Где же прячутся серые майнеры?

Где же прячутся серые майнеры?

Проблема серого майнинга по прежнему остается актуальной, а майнеры становятся все совершенне. Попробуем разобраться как же они маскируются после проникновения на компьютер пользователей.

Многие серые майнеры достаточно примитивны - они используют все доступные ресурсы техники жертвы, тем самым выдавая свое присутствие, при этом никак не маскируясь. Благодаря этому они очень легко выявляются и удаляются из системы. Но злоумышленники с каждым днем становятся все коварнее и придумывают все больше хитрых способов избежать обнаружения. Попробуем разобраться как же прячутся серые майнеры от бдительного ока антивирусов и внимательных пользователей.

Как это работает?

Одним из первых достаточно аккуратных зловредов был Trojan.BtcMine.1259, мишенью которого были компьютеры под управлением Windows и его основной целью - добыча Monero на зараженной технике. 

Сразу после старта он проверяет заражена ли система, устанавливает достаточно серьезного трояна Gh0st RAT, предназначенного для полного контроля за системой жертвы. Далее он проверяет количество ядер процессора и только в случае, если вычислительная мощность процессора была больше заданной величины, выполняет запуск майнера, используя при этом не всю доступную мощность, а лишь определенный процент, чтобы не выдать своего присутствия. Таким образом, майнер не запускается на слишком “слабой” технике, на которой его работу было бы легко заметить, хотя при этом продолжает использоваться в качестве звена ботнет для других целей злоумышленников. При этом, троян отслеживает текущие процессы и, при запуске диспетчера задач, он завершает работу майнера, а после закрытия окна таск менеджера, снова запускает его.

Еще один метод самообороны майнеров (например, Trojan.BtcMine.1978) - запуск в качестве критического процесса, при принудительном завершении которого, система падает в BSoD (“Blue Screen of Death” - “Синий Экран Смерти”). Так, специалисты по безопасности компании “360 Total Security” обнаружили майнер WinstarNssmMiner внедряется в системный процесс svchost.exe, одновременно запуская майнер по добыче Monero и параллельный процесс, занимающийся отслеживанием активности антивирусов и программ мониторинга процессов и ресурсов. Процесс слежения отключает майнер при запуске антивируса Касперского или Avast. При запуске других антивирусов, троян забрасывает пользователя системными сообщениями об ошибках, блокирует работу программ и системы, а в некоторых случаях даже рушит систему в BSoD. По подсчетам специалистов, в первые 3 дня работы майнер добыл 133 коина Monero (что по текущему курсу составляет около 17 000 USD).

Несколько дней назад, аналитик портала Bleeping Computer Лоренс Абрамс (Lawrence Abrams) описал троян “WindowsRecoveryCleaner”. Его особенность в том, что он прекращает свою работу при запуске приложений, на чью работу может повлиять его деятельность, а в частности - популярных игр, требующих высокой производительности компьютера. Для этого троян создает задачу с угрожающим названием WindowsRecoveryCleaner, которая раз в минуту запускает процесс Iostream.exe, что позволяет майнеру запускаться очень быстро, в случае завершения его работы. 

Сразу после старта, управляющее приложение Iostream внедряет код майнера в исполняемый системный файл C:\Windows\system32\attrib.exe (который используется для изменения атрибутов файлов и завершается сразу после успешной операции) и запускает его. После чего Iostream остается в памяти и следит за списком запущенных процессов. Как только среди них появляется Process Explorer, Task Manager, Process Monitor, Process Hacker, AnVir Task Manager, PlayerUnknown's Battlegrounds (PUBG), Counterstrike: Global Offensive, Rainbox Six, or Dota 2, он завершает свою работу (Iostream.exe) и работу майнера (attrib.exe). Системная задача WindowsRecoveryCleaner раз в минуту запускает управляющий процесс Iostream, который проверяет, запущено какое-либо приложение из "черного списка" и, если горизонт чист - запускает майнер. Данный троян является одним из самых современных и хитро спрятанных от пользователей.

Учатся прятаться не только сложные майнеры, глубоко зарывающиеся в систему, но и несложные javascript-майнеры. Так, в конце 2017, эксперт компании Malwarebytes Джером Сегура (Jerome Segura) обнаружил на сайте yourporn.sexy код браузерного майнера, который исполнялся не в основном окне браузера, а в новом окне, которое позиционируется в нижнем правом углу экрана (расположение вычисляется динамически в зависимости от размера экрана пользователя: горизонтальная позиция высчитывается как ширина экрана минус 100 пикселей, а вертикальная - высота экрана минус 40 пикселей). 

Таком образом, у пользователей со стандартными настройками отображения панели задач, окно майнера оказывается срытым за панелью задач Windows. Злоумышленник использовал модифицированную версию javascript-майнера Coinhive, о котором мы уже рассказывали в нашей статье "Новый виток серого майнинга - браузерный майнинг". Паразитный скрипт не использует процессор на всю мощность, чем сильно снижает вероятность своего обнаружения. Благодаря тому, что он прячется в отдельном окне, скрытом от посторонних глаз, он продолжает свою работу даже после того, как пользователь закроет окно браузера при помощи кнопки "Х".

 Таким образом, даже если Вы закрыли все окна браузера, а Ваш компьютер все еще чем-то активно занят - обратите внимание, не активна ли иконка браузера в панели задач, а также проверьте список процессов в диспетчере задач и убедитесь, что там не осталось запущенных процессов Вашего браузера.

Для того, чтобы майнер было сложнее обнаружить в исходном коде страницы и он не был заметен на первый взгляд - скрипт может маскироваться под код Google Analytics. О подобном поведении впервые сообщили Windows Defender Security Intelligence в своем посте в Twiiter.

Как Вы могли убедиться, современные серые майнеры прячутся все лучше, зачастую жертвуя производительностью. На первый взгляд может показаться, что хакеры при этом теряют существенную часть прибыли. Но, на самом деле, это не так. Ведь им значительно выгоднее поддерживать огромную сеть зараженной техники, которая постоянно приносит небольшой доход, чем пожадничать и быть сразу же обнаруженным из-за большой загрузки процессора.

Способы "лечения.

Даже если Вы не боитесь серого майнинга и Вас не смущает излишняя загрузка Вашего устройства - необходимо обязательно полностью избавиться от проникшего на Вашу территорию трояна. Современные трояны-майнеры не приходят с одной лишь целью заработать на Ваших мощностях, при заражении на устройство устанавливается целый комплекс программного обеспечения удаленного управления, превращающий Ваше устройство в послушного бота большой сети. С его помощью злоумышленники имеют полный доступ ко всем Вашим файлам, могут запускать и убивать любые процессы в системе, менять их конфигурацию, инициировать любые сетевые соединения, участвуя в DDoS атаках.

Вместо стандартного приложения мониторинга процессов "Диспетчер Задач" в Windows, специалисты рекомендуют использовать "Process Explorer" от Microsoft. Данная программа позволяет точно узнать какое именно приложение использует тот или иной файл, она покажет какие именно библиотеки используются приложением, покажет его владельца и отобразит загрузку как центрального, так и графического процессора. С помощью "Process Explorer" даже не очень опытный пользователь сможет выявить непрошеного гостя. Также существует менее распространенное (что неплохо т.к. не все трояны о нем знаю и, соотвественно, не все от него прячутся) бесплатное решение "AnVir Task Manager, позволяющее мониторить все ресурсы и процессы в системе, подсказывает уровень их угрозы. Для более продвинутых пользователей существуют более сложные комплексы, например AIDA64, который обеспечивает комплексный обзор и диагностику всех особенностей компьютера, а также осуществляет мониторинг состояния системы в реальном времени, то есть отображает текущую нагрузку на ключевые узлы системы. Преимуществом данного комплекса является то, что существуют его версии как для Windows, так и для Android, iOS и Windows Phone.

Сейчас большинство антивирусных программ и комплексов умеют вычислять и обезвреживать скрытых майнеров, поэтому для защиты от них мы настоятельно рекомендуем использовать самое свежее защитное ПО и браузерные плагины блокировки javascript-майнинга. Но также нельзя терять бдительность и всегда продолжать следить за здоровьем своей системы самостоятельно.

Читайте также

5642018-11-22

21-летний хакер украл больше миллиона долларов у бизнесменов

По данным New York Times, 20 ноября манхэттенская полиция арестовала 21 летнего Николаса Труглия, который взламывал чужие мобильные телефоны, чтобы присвоить себе криптовалюту владельцев.

Безопасность, Это интересно
5642018-03-04

Хакеры размещают требования выкупа в Monero внутри DDoS трафика

Спустя несколько месяцев затишья DDoS-хакеры снова активизировались и начали крушить сайты. Недавно злоумышленники совершили ряд атак с помощью нового метода перегрузки серверов жертв фальшивым трафиком. Чтобы сделать нападения более мощными, хакеры начали использовать серверы, которые помогают ускорить работу сайтов – CDN серверы распределенного кеширования в оперативной памяти.

Безопасность

Последние статьи из раздела Безопасность

Свежее видео на канале

Выбор редакции

147172017-12-10

Bitcoin: пирамида или нет?

С января 2009 года, когда был сгенерирован первый генезиз-блок bitcoin-сети, прошло уже девять лет, но до сих пор всякого рода "эксперты" ломают копья в спорах: являются ли криптовалюты финансовой пирамидой или нет. Быстрый рост доходности bitcoin и прибыли тех, кто раньше стал участником этой системы, пугает схожестью с пирамидами 90-х.

Bitcoin
108812018-04-28

on-chain и off-chain управление: за и против

Чтобы понять важность управления блокчейном и дискуссии вокруг этого вопроса, сначала нужно определить что такое управление блокчейном, его роль и цели. Управление блокчейном в сфере криптовалют состоит из двух пунктов: правил протокола (кода) и экономических стимулов, на которых основана сеть.

Blockchain
74162018-07-28

Грузинская криптокухня. Выбираем блюда

Ни для кого не секрет тот факт, что Грузия является одной из самых лояльных стран постоветского пространства, где не только уютно, но и выгодно вести бизнес. Это стало возможным буквально за последние 10 лет благодаря колоссальным реформаторским усилиям сменявших друг друга руководителей страны, каждый из которых стремился сделать её лучше и богаче. Как именно обстоят дела здесь с криптовалютным бизнесом попытаемся разобраться в нашем сегодняшнем материале.

Право, Майнинг, Регуляторы
60852018-06-25

Поиск серых майнеров в недрах Chrome и Opera

Вы уже знаете как javascript-майнеры попадают на страницы интернет-ресурсов. Теперь попробуем разобраться как же выяснить какая именно из множества открытых вкладок использует Ваши ресурсы для добычи криптовалюты.

Безопасность
40522018-09-13

Три быка, которые могут спасти крипторынок

Несмотря на упадок криптовалютного рынка, долгожданное участие институциональных инвесторов в сделках с цифровыми активами уже не за горами. Такие известные фирмы, как Coinbase, Nasdaq и Bakkt уже вошли в мейнстрим, осталось только подождать, пока это сделает весь рынок цифровых активов.

Мнение
35372018-06-08

Принимаем оплату в bitcoin: Часть первая, теоретическая

Интернет полон статей о том, какое прекрасное будущее готовит нам blockchain, как это "стильно, модно и инновационно". Однако информации, как практически воспользоваться всем этим великолепием, крайне мало. Попробуем частично восполнить этот пробел.

Обучение