24 stycznia 2018

W lipcu 2017 specjaliści Doctor Web wykryli podatność 0-day w aplikacji serwerowej Cleverence Mobile SMARTS Server. Twórcy programu opublikowali aktualizację usuwającą tą podatność, jednakże cyberprzestępcy wciąż używają jej do wydobywania kryptowalut.

Aplikacje z rodziny Cleverence Mobile SMARTS Server zostały stworzone do zautomatyzowania sklepów, magazynów, różnych usług i produkcji. Są zaprojektowane do działania na komputerach PC z systemem Microsoft Windows. W lipcu 2017 specjaliści Dr.Web wykryli krytyczną podatność w jednym z komponentów Cleverence Mobile SMARTS Server. Cyberprzestępcy używali jej do nieautoryzowanego dostępu do serwerów i instalowania trojanów z rodziny Trojan.BtcMine zaprojektowanych do wydobywania kryptowalut. Niezwłocznie poinformowaliśmy twórców oprogramowania Cleverence o tej podatności.

Początkowo cyberprzestępcy używali kilku wersji trojana górniczego wykrywanych przez Dr.Web jako Trojan.BtcMine.1324, Trojan.BtcMine.1369 i Trojan.BtcMine.1404. Cyberprzestępcy wysyłają specjalne żądanie do serwera z uruchomionym oprogramowaniem Cleverence Mobile SMARTS Server, co skutkuje wykonaniem polecenia zawartego w tym żądaniu. Agresorzy używają tej komendy do stworzenia w systemie nowego użytkownika z uprawnieniami administratora i wykorzystują to konto użytkownika do uzyskania nieautoryzowanego dostępu do serwera z użyciem protokołu RDP. W niektórych przypadkach, cyberprzestępcy używają narzędzia Process Hacker do zamknięcia procesów antywirusów uruchomionych na serwerze. Gdy uzyskają dostęp do systemu, instalują w nim trojana górniczego.

Trojan ma postać biblioteki dynamicznej. Cyberprzestępcy zapisują go w folderze tymczasowym, a następnie uruchamiają. Złośliwy program zamienia jedną z legalnych usług systemu Windows, wybierając “ofiarę” na podstawie liczby parametrów i usuwa oryginalny plik usługi. Złośliwa usługa uzyskuje następnie kilka uprawnień systemowych i ustawia dla swojego procesu flagę krytyczności. Następnie trojan zapisuje na dysku pliki wymagane do jego działania i rozpoczyna wydobywanie kryptowalut używając potencjału sprzętowego zainfekowanego serwera.

Mimo że deweloperzy Cleverence Mobile SMARTS Server dość szybko opublikowali aktualizację likwidującą tą podatność w oprogramowaniu, to liczni administratorzy serwerów nie spieszyli się z jej instalacją, przez co cyberprzestępcy uzyskali nad nimi przewagę. Twórcy wirusa kontynuują instalowanie na zhakowanych serwerach trojanów górniczych, które są wciąż modyfikowane. Pod koniec listopada 2017 cyberprzestępcy rozpoczęli używanie zupełnie nowego trojana, modyfikowanego do dnia dzisiejszego. Ten złośliwy program został nazwany jako Trojan.BtcMine.1978. Jest on zaprojektowany do wydobywania kryptowalut Monero (XMR) i Aeon.

Ten trojan górniczy jest uruchamiany jako proces o krytycznej ważności i wyświetlanej nazwie “Plug-and-Play Service”. Jeśli ktoś spróbuje zamknąć ten proces, Windows przeprowadza awaryjne zamknięcie systemu i wyświetla “niebieski ekran śmierci” (BSOD). Uruchomiony, Trojan.BtcMine.1978 próbuje usunąć usługi antywirusów Dr.Web, Windows Live OneCare, Kaspersky Anti-virus, ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security i Windows Defender. Następnie trojan górniczy wyszukuje na zaatakowanym komputerze uruchomione procesy programów antywirusowych. Jeśli mu się to powiedzie, trojan odszyfrowuje, zapisuje na dysku i uruchamia sterownik używany do przeprowadzenia prób zamknięcia tych procesów. Dr.Web z powodzeniem wykrywa i blokuje sterownik Process Hacker używany przez Trojan.BtcMine.1978. Ten sterownik został dodany do baz wirusów Dr.Web jako narzędzie hakerskie.

Gdy pozyska listę portów ze swojej własnej konfiguracji, Trojan.BtcMine.1978 przeszukuje sieć w celu wykrycia routera. Następnie, używając protokołu UPnP, przekierowuje port TCP routera na porty z pozyskanej listy i łączy się po nich oczekując na połączenia poprzez protokół HTTP. Złośliwy program zapisuje ustawienia wymagane do jego normalnej pracy w rejestrze systemu Windows.

W kodzie trojana górniczego znajduje się lista adresów IP serwerów kontrolno-zarządzających. Trojan sprawdza je w celu znalezienia aktywnego serwera. Następnie trojan konfiguruje na zainfekowanej maszynie serwery proxy. Będą one używane do wydobywania kryptowalut. Również, na polecenie odebrane od cyberprzestępców, Trojan.BtcMine.1978 uruchamia powłokę PowerShell i przekierowuje jej kanały wejścia-wyjścia na zdalnego użytkownika podłączonego do zaatakowanego hosta. Pozwala to agresorom na wykonywanie różnych poleceń na zainfekowanym serwerze.

Gdy te działania zostaną wykonane, trojan osadza swój moduł we wszystkich uruchomionych procesach. Jest on zaprojektowany do wydobywania kryptowalut. Pierwszy proces, w którym ten moduł rozpocznie swoje działanie, będzie wykorzystywany do wydobywania jednostek Monero (XMR) i Aeon.

Mimo że Trojan.BtcMine.1978 posiada mechanizm pozwalający na wymuszenie zamknięcia procesów antywirusów, nasi użytkownicy mogą czuć się bezpieczni, ponieważ mechanizm samoochrony antywirusów Dr.Web nie pozwala trojanowi na zakłócenie działania komponentów o krytycznej ważności. Specjaliści Dr.Web zalecają, aby administratorzy serwerów używający Cleverence Mobile SMARTS Server zainstalowali wszystkie aktualizacje bezpieczeństwa wydane przez twórców oprogramowania.