Размещено 14.03.2021 17:07:11
Активность майнера наблюдалась на форумах безопасности (Kasperskyclub.ru, Virusinfo.info, Cyberforum.ru) в период с февраля 2021, хотя отзывы о проблеме судя по поискам в сети пошли ранее (ноябрь-декабрь 2020г)
По отчету , активное детектирование зловредов началось с февраля 2021 года.
1.
185.201.47.42,142.4.214.15\DNS Server list
2.
C:\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
HEUR:Trojan.Win32.DNSChanger.gen
C:\WINDOWS\SYSTEM32\TASKS\ADSHIELD SCHEDULED AUTOUPDATE
"C:\Program Files (x86)\AdShield\updater.exe" -self-upgrade
3.
Модули для майнинга состоят из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe\slack.exe\discord.exe и файла «лицензии» lic.data.
4. flock.exe запускается с помощью клиента transmission (запускаемый как служба)
C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Действительна, подписано SignPath Foundation
"C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
5. после запуска Flock.exe расшифровывает данные из файла data.pak, содержащие файл майнера.
далее, в копию системного файла find.exe внедряется расшифрованное тело майнера.
(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\FIND.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3648], tid=3940
далее, разработчиком uVS предложена новая функция (реализована в 4.11.5 и расширена в 4.11.6), которая позволила отследить, каким образом запускается Flock.exe\Slack.exe\Discord.exe
+
спасибо, Sandor-у за оперативно :
+
Vvvyg - за скрипт экспорта журналов для анализа,
+
Virus Monitoring Service Doctor Web Ltd. за поиск тела майнера в папке модулей flock
благодаря предложенной функции стало возможным отследить цепочку запуска вредоносных программ.
К событию были добавлены следующие сведения:
по образу из uVS видим что Discord.exe запускается через задачу:
Полное имя C:\PROGRAMDATA\SLACK\SLACK.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]
Создан 08.03.2021 в 09:52:29
Изменен 08.03.2021 в 11:17:11
Доп. информация на момент обновления списка
pid = 13816 *****\****
Процесс создан 11:17:35 [2021.03.08]
Процесс завершен 11:18:28 [2021.03.08]
parentid = 1684 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 9C44709D620DF76174B6E268DADA1256FA3BA007
MD5 C7988D4AE969D11D9ABBAFC8CE0C5CA2
pid = 1684 NT AUTHORITY\СИСТЕМА
CmdLine C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
Процесс создан 11:16:52 [2021.03.08]
+
По отчету , активное детектирование зловредов началось с февраля 2021 года.
1.
| Цитата |
|---|
| Зловред распространяется под именем adshield[.]pro и выдает себя за Windows-версию мобильного блокировщика рекламы AdShield. После того как пользователь запускает программу, она меняет настройки DNS на устройстве так, что все домены начинают разрешаться через серверы злоумышленников, которые, в свою очередь, не дают пользователям получить доступ к сайтам некоторых антивирусов, например к Malwarebytes.com. |
185.201.47.42,142.4.214.15\DNS Server list
2.
| Цитата |
|---|
| После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки. |
C:\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
HEUR:Trojan.Win32.DNSChanger.gen
C:\WINDOWS\SYSTEM32\TASKS\ADSHIELD SCHEDULED AUTOUPDATE
"C:\Program Files (x86)\AdShield\updater.exe" -self-upgrade
3.
| Цитата |
|---|
| Updater.exe скачивает с сайта transmissionbt[.]org и запускает модифицированный торрент-клиент Transmission (оригинальный дистрибутив находится по адресу transmissionbt.com). Модифицированная программа отсылает на командный сервер информацию об установке вместе с идентификатором зараженной машины и загружает с него модуль для майнинга. |
Модули для майнинга состоят из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe\slack.exe\discord.exe и файла «лицензии» lic.data.
| Цитата |
|---|
| .... \Flock\config.json \Flock\data.pak \Flock\Flock.exe \Flock\lic.data \Flock\Qt5Core.dll \Flock\WinRing0x64.sys ... |
4. flock.exe запускается с помощью клиента transmission (запускаемый как служба)
C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Действительна, подписано SignPath Foundation
"C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance
5. после запуска Flock.exe расшифровывает данные из файла data.pak, содержащие файл майнера.
далее, в копию системного файла find.exe внедряется расшифрованное тело майнера.
(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\FIND.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3648], tid=3940
| Цитата |
|---|
| Полное имя C:\WINDOWS\SYSTEM32\FIND.EXE Удовлетворяет критериям THREADS IN PROCESSES (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [auto (0)] FLOCK (FILTERED) (ПОЛНОЕ ИМЯ ~ \WINDOWS\SYSTEM32\FIND.EXE)(1) [filtered (0)] FLOCK (FILTERED).NET ( ESTABLISHED ~ > 54.93.84.207:443)(1) [filtered (0)] pid = 3076 ***\*** CmdLine "C:\ProgramData\Flock\find.exe" Процесс создан 00:39:49 [2021.02.18] С момента создания 00:05:25 CPU 49,85% CPU (1 core) 797,57% parentid = 13628 ESTABLISHED 192.168.0.98:55478 <-> 54.93.84.207:443 Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=14380 Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=9436 SHA1 1E44EE63BDB2CF3A6E48B521844204218A001344 MD5 AE3F3DC3ED900F2A582BAD86A764508C Загруженные DLL НЕИЗВЕСТНЫЕ BXSDK64.DLL C:\USERS\SHUM\APPDATA\LOCAL\TEMP Загруженные DLL ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ ADVAPI32.DLL C:\WINDOWS\SYSTEM32 |
далее, разработчиком uVS предложена новая функция (реализована в 4.11.5 и расширена в 4.11.6), которая позволила отследить, каким образом запускается Flock.exe\Slack.exe\Discord.exe
+
спасибо, Sandor-у за оперативно :
+
Vvvyg - за скрипт экспорта журналов для анализа,
+
Virus Monitoring Service Doctor Web Ltd. за поиск тела майнера в папке модулей flock
благодаря предложенной функции стало возможным отследить цепочку запуска вредоносных программ.
| Цитата |
|---|
| EV_RenderedValue_0,00 Elvi51 ELVI51 277248 7264 C:\Windows\System32\find.exe %%1937 16620 "C:\WINDOWS\system32\find.exe" EV_RenderedValue_9,00 - - 0 C:\ProgramData\Discord\Discord.exe EV_RenderedValue_14,00 |
К событию были добавлены следующие сведения:
| Цитата |
|---|
| EV_RenderedValue_0,00 ELVI51$ WORKGROUP 999 16620 C:\ProgramData\Discord\Discord.exe %%1937 1400 C:\ProgramData\Discord\Discord.exe --min EV_RenderedValue_9,00 Elvi51 ELVI51 277248 C:\Windows\System32\svchost.exe EV_RenderedValue_14,00 |
по образу из uVS видим что Discord.exe запускается через задачу:
| Цитата |
|---|
| Полное имя C:\PROGRAMDATA\DISCORD\DISCORD.EXE Сигнатура Trojan.Win64.Miner.gen [Kaspersky] (delall) [глубина совпадения 33(58), необх. минимум 30, максимум 64] 2021-02-28 SHA1 397F3E0FD803DA50EC667C1161E57CDC242400C3 MD5 07D8343249A56EEBF2B1A8B944C217A3 Ссылки на объект Ссылка C:\WINDOWS\TASKS\DISCORDCHECK_4.JOB Значение "C:\ProgramData\Discord\Discord.exe" --min |
| Цитата |
|---|
| 4.11.5 o Добавлена поддержка отслеживания процессов. Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы. |
Полное имя C:\PROGRAMDATA\SLACK\SLACK.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]
Создан 08.03.2021 в 09:52:29
Изменен 08.03.2021 в 11:17:11
Доп. информация на момент обновления списка
pid = 13816 *****\****
Процесс создан 11:17:35 [2021.03.08]
Процесс завершен 11:18:28 [2021.03.08]
parentid = 1684 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 9C44709D620DF76174B6E268DADA1256FA3BA007
MD5 C7988D4AE969D11D9ABBAFC8CE0C5CA2
pid = 1684 NT AUTHORITY\СИСТЕМА
CmdLine C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
Процесс создан 11:16:52 [2021.03.08]
+
| Цитата |
|---|
| 4.11.6 o Добавлена поддержка отслеживания задач. В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы: "Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса, pid и имя запустившего процесс, а так же XML описание задачи при его наличии. Твики #39/#40 теперь включают/отключают отслеживание процессов и задач. (!) Только для Windows 10 билд 1903 и выше. |