майнер добыл 133 коина Monero (что по текущему курсу составляет около 17 000 USD).

Несколько дней назад, аналитик портала Bleeping Computer Лоренс Абрамс (Lawrence Abrams) описал троян “WindowsRecoveryCleaner”. Его особенность в том, что он прекращает свою работу при запуске приложений, на чью работу может повлиять его деятельность, а в частности - популярных игр, требующих высокой производительности компьютера. Для этого троян создает задачу с угрожающим названием WindowsRecoveryCleaner, которая раз в минуту запускает процесс Iostream.exe, что позволяет майнеру запускаться очень быстро, в случае завершения его работы. 

Сразу после старта, управляющее приложение Iostream внедряет код майнера в исполняемый системный файл C:\Windows\system32\attrib.exe (который используется для изменения атрибутов файлов и завершается сразу после успешной операции) и запускает его. После чего Iostream остается в памяти и следит за списком запущенных процессов. Как только среди них появляется Process Explorer, Task Manager, Process Monitor, Process Hacker, AnVir Task Manager, PlayerUnknown's Battlegrounds (PUBG), Counterstrike: Global Offensive, Rainbox Six, or Dota 2, он завершает свою работу (Iostream.exe) и работу майнера (attrib.exe). Системная задача WindowsRecoveryCleaner раз в минуту запускает управляющий процесс Iostream, который проверяет, запущено какое-либо приложение из "черного списка" и, если горизонт чист - запускает майнер. Данный троян является одним из самых современных и хитро спрятанных от пользователей.

Учатся прятаться не только сложные майнеры, глубоко зарывающиеся в систему, но и несложные javascript-майнеры. Так, в конце 2017, эксперт компании Malwarebytes Джером Сегура (Jerome Segura) обнаружил на сайте yourporn.sexy код браузерного майнера, который исполнялся не в основном окне браузера, а в новом окне, которое позиционируется в нижнем правом углу экрана (расположение вычисляется динамически в зависимости от размера экрана пользователя: горизонтальная позиция высчитывается как ширина экрана минус 100 пикселей, а вертикальная - высота экрана минус 40 пикселей). 

Таком образом, у пользователей со стандартными настройками отображения панели задач, окно майнера оказывается срытым за панелью задач Windows. Злоумышленник использовал модифицированную версию javascript-майнера Coinhive, о котором мы уже рассказывали в нашей статье "Новый виток серого майнинга - браузерный майнинг". Паразитный скрипт не использует процессор на всю мощность, чем сильно снижает вероятность своего обнаружения. Благодаря тому, что он прячется в отдельном окне, скрытом от посторонних глаз, он продолжает свою работу даже после того, как пользователь закроет окно браузера при помощи кнопки "Х".

 Таким образом, даже если Вы закрыли все окна браузера, а Ваш компьютер все еще чем-то активно занят - обратите внимание, не активна ли иконка браузера в панели задач, а также проверьте список процессов в диспетчере задач и убедитесь, что там не осталось запущенных процессов Вашего браузера.

Для того, чтобы майнер было сложнее обнаружить в исходном коде страницы и он не был заметен на первый взгляд - скрипт может маскироваться под код Google Analytics. О подобном поведении впервые сообщили Windows Defender Security Intelligence в своем посте в Twiiter.

Как Вы могли убедиться, современные серые майнеры прячутся все лучше, зачастую жертвуя производительностью. На первый взгляд может показаться, что хакеры при этом теряют существенную часть прибыли. Но, на самом деле, это не так. Ведь им значительно выгоднее поддерживать огромную сеть зараженной техники, которая постоянно приносит небольшой доход, чем пожадничать и быть сразу же обнаруженным из-за большой загрузки процессора.

Способы "лечения.

Даже если Вы не боитесь серого майнинга и Вас не смущает излишняя загрузка Вашего устройства - необходимо обязательно полностью избавиться от проникшего на Вашу территорию трояна. Современные трояны-майнеры не приходят с одной лишь целью заработать на Ваших мощностях, при заражении на устройство устанавливается целый комплекс программного обеспечения удаленного управления, превращающий Ваше устройство в послушного бота большой сети. С его помощью злоумышленники имеют полный доступ ко всем Вашим файлам, могут запускать и убивать любые процессы в системе, менять их конфигурацию, инициировать любые сетевые соединения, участвуя в DDoS атаках.

Вместо стандартного приложения мониторинга процессов "Диспетчер Задач" в Windows, специалисты рекомендуют использовать "Process Explorer" от Microsoft. Данная программа позволяет точно узнать какое именно приложение использует тот или иной файл, она покажет какие именно библиотеки используются приложением, покажет его владельца и отобразит загрузку как центрального, так и графического процессора. С помощью "Process Explorer" даже не очень опытный пользователь сможет выявить непрошеного гостя. Также существует менее распространенное (что неплохо т.к. не все трояны о нем знаю и, соотвественно, не все от него прячутся) бесплатное решение "AnVir Task Manager, позволяющее мониторить все ресурсы и процессы в системе, подсказывает уровень их угрозы. Для более продвинутых пользователей существуют более сложные комплексы, например AIDA64, который обеспечивает комплексный обзор и диагностику всех особенностей компьютера, а также осуществляет мониторинг состояния системы в реальном времени, то есть отображает текущую нагрузку на ключевые узлы системы. Преимуществом данного комплекса является то, что существуют его версии как для Windows, так и для Android, iOS и Windows Phone.

Сейчас большинство антивирусных программ и комплексов умеют вычислять и обезвреживать скрытых майнеров, поэтому для защиты от них мы настоятельно рекомендуем использовать самое свежее защитное ПО и браузерные плагины блокировки javascript-майнинга. Но также нельзя терять бдительность и всегда продолжать следить за здоровьем своей системы самостоятельно.