Forscher Enthüllen Crypto-Mining-Botnet-die Hinterhältige Taktik

Die Cyberkriminellen hinter der crypto-mining-Stantinko botnet entwickelt, einige raffinierte Methoden der Entdeckung zu entgehen.

Malware-analyst Vladislav Hrčka von cybersecurity-Firma ESET Klang fast beeindruckt wie er, stellte das Unternehmen die neuesten Erkenntnisse und mögliche Gegenmaßnahmen, in einem blog-post. "Die kriminellen, die hinter der Stantinko botnet sind ständig auf der Verbesserung und Entwicklung neuer Module, die enthalten oft nicht-standard-und interessante Techniken", schrieb er.

Die halb-Millionen-starke botnet aktiv seit 2012 und wurde verteilt über die malware eingebettet in raubkopierte Inhalte. Es zielt vor allem auf Nutzer in Russland, der Ukraine, Weißrussland und Kasachstan. Es konzentrierte sich ursprünglich auf die Klick-Betrug, ad-injection, social network-Betrug und Passwort-Diebstahl-Attacken. Jedoch in Mitte 2018 Hinzugefügt crypto-mining, um Ihr arsenal mit der Monero-mining-Modul.

Task-Manager wird Ihnen nicht helfen

Das Modul verfügt über Komponenten zur Erkennung von Sicherheits-software und schalten Sie alle konkurrierenden crypto-mining-Operationen. Das macht hungrig-Modul erschöpft sich die meisten Ressourcen von einem kompromittierten Maschine, aber geschickt unterbricht mining zu vermeiden, Erkennung der moment, in dem ein Benutzer öffnet den Task-Manager, um herauszufinden, warum der PC läuft so langsam.

CoinMiner.Stantinko kommuniziert nicht mit dem mining-pool direkt, anstatt über die Verwendung von Proxys, deren IP-Adressen erworben werden, die aus dem Beschreibungstext des YouTube-videos statt.

Ständig Verfeinerung der Techniken

ESET veröffentlicht seinen ersten Bericht über die crypto-mining-Modul im November letzten Jahres, aber seitdem sind neue Techniken der Entdeckung zu entgehen wurden Hinzugefügt, einschließlich:

• Verschleierung von strings – sinnvolle strings aufgebaut sind und nur dann im Speicher, wenn Sie verwendet werden


• Dead strings und Ressourcen – die Ergänzung von Ressourcen und strings mit keinen Einfluss auf die Funktionalität


• Control-flow-obfuscation – transformation der Ablaufsteuerung um eine harte form Lesen und die macht, die Reihenfolge der Ausführung von basic-blocks unberechenbar


• Die Dead code – code, der nie ausgeführt wird, der einzige Zweck ist, um die Dateien Aussehen mehr legitim


• Do-nothing-code – hinzufügen von code, der ausgeführt wird, aber nicht tun. Dies ist ein Weg, um zu umgehen, Verhaltens-Erkennungen

In der November-Bericht Hrčka angemerkt:

“Dieses Modul bemerkenswerteste feature ist die Art und Weise es wird verschleiert zu vereiteln Analyse und Erkennung vermeiden. Durch die Verwendung von source-level Verschleierungen mit einer Körnung von Zufälligkeit und die Tatsache, dass Stantinko Betreiber kompilieren Sie das Modul für jedes neue Opfer, jedes sample des Moduls ist einzigartig."

Web-basierte crypto-Abstützung verringert sich nach Coinhive Herunterfahren

In Verbindung stehende news, Forscher an der Universität von Cincinnati und der Lakehead Universität in Ontario, Kanada in dieser Woche veröffentlichte ein Papier namens: “Ist Cryptojacking Tote nach Coinhive Herunterfahren?“

Die Coinhive Skript installiert wurde, in Webseiten und entweder offen oder heimlich, abgebaut Monero — bis zu einem großen Rückgang der Preis von Monero während der "crypto-winter" machte es unrentabel und der Betrieb wurde stillgelegt.

Die Forscher überprüft 2770 Webseiten, die bisher identifiziert wurden, die, wie ausgeführt, Krypto-mining-Skripts zu sehen, ob Sie immer noch infiziert. Während nur 1% waren aktiv Bergbau kryptogeld, weitere 11,6 Prozent waren läuft noch Coinhive Skripte, die versuchen, eine Verbindung zu der operation Toter Server.

Die Forscher folgerten:

“Cryptojacking nicht nach Coinhive heruntergefahren. Es ist immer noch lebendig, aber nicht so attraktiv, wie es vorher war. Es wurde weniger attraktiv, nicht nur, weil Coinhive Ihren Dienst eingestellt, aber auch da wurde es ein wenig lukrativen Einnahmequelle für website-Betreiber. Für die meisten der Websites, die anzeigen werden immer noch profitabler als mining."

Bitcoin, Crypto, The cybercriminals behind the crypto mining Stantinko botnet have devised some ingenious methods to evade detection

Bitcoin, Crypto, The cybercriminals behind the crypto mining Stantinko botnet have devised some ingenious methods to evade detection

Share this post