La botnet de Stantinko agrega cryptomining a su grupo de actividades criminales


Los investigadores de ESET han descubierto que los delincuentes detrás de la red de bots de Stantinko están distribuyendo un módulo de criptominería a las computadoras que controlan

Los operadores de la Botnet Stantinko han ampliado su conjunto de herramientas con un nuevo medio de obtener ganancias de las computadoras bajo su control. La red de bots de aproximadamente medio millón de unidades, conocida por haber estado activa desde al menos 2012 y dirigida principalmente a usuarios en Rusia, Ucrania, Bielorrusia y Kazajstán, ahora distribuye un módulo de criptominería. La minería Monero, una criptomoneda cuyo tipo de cambio oscila en 2019 entre US $ 50 y US $ 110, ha sido la funcionalidad de monetización de la botnet desde al menos agosto de 2018. Antes de eso, la botnet realizó fraudes por clic, inyección de anuncios, fraude en redes sociales y ataques de robo de contraseñas.

En este artículo, describimos el módulo de criptominería de Stantinko y proporcionamos un análisis de su funcionalidad.

La característica más notable de este módulo es la forma en que se ofusca para frustrar el análisis y evitar la detección. Debido al uso de ofuscaciones a nivel de fuente con un grano de aleatoriedad y al hecho de que los operadores de Stantinko compilan este módulo para cada nueva víctima, cada muestra del módulo es única.

Describiremos las técnicas de ofuscación del módulo y ofreceremos, en un artículo separado para otros analistas de malware, un posible enfoque para tratar algunos de ellos.

Dado que Stantinko está constantemente desarrollando nuevos y mejorando sus ofuscadores y módulos personalizados existentes, que están muy ofuscados, sería descomunal rastrear cada pequeña mejora y cambio que introduce. Por lo tanto, decidimos mencionar y describir solo lo que creemos que son ajustes significativos en comparación con muestras anteriores en relación con el estado en el que se describirá el módulo. Después de todo, pretendemos describir el módulo tal como está actualmente en este artículo.

Criptominer de código abierto modificado

El módulo de criptominería de Stantinko, que agota la mayoría de los recursos de la máquina comprometida al extraer una criptomoneda, es una versión altamente modificada del xmr-stak criptominer de código abierto. Todas las cadenas innecesarias e incluso funcionalidades completas se eliminaron en intentos de evadir la detección. Las cadenas y funciones restantes están muy ofuscadas. Los productos de seguridad de ESET detectan este malware como Win 32,64 /CoinMiner.Stantinko.

Uso de proxies mineros

CoinMiner. Stantinko no se comunica con su piscina minera directamente, pero a través de servidores proxy cuyas direcciones IP se obtienen del texto descriptivo de los videos de YouTube. El malware bancario utiliza una técnica similar para ocultar datos en las descripciones de los videos de YouTube Casbaneiro. Casbaneiro utiliza canales y descripciones mucho más legítimos, pero con el mismo propósito: almacenar C&C encriptados.

La descripción de dicho video consiste en una cadena compuesta por direcciones IP de proxy de minería en formato hexadecimal. Por ejemplo, el video de YouTube que se ve en la Figura 1 tiene la descripción "03101f1712dec626", que corresponde a dos direcciones IP en formato hexadecimal: 03101f17 corresponde a 3.16.31 (.) 23 en formato decimal de cuatro puntos, y 12dec626 es 18.222.198 (.) 38. Al momento de escribir, el formato ha sido ligeramente ajustado. Las direcciones IP están actualmente encerradas en "!!!!", lo que simplifica el proceso mismo de análisis y evita posibles cambios en la estructura HTML del video de YouTube que hace que el analizador no funcione.

Figura 1. Ejemplo de video de YouTube cuya descripción proporciona una dirección IP para la comunicación del módulo con el grupo de minería

En versiones anteriores, la URL de YouTube estaba codificada en CoinMiner. Stantinko binary. Actualmente, el módulo recibe un identificador de video como un parámetro de línea de comando. Este parámetro se usa para construir la URL de YouTube, en el formulario https://www.youtube.com/watch?v=%PARAM%. El módulo de criptominería es ejecutado por cualquiera de Stantinko Camas componente o por rundll32.exe a través de un archivo por lotes que no hemos capturado, con el módulo cargado desde una ubicación del sistema de archivos local del formulario % TEMP% % RANDOM% % RANDOM_GUID% .dll.

Informamos a YouTube de este abuso; Todos los canales que contienen estos videos fueron eliminados.

Capacidades de criptominería

Hemos dividido el módulo de criptominería en cuatro partes lógicas, que representan distintos conjuntos de capacidades. La parte principal realiza la criptominería real; Las otras partes del módulo son responsables de funciones adicionales:

  • suspender otras aplicaciones de criptominería (es decir, competir)
  • detección de software de seguridad
  • suspender la función de criptominería si la PC funciona con batería o cuando se detecta un administrador de tareas, para evitar que el usuario lo revele

Criptominería

En el núcleo de la función de criptominería se encuentra el proceso de hash y la comunicación con el proxy. El método para obtener la lista de proxies de minería se describe anteriormente; CoinMiner.Stantinko establece la comunicación con el primer proxy de minería que encuentra vivo.

Su comunicación se realiza a través de TCP y está encriptada por RC4 con una clave que consta de los primeros 26 caracteres del número pi (incluido el separador decimal, codificado en la cadena "3,141592653589793238462643") Y luego codificado en base64; Se utiliza la misma clave en todas las muestras que hemos visto.

El código del algoritmo de hash se descarga desde el proxy de minería al comienzo de la comunicación y se carga en la memoria, ya sea directamente o, en versiones anteriores, desde la biblioteca libcr64.dll eso se deja caer primero en el disco.

La descarga del código hash con cada ejecución permite al grupo Stantinko cambiar este código sobre la marcha. Este cambio hace posible, por ejemplo, adaptarse a los ajustes de algoritmos en las monedas existentes y cambiar a extraer otras criptomonedas para, quizás, extraer la criptomoneda más rentable en el momento de la ejecución. El principal beneficio de descargar la parte central del módulo desde un servidor remoto y cargarlo directamente en la memoria es que esta parte del código nunca se almacena en el disco. Este ajuste adicional, que no está presente en la versión anterior, tiene como objetivo complicar la detección porque los patrones en estos algoritmos son triviales para que los productos de seguridad los detecten.

Todas las instancias del módulo de criptominería de Stantinko hemos analizado el mío Monero. Deducimos esto de los trabajos proporcionados por el proxy de minería y el algoritmo hash. Por ejemplo, la Figura 2 es un trabajo enviado por uno de los servidores proxy.

"Error": nulo, "resultado": "estado": "OK"
"Método": "trabajo", "params": "blob": "0b0bbfdee1e50567042dcfdfe96018227f25672544521f8ee2564cf8b4c3139a6a88c5f0b32664000000a1c8ee5c185ed2661daab9d0c454fd40e9f53f0267fe391bdb4eb4690395deb360 6018 ″, ”job_id”: ”281980000000000a10 ″,” target ”:” 67d81500 ″, ”height”: 1815711}

Figura 2. Ejemplo de trabajo de minería recibido de un proxy de grupo de minería

Analizamos el algoritmo de hash utilizado y descubrimos que era CryptoNight R. Dado que hay múltiples criptomonedas que usan este algoritmo, su reconocimiento por sí solo no es suficiente; solo acorta la lista. Se puede ver en el trabajo proporcionado que el altura de la cadena de bloques era 1815711 en ese momento, por lo que tuvimos que encontrar monedas usando CryptoNight R con esta altura en dedicado bloque de exploradores que nos llevan a Monero. Diseccionando la cuerda 0b0bbfdee1e50567042dcfdfe96018227f25672544521f8ee2564cf8b4c3139a6a88c5f0b32664000000a1c8ee5c185ed2661daab9d0c454fd40e9f53f0267fe391bdb4eb4690395deb36018 revela que el hash del bloque anterior (67042dcfdfe96018227f25672544521f8ee2564cf8b4c3139a6a88c5f0b32664) y marca de tiempo (1555590859) en efecto encaja en la cadena de bloques de Monero a la altura de 1815711. Uno puede encontrar la estructura de la burbuja examinando su función de generador en el código fuente de Monero. La función del generador expone otra estructura llamada a bloque de encabezado que contiene tanto el hash del bloque anterior como la marca de tiempo.

A diferencia del resto de CoinMiner.Stantinko, el algoritmo de hash no está ofuscado, ya que la ofuscación afectaría significativamente la velocidad del cálculo de hash y, por lo tanto, el rendimiento general y la rentabilidad. Sin embargo, los autores aún se aseguraron de no dejar cadenas o artefactos significativos.

Suspensión de otros criptomineros.

El malware enumera los procesos en ejecución en busca de otros criptomineros. Si se encuentra algún competidor, Stantinko suspende todos sus hilos.

CoinMiner.Stantinko considera que un proceso es un criptominer si su línea de comando contiene una cadena particular, o una combinación, que varía de una muestra a otra; por ejemplo:

  • minero
  • Minergate
  • xmr
  • cpservice
  • vidservice y estrato + tcp: //
  • estrato://
  • -u y piscina
  • "-U y piscina
  • "-U y xmr
  • -u y xmr
  • -u y minería
  • "-U y minería
  • -comando codificado y exe
  • –Nivel de donación
  • ventanas y -do y cfgi
  • regsvr32 y /norte y / s y / q
  • Datos de la aplicación y exe
  • datos de aplicación y exe

Estas cadenas se refieren a los siguientes criptomineros legítimos: https://github.com/pooler/cpuminer, https://minergate.com/, https://github.com/xmrige incluso https://github.com/fireice-uk/xmr-stak – que, curiosamente, es el minero en el que se basa este módulo Stantinko. Las cadenas también conducen a varias muestras de malware poco interesantes que contienen funcionalidad de criptominería.

De interés es que los operadores de Stantinko son conocidos haber intentado deshacerse del código de la competencia en el pasado. Sin embargo, confiaron en el kit de herramientas antivirales AVZ legítimo alimentado con un script escrito en su lenguaje de script incorporado para esta tarea.

Prevención de detección

CoinMiner. Stantinko suspende temporalmente la extracción si detecta que no hay una fuente de alimentación conectada a la máquina. Esta medida, evidentemente dirigida a las computadoras portátiles, evita que la batería se agote rápidamente … lo que podría levantar la sospecha del usuario.

Además, suspende temporalmente la extracción si una aplicación de administrador de tareas (un proceso denominado procexp64.exe, procexp.exe o taskmgr.exe) se detecta en ejecución.

El malware también analiza los procesos en ejecución para encontrar software de seguridad y nuevamente administradores de tareas. Calcula el CRC-32 del nombre del proceso y luego lo compara con una lista codificada de sumas de verificación CRC-32, que se incluye en el Apéndice. En general, esta técnica puede ayudar a evadir la detección, ya que los nombres de proceso de esos productos de seguridad no se incluyen en el binario, lo que agrega un poco más de sigilo al no contener los nombres de proceso directamente. También dificulta que los analistas descubran qué buscan los autores de malware porque uno tiene que descifrar estos hashes, que técnicamente es el mismo problema que descifrado de contraseñas. Sin embargo, usar una lista de nombres de procesos conocidos suele ser suficiente para determinar los nombres exactos.

Si se encuentra una coincidencia CRC-32, la CRC se escribe en un archivo de registro (api-ms-win-crt-io-l1-1-0.dll) El archivo de registro es presumiblemente extraído posteriormente por algún componente de Stantinko que no hemos visto, ya que no hay otra funcionalidad relacionada con él en este módulo.

Ofuscación

Además de sus características de criptominería, CoinMiner.Stantinko es notable también por sus técnicas de ofuscación destinadas a evitar la detección y frustrar el análisis. Algunas de esas técnicas son únicas y las describiremos en detalle en un artículo de seguimiento.

Conclusión

Nuestro descubrimiento muestra que los delincuentes detrás de Stantinko continúan expandiendo las formas en que aprovechan la botnet que controlan. Sus innovaciones anteriores fueron ataques distribuidos basados ​​en diccionarios en sitios web de Joomla y WordPress destinados a obtener credenciales de servidor, probablemente con el objetivo de venderlos a otros delincuentes.

Este módulo de criptominería configurado de forma remota, distribuido desde al menos agosto de 2018 y aún activo en el momento de la escritura, muestra que este grupo continúa innovando y ampliando sus capacidades para ganar dinero. Además de su funcionalidad estándar de criptominería, el módulo emplea algunas técnicas interesantes de ofuscación que revelaremos, junto con algunas posibles contramedidas, en un próximo artículo.

Indicadores de compromiso (IoC)

Nombres de detección de ESET

Win32 / CoinMiner.Stantinko
Win64 / CoinMiner.Stantinko

SHA-1

Una lista completa de más de 1,500 hashes está disponible en nuestro repositorio GitHub.

00F0AED42011C9DB7807383868AF82EF5454FDD8
01504C2CE8180D3F136DC3C8D6DDDDBD2662A4BF
0177DDD5C60E9A808DB4626AB3161794E08DEF74
01A53BAC150E5727F12E96BE5AAB782CDEF36713
01BFAD430CFA034B039AC9ACC98098EB53A1A703
01FE45376349628ED402D8D74868E463F9047C30

Nombres de archivo

api-ms-win-crt-io-l1-1-0.dll
libcr64.dll
C: Windows TEMP % RANDOM% % RANDOM_GUID% .dll

Nombre Mutex y clave RC4

"3,141592653589793238462643"

URL de YouTube con datos de configuración de proxy de minería

Direcciones IP de servidores proxy de minería

• 3.16.150 (.) 123
• 3.16.152 (.) 201
• 3.16.152 (.) 64
• 3.16.167 (.) 92
• 3.16.30 (.) 155
• 3.16.31 (.) 23
• 3.17.167 (.) 43
• 3.17.23 (.) 144
• 3.17.25 (.) 11
• 3.17.59 (.) 6
• 3.17.61 (.) 161
• 3.18.108 (.) 152
• 3.18.223 (.) 195
• 13.58.182 (.) 92
• 13.58.22 (.) 81
• 13.58.77 (.) 225
• 13.59.31 (.) 61
• 18.188.122 (.) 218
• 18.188.126 (.) 190
• 18.188.249 (.) 210
• 18.188.47 (.) 132
• 18.188.93 (.) 252
• 18.191.104 (.) 117
• 18.191.173 (.) 48
• 18.191.216 (.) 242
• 18.191.230 (.) 253
• 18.191.241 (.) 159
• 18.191.47 (.) 76
• 18.216.127 (.) 143
• 18.216.37 (.) 78
• 18.216.55 (.) 205
• 18.216.71 (.) 102
• 18.217.146 (.) 44
• 18.217.177 (.) 214
• 18.218.20 (.) 166
• 18.220.29 (.) 72
• 18.221.25 (.) 98
• 18.221.46 (.) 136
• 18.222.10 (.) 104
• 18.222.187 (.) 174
• 18.222.198 (.) 38
• 18.222.213 (.) 203
• 18.222.253 (.) 209
• 18.222.56 (.) 98
• 18.223.111 (.) 224
• 18.223.112 (.) 155
• 18.223.131 (.) 52
• 18.223.136 (.) 87
• 18.225.31 (.) 210
• 18.225.32 (.) 44
• 18.225.7 (.) 128
• 18.225.8 (.) 249
• 52.14.103 (.) 72
• 52.14.221 (.) 47
• 52.15.184 (.) 25
• 52.15.222 (.) 174

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Ejecución T1085 Rundll32 El módulo puede ser ejecutado por rundll32.exe.
T1035 Servicio de ejecución El malware se puede ejecutar como un servicio.
Evasión de defensa T1140 Desobuscar / decodificar archivos o información El módulo desobusca cadenas en su código durante el proceso de ejecución.
T1027 Archivos o información ofuscados El módulo ofusca su código y cadenas en un aparente intento de dificultar el análisis y la detección.
T1102 Servicio web El malware adquiere datos de configuración de la descripción de videos de YouTube.
Descubrimiento T1063 Descubrimiento de software de seguridad El malware adquiere una lista de productos de seguridad en ejecución.
Comando y control T1090 Proxy de conexión El módulo usa proxies entre sí mismo y el grupo de minería.
T1008 Canales de reserva El módulo se conecta a otro proxy de minería si no se puede acceder al inicial.
T1095 Protocolo estándar de capa sin aplicación El malware usa TCP para sus comunicaciones.
T1043 Puerto de uso común El malware se comunica a través del puerto 443.
T1132 Codificación de datos El módulo encripta y luego base64 codifica parte del tráfico de red.
T1032 Protocolo criptográfico estándar El módulo cifra el tráfico con RC4.
T1071 Protocolo de capa de aplicación estándar Adquiere datos de configuración de la descripción de videos de YouTube a través de HTTPS.
Impacto T1496 Secuestro de recursos El módulo extrae criptomonedas.

Las sumas de verificación CRC-32 verificadas por CoinMiner.Stantinko y los nombres de archivo a los que equivalen se enumeran a continuación.

0xB18362C7 afwserv.exe
0x05838A63 ashdisp.exe
0x36C5019C ashwebsv.exe
0xB3C17664 aswidsagent.exe
0x648E8307 avastsvc.exe
0x281AC78F avastui.exe
0xAA0D8BF4 avgcsrva.exe
0x71B621D6 avgcsrvx.exe
0x7D6D668A avgfws.exe
0x1EF12475 avgidsagent.exe
0x010B6C80 avgmfapx.exe
0x6E691216 avgnsa.exe
0xB5D2B834 avgnsx.exe
0x36602D00 avgnt.exe
0x222EBF57 avgrsa.exe
0xF9951575 avgrsx.exe
0x2377F90C avgsvc.exe
0x37FAB74F avgsvca.exe
0xEC411D6D avgsvcx.exe
0x0BED9FA2 avgtray.exe
0x168022D0 avguard.exe
0x99BA6EAA avgui.exe
0x7A77BA28 avguix.exe
0x0D22F74A avgwdsvc.exe
0x98313E09 avira.servicehost.exe
0x507E7C15 avira.systray.exe
0xFF934F08 avp.exe
0x9AC5F806 avpui.exe
0xBD07F203 avshadow.exe
0x64FDC22A avwebg7.exe
0x0BC69161 avwebgrd.exe
0xBACF2EAC cureit.exe
0x8FDEA9A9 drwagntd.exe
0xE1856E76 drwagnui.exe
0xF9BF908E drwcsd.exe
0xC84AB1DA drwebcom.exe
0x183AA5AC drwebupw.exe
0xAC255C5E drwupsrv.exe
0x23B9BE14 dwantispam.exe
0xDAC9F2B7 dwarkdaemon.exe
0x7400E3CB dwengine.exe
0x73982213 dwnetfilter.exe
0x1C6830BC dwscanner.exe
0x86D81873 dwservice.exe
0xB1D6E120 dwwatcher.exe
0xD56C1E6F egui.exe
0x69DD7DB4 ekrn.exe
0xFB1C0526 guardgui.exe
0x5BC1D859 ipmgui.exe
0x07711AAE ksde.exe
0x479CB9C4 ksdeui.exe
0x6B026A91 nod32cc.exe
0xCFFC2DBB nod32krn.exe
0x59B8DF4D nod32kui.exe
0x998B5896 procexp.exe
0xF3EEEFA8 procexp64.exe
0x81C16803 sched.exe
0x31F6B864 spideragent.exe
0x822C2BA2 taskmgr.exe
0x092E6ADA updrgui.exe
0x09375DFF wsctool.exe








Enlace a la noticia original