LoudMiner: mina multiplataforma encerrada en programas crackeados VST

Los inversores de ESET brindan detalles de una mina no mineral que vende programas VST de audio pirateados y extrae criptomonedas en máquinas virtuales

LoudMiner es un caso inusual de un mina cryptomonedas persistente distribuido para macOS y Windows desde agosto de 2018. Utilización de programas de virtualización –QEMU en macOS y VirtualBox en Windows- para min criptomonedas en una máquina virtual Tiny Core Linux, logrando que sea multiplataforma. Vienna es una copia de los piratas de los programas VST (English Virtual Studio Technology). La mina se basa en XMRig (Dinero) y utiliza un grupo de minería, lo que hace que sea imposible aumentar las transacciones potenciales.

Al momento de escribir este artículo, hay 137 complementos VST (42 para Windows y 95 para macOS) disponibles en un solo sitio web creado en WordPress con un registro registrado el 24 de agosto de 2018.

El ejemplo de los programas VST (Contact Native Instruments 5.7 para Windows) se cargó el mismo día. El tamaño de las aplicaciones las hace casi imposibles de analizar, pero también consideramos que podemos entender con seguridad que todas ellas están troyanizadas.

Las aplicaciones aún están disponibles en el sitio en WordPress, con 29 servidores externos, que se pueden encontrar en la sección IoCs. Los administradores del sitio también actualizaban con la frecuencia de las aplicaciones con nuevas versiones, haciendo más difícil entender el ejemplo de las versiones mías.

Independientemente de la aplicación natural de las aplicaciones de ciberdelincuencia, es interesante señalar que la propuesta está relacionada con la producción de audio. En este sentido, las computadoras en las que están instaladas están applasciones VST deberán contar con un buen poder de procesamiento, por lo que altos niveles de consumo del CPU no es algo que sorprenda a los usuarios de estos equipos. Además, estas aplicaciones son generalmente completas, por lo que no se espera ningún resultado para los usuarios que se encuentran en los archivos de Gran Tamaño. Asimilación, los ataques utilitarios son un verdadero beneficio para camuflar las imágenes de la máquina virtual (VM, por su inglés e inglés). Poder decidir sobre el uso de máquinas virtuales, en lugar de una solución solución, es un punto a remarcar y hay algo que podemos hacer con frecuencia.

Los siguientes son ejemplos de programas VST, así como algunos comentarios que se pueden encontrar en el sitio web.

  • Motivo de la cabeza de hélice
  • Capaz de vivir
  • Sylenth1
  • Nexo
  • Reactor 6
  • Autoajuste

Figura 1: Comentario #1 sobre “administrador”

Figura 2: Comentario #2 sobre “administrador”

Podemos ver que podremos encontrar los resultados del proceso. qemu-sistema-x86_64, para usar el 100% de su CPU en Mac:

Figura 3: Informe de usuario n.° 1 (https://discussions.apple.com/thread/250064603)

Figura 4: Informe de usuario n.º 2 (https://toster.ru/q/608325)

Un usuario de “Malconi” (https://discussions.apple.com/thread/8602989) dijo:

"Desafortunadamente, tuve que reinstalar OSX, el problema fue que Ableton Live 10, el cual descargué de un sitio de Torrent y no del sitio oficiona, también instaló un minero que corre en segundo plano causó esto". El mismo usuario adjunto capturas de pantalla del Activity Monitor de macOS en el que se indican 2 procesos - qemu-sistema-x86_64 y servicio de herramientas - usando el 25% de recurrencias de CPU y corrosión como root”.

La idea del análisis del análisis para macOS como Windows arrojan lo mismo:

  1. Una aplicación empaquetada con un programa de virtualización, una imagen de Linux y otros archivos complementarios son útiles para amar la persistencia.
  2. Utilice las aplicaciones y proporcione instrucciones sobre cómo instalar estos programas VST.
  3. LoudMiner se instala principalmente mediante el complemento VST.
  4. LoudMiner está fuera de la vista y parece persistente en la matriz.
  5. La máquina virtual Linux se ejecuta y el proceso está en marcha.
  6. Los scripts dentro de la máquina virtual pueden contactar al servidor C&C para actualizar la mina (configuración y binarios).

Analizamos las diferencias entre las aplicaciones VST, identificamos las cuatro versiones de la mina, principalmente en función de lo que está empaquetado en el programa real, el dominio del servidor C&C y creamos una serie de creaciones creadas por el autor.

Mac OS

De momento identificamos tres versiones de macOS de este malware. Todos ellos incluyen la necesidad de corregir QEMU en installerdata.dmg desde donde se copian todos los archivos /usr/local/bin y tiene los permisos apropiados que fueron establecidos durante el camino. Cada versión del minero puede expulsar dos imágenes, cada una tiene 128 MB de RAM y un núcleo de CPU. La persistencia es el comienzo de los archivos de los archivos. / Biblioteca / LaunchDaemons estafa RunAtLoad configurado en verdadero. También cuentan con Mantener viva configurado es ciertoasegurando que el proceso se reencarna en el caso de un niño.

Cada una de las versiones actuales con los siguientes componentes:

  1. Imagen QEMU de Linux.
  2. Shell scripts utilizados para ejecutar imágenes QEMU.
  3. Use daemons para iniciar scripts de shell en el arranque y mantenerlos en ejecución.
  4. Un script de shell para monitorear la CPU junto con un daemon que acompaña e inicia/detecta el último en usar la CPU y el proceso Monitor de actividad estás expulsando.

La secuencia de comandos del monitor de la CPU puede iniciar y detectar la carga media y la reparación del demonio. es el proceso Monitor de actividad ella esta corriendo, el minado se detiene. Por el contrario, verifique la duración del tiempo que el sistema ha estado inactivo en segundos:

Tienes 2 minutos, alcalde con minado. Tiene 2 minutos para verificar el uso de la CPU.

… Divida por el número de núcleo de la CPU:

… Y si es superior al 85%, detiene el minado. El guión en el que presentamos algunos cambios entre las distintas versiones, pero la idea general es sin manto.

Una vez que la instalación finalizó, todos los archivos de instalación que tengan alguna relación con el minero son eliminados.

Figura 5: Instalación de Polyverse.Music.Manipulator.v1.0.1.macOS.dmg

Figura 6: Instrucciones de configuración de Polyverse.Music.Manipulator.v1.0.1.macOS.dmg

Versión 1

Los archivos de la mina en el paquete de las aplicaciones VST fueron descargados pero no ubicados en otros paquetes; Ha instalado el programa VST en las siguientes ubicaciones:

  • / Biblioteca / Soporte de aplicaciones / .Qemusys
    • qemu-sistema-x86_64 - - limpia el binario QEMU
    • sys00_1-disco001.qcow2 - Imagina Linux (ejemplos)
    • qemuservicio sript de shell que ejecuta la primera imagen a través del binario qemu-sistema-x86_64 (ver lista de guiones 1)
  • / Biblioteca / Soporte de aplicaciones / .System-Monitor
    • sistema-monitor.daemon - ejecuta la primera imagen a través del binario monitor del sistema
  • /usr/local/bin
    • .Herramientas-Servicio
      • sys00_1-disco001.qcow2 - Imagen Linux (segundo)
      • herramientas-servicio.daemon –Ejecuta la segunda imagen a través del binario servicio de herramientas
    • cpumonitor –Iniciación/hijo la última vez que la inactividad y uso de la CPU
    • monitor del sistema - Copia binaria qemu-sistema-x86_64
    • servicio de herramientas –Copia del binario qemu-sistema-x86_64
  • / Biblioteca / LaunchDaemons
    • buildtools.sistema-monitor.plist - ejecuta sistema-monitor.daemon
    • buildtools.herramientas-servicio.plist - ejecuta herramientas-servicio.daemon
    • módulossys.qemuservice.plist - ejecuta qemuservicio
    • systools.cpumonitor.plist - ejecuta cpumonitor

Guión 1: guión de shell qemuservicio

Se ejecuta una copia de las dependencias, se ejecutan todos los demonios relacionados con la mina y, a continuación, se instala el software real:

  • qemuservicio no iniciar el proceso Monitor de actividad estás expulsando. De hecho, si está eliminado, descargará el plist que lanzó.
  • herramientas-servicio.daemon lanzar la imagen solo cuando el proceso qemu-sistema-x86_64 no le toma 45 minutos ser despedido y suspendido.
  • Sistema-monitor.daemon Solo se detectó la imagen de la CPU Intel i5, i7 e i9.

Estos scripts usan el comando para iniciar la imagen de QEMU, pero para diferenciar entre los números y la ruta de la imagen.

Encontramos las siguientes imágenes de problemas relacionados en la versión 1 de la mina:

Figura 7: Consumo de CPU QEMU con Little Snitch (fuente: https://imgur.com/a/sc3u6kk)

La imagen de Little Snitch indica que hay conexiones con el proceso qemu-sistema-x86_64 agua bloqueada. Específicamente, Hopto[.]org (un servicio de host gratuito) es un C&C utilizado para la versión 1 mía

Versión 2

Los archivos de la mina están en instalador_de_datos.pkg dentro del paquete de la aplicación de descarga. Por ejemplo, instale instalador_de_datos.pkg y el software VST. Antes de la instalación se elimina la versión 1 de la mina junto con la ejecución del comando:

Como se ve en el listado en el Script 2, solo lo hace cuando detecta un proceso qemu-sistema-x86_64 en ejecución

Guión 2: instalador_de_datos.pkg script de preinstalación que elimina la versión

Se crean los siguientes archivos:

  • / Usuarios / Compartido
    • z1 - QEMU binario
    • z1.daemon - disparó la imagen QEMU con el binario QEMU
    • z1.qcow2 - imagen QEMU
    • z1.plist - ejecuta z1.daemon
    • z3 - Script del monitor de la CPU, respecto a la versión 1 cpumonitor
    • z3.plist - utilizado para ejecutar z3
    • al azar - nombres de géneros de aleators

Una vez copiadas las dependencias, se instala el minero. Esta conexión, los nombres de los binarios de QEMU, los binarios de QEMU y los directorios son los mediocres aleatorios el script randwd. La instalación mía creada por copias. z1, z1.daemon, z1.qcow2 y z1.plist . Para cada copia, junto a lo siguiente:

  • Crear un directorio con un número aleatorio / Biblioteca / Soporte de aplicaciones
  • El QEMU binario z1 lleva el mismo nombre que el directorio y se copia en /usr/local/bin
  • z1.daemon (ver lista en el Guión 3) y z1.qcow2 se copian en este directorio por los números de los distribuidores
  • z1.plist se copia con el raton com. .plist es / Biblioteca / LaunchDaemons

los archivos z1.daemon, z1.plist, z3 y z3.plist sirven como plantillas. En estos archivos, las referencias a otros scripts, binarios, hojas, etc. se recargan por su correspondiente número aleatorio.

También hay un elegante número aleatorio para el script de shell para monitorear la CPU y para el archivo de almacenamiento que acompaña a la empresa. z3 se copia es /usr/local/bin y el plist es / Biblioteca / LaunchDaemons bajo el nombre com..plist.

Guión 3. guión de shell z1.daemon

La versión 2 es un poco más simple y sencilla que la versión 1. Solo hay una imagen de QEMU, con las copias realizadas; lo mismo para los scripts para ejecutar imágenes, los daemons y el cpumonitor. Cuando la versión 2 sube la cantidad de archivos y directorios, solo puede instalar un enlace a través de la instalación para verificar los procesos en ejecución con aceleración = hvf en la línea de mando.

Las aplicaciones de la versión 2 que ahora hemos revisado, el hash SHA1 del instalador_de_datos.pkg siempre 39a7e86368f0e68a86cce975fd9d8c254a86ed93.

Versión 3

Los archivos de la mina se encuentran en un archivo grabado de DMG hacer.dmg, dentro del paquete de la aplicación. El DMG se monta con el siguiente comando

La mina DMG contiene un solo paquete: datainstallero.pkg. Esto y el paquete de software están instalados.

El contenido del paquete de datainstallero.pkg y instalador_de_datos.pkg de la versión 2 son más o menos iguales, pero datainstallero.pkg conjunto de guiones escritos (clearpacko.sh mi installpacko.sh) y ofusca un script existente - al azar:

  • clearpacko.sh eliminar la versión 1 mía a la misma que la versión 2.
  • installpacko.sh installa minero de la misma manera que lo hace la versión 2, excepto los comentarios que han sido eliminados del script.

El SHA1 del hacer.dmg sigue el mensaje: b676fdf3ece1ac4f96a2ff3abc7df31c7b867fb9

Ejecutando la imagen de Linux

Todas las versiones usan shell de múltiples scripts para ejecutar la imagen. Los scripts de la shell son ejecutados por pastillas en el arranque y mantenimiento en vivo.

  • La versión 1 ejecuta los siguientes binarios (copias de qemu-sistema-x86_64) para ejecutar imágenes QEMU: qemu-system-x86_64, monitor de sistema, servicio de herramientas.
  • Las versiones 2 y 3 usan el comando comando, pero también el número del archivo binario, el directorio en Soporte de aplicaciones y el nombre del archivo QEMU es aleatorio.

Todas las versiones utilizadas por los siguientes usuarios:

  • -M aceleración = hvf para usar el marco Hypervisor como un acelerador. HVF se presentará con OS X 10.10 y admitirá HVF que se lanzará en QEMU 2.12, que se lanzará en abril de 2018.
  • -mostrar ninguno por lo que se expulsa la máquina virtual sin interfaz gráfica.

El valor de la imagen se especifica sin especificar el contenido de RAM y los números de núcleo de CPU, los valores de utilizaciones defectuosas son: 1 núcleo de CPU y 128 MB de RAM. Todas las versiones se pueden utilizar para 2 imágenes.

Windows (versión 4)

Parte de la cadena que nos extrae de la aplicación, define la versión 4 como la única que podemos ver ahora para Windows. Como decimos antes, la lógica es muy similar a la versión para macOS. Cada aplicación de Windows está empaquetada como un instalador MSI que instala la aplicación "crackeada", y la Figura 8 muestra el abanico emergente para la instalación del controlador VirtualBox cuando se ejecuta el instalador VST "crackeado" desde vstcrack[.]com.

Figura 8: Ventana emergente para un controlador ViretualBox al momento de ejecutar la instalación de una aplicación vstcrack[.]com

VirtualBox está instalado en el nombre del hábitat (C:Archivos del programaOracle); sin embargo, los atributos del directorio están configurados como “ocultos”. Ubicación, el instalador copió la imagen de Linux y VBoxVmService (un servicio de Windows utilizado para ejecutar una máquina virtual VirtualBox como servicio) en C:vms , que también es un directorio oculto. Un enlace que completa la instalación, el instalador escribirá un script compilando archivos con BAT2EXE (vea la lista desempaquetada en Script 4) para importar la imagen de Linux y ejecutar VmServiceControl.exe para iniciar la máquina virtual como un servicio.



Script 4: Script de lotes utilizado para ejecutar la máquina virtual Linux como servicio

Este método se utiliza para asegurar la persistencia de la mina mineral de refuerzo. Actualmente, el servicio VboxVmService viene con un archivo de configuración (ver Script 5) en la forma en que es posible seleccionar la opción Autoencendido para la máquina virtual automáticamente sellada automáticamente con el arranque

Script 5: archivo de configuración para VBoxVmService con Autoencendido habilitación

El archivo OVF incluido en la imagen de Linux describe la configuración de hardware de la máquina virtual (ver Script 6): use 1GB de RAM y 2 núcleos de CPU (con un máximo del 90%).

Guión 6: configuración de hardware de Linux

imágenes de linux

La imagen de Linux es Tiny Core Linux 9.0 configurada para ejecutar XMRig, así como algunos archivos y scripts para mantener el minero actualizado. Los archivos más interesantes son:

  • /raíz/.ssh/{id_rsa, id_rsa.pub} - las utilidades clave de SSH utilizadas para actualizar la mina desde el servidor de utilización de C&C SCP.
  • /opt/{bootsync.sh, bootlocal.sh} –Los comandos del iniciador del sistema que intentan actualizar el mio desde el servidor C&C y ejecutar (ver Scripts 7 y 8):

Guión 7. bootsync.sh

Guión 8. bootlocal.sh

  • / mnt / sda1 / herramientas / papelera - Archivos de principios y scripts utilizados para actualizar y ejecutar la mina.
  • / mnt / sda1 / herramientas / xmrig - Contiene el código XMRIG (del repositorio de GitHub).

La configuración de la mina está custodiada en /mnt/sda1/tools/bin/config.json El principio fundamental es el número de dominancia y la potencia utilizada para el pool de minería, que puede ser diferente de la versión (consulte los ejemplos en la sección IoC).

El mecanismo de actualización se basa en los enlaces SCP (Secure File Copy) para tres scripts diferentes:

  • xmrig_update - actualizar la configuración de la mina (config.json);
  • recomendar - actualizar ccommand_update, xmrig_update (ver Guión 9), updater.sh, xmrig;
  • command_update - actualizar recomendar;

Teniendo en cuenta lo que vemos, la configuración de la mina se actualiza a un día.

Guión 9. xmrig_update

Con el fin de identificar una sesión de minería en particular, un archivo que contiene la dirección IP de la máquina y la máquina en la que se crea por el script generador junto a su salida, es enviado al servidor C&C mediante actualizador.sh.

Evidentemente, la mejor recomendación para estar protegido ante este tipo de citas es no descargar copias de programas piratas. Sin embargo, hay algunos aspectos que pueden ayudar a identificar una aplicación que contiene un código sin explotar:

  • Un ventilador emergente de un instalador "adicional" desatendido (este es el caso del adaptador Oracle).
  • Alto consumo de CPU para un proceso que no tiene instalado (QEMU o VirtualBox en este caso).
  • Se ha agregado un nuevo servicio a la lista de servicios domésticos (Windows) y un nuevo Demonio de eyección (macOS).
  • Conexiones de rojo hacia números de dominantes dominantes (tales como system-update[.]información de verificación del sistema[.]servicios).

Hachís

Aplicaciones macOS "crackeadas" (versiones 1-3)

SHA-1 Nombre del archivo Nombre de detección de ESET Número de versión
71030028c4e1b844c85138bd77ddea96a190ec2c Virtual_DJ_8_Pro_Infinity_macOS.pkg OSX / LoudMiner.A 1
32c80edcec4f7bb3b494e8949c6f2014b7f5db65 Instalador masivo de Native Instruments.pkg OSX / LoudMiner.A 1
7dc9f8ca07cd8e0247cf15cd8d2da2190a02fc90 Massive_v1.5.5_Installer_macOS.dmg OSX / LoudMiner.B 2
0b40bd0754637d5be2ada760ff0ecfda7afe03d7 Native_Instruments_Effects_Series_Mod_Pack.dmg OSX / LoudMiner.B 2
88efc767a32299e922f1b41f82c8d584585e2161 Spectrasonics_Omnisphere_2.5_OSx.dmg OSX / LoudMiner.C 3
e9c9d17d006fb03d67b736c0826df0af8ca6d5fd Lennar_Digital_Sylenth1_2.2.1.dmg OSX / LoudMiner.C 3

Aplicaciones de Windows "crackeadas" (versiones 4)

SHA-1 Nombre del archivo Nombre de detección de ESET
23faacfc23cfef65504d7fa20854030b96a9df91 Ableton.Live.Suite.10.0.6.Multilingüe.x64.WIN.zip Win32 / LoudMiner.A
5a8682eae69b2e11d45980941a972bd734630207 Infected-Mushroom-Manipulator-V1.0.3.zip Win32 / LoudMiner.A
60a8f1d4a028153271093e815e8267bd25fde852 Sonic_Academy_ANA_2.0.3_x86_x64.msi Win32 / LoudMiner.A
7c7876058783da85d5502b9406f7fb4d26f66238 SoundToys_5.0.1_x64-SetupFiles.rar Win32 / LoudMiner.A
a1a1dc7876d71749a8bc5690c537451770ef4ab8 Valhalla-DSP-Full-Bundle-setupfiles.zip Win32 / LoudMiner.A

imágenes de linux

SHA-1 Nombre del archivo Número de versión
dd9b89a3c5a88fb679f098e2c2847d22350e23b1 sys00_1-disco001.qcow2 1
d1e42e913da308812dd8da1601531b197c1a09a1 sys00_1-disco001.qcow2 1
39a7e86368f0e68a86cce975fd9d8c254a86ed93 z1.qcow2 (renombrado con un nombre aleatorio) 2
59026ffa1aa7b60e5058a0795906d107170b9e0f z1.qcow2 (renombrado con un nombre aleatorio) 3
fcf5c3b560295ee330b97424b7354fd321757cc6 sys00_1.ova 4
fc60431a0172d5b8cf4b34866567656467cf861c sys00_1.ova 4

Números de archivo

Mac OS

  • / Biblioteca / Soporte de aplicaciones / .Qemusys
  • / Biblioteca / Soporte de aplicaciones / .System-Monitor
  • /usr/local/bin/{.Servicio de herramientas, cpumonitor, monitor del sistema, servicio de herramientas}
  • /Librería/LaunchDaemons/{com.buildtools.system-monitor.plist, com.buildtools.tools-service.plist, com.modulesys.qemuservice.plist, com.systools.cpumonitor.plist}

ventanas

nombres de host

vstcrack[.]com (137[.]74.151.144)

Descargar hosts (a través de HTTP en el puerto 80)

  • 185[.]112,156,163
  • 185[.]112.156.29
  • 185[.]112.156.70
  • 185[.]112,157,102
  • 185[.]112,157,103
  • 185[.]112,157,105
  • 185[.]112.157.12
  • 185[.]112,157,181
  • 185[.]112,157,213
  • 185[.]112.157.24
  • 185[.]112.157.38
  • 185[.]112.157.49
  • 185[.]112.157.53
  • 185[.]112.157.65
  • 185[.]112.157.72
  • 185[.]112.157.79
  • 185[.]112.157.85
  • 185[.]112.157.99
  • 185[.]112,158,112
  • 185[.]112,158,133
  • 185[.]112,158,186
  • 185[.]112,158,190
  • 185[.]112.158.20
  • 185[.]112.158.3
  • 185[.]112.158.96
  • dd[.]anfitrión (185[.]112.158.44)
  • dd[.]vivir (185[.]112,156,227)
  • dd[.]espacio (185[.]112.157.79)
  • milímetro[.]UCI (185[.]112,157,118)

Actualizar hosts (a través de SCP)

  • aly001[.]hopto.org (192[.]210.200.87, puerto 22)
  • actualizacion del sistema[.]es (145[.]249,104,109, puerto 5100)

Anfitriones mineros

  • actualizacion del sistema[.]información (185[.]193,126,114, puerto 443 o 8080)
  • chequeo del sistema[.]servicios (82[.]221.139.161, puerto 8080)
Táctico IDENTIFICACIÓN Nombre Descripción
Ejecución T1035 Ejecución del servicio En Windows, la imagen de Linux se ejecuta como un servicio con VboxVmService.
Persistencia T1050 Nuevo servicio Instale la máquina virtual Linux como un servicio con VboxVmService.
T1062 hipervisor Instale un hipervisor de tipo 2 en el host (VirtualBox o QEMU) para ejecutar el minero.
T1160 Demonio de lanzamiento Las versiones de macOS utilizan un Launch Daemon para garantizar la persistencia.
Evasión de defensa T1027 Archivos o información ofuscados Algunos scripts de shell están ofuscados y algunos instaladores están encriptados en versiones de macOS.
T1045 Paquete de software Use BAT2EXE para empaquetar secuencias de comandos por lotes en versiones de Windows.
T1158 Archivos y directorios ocultos La carpeta de instalación de VirtualBox y el directorio que contiene la imagen de Linux están ocultos.
Comando y control T1043 Puerto de uso común Use los puertos TCP 443 y 8080 para la comunicación del grupo de minería.
T1105 Copia remota de archivos Utilice SCP (puerto 22 o 5100) para copiar archivos desde/hacia el servidor C&C.
Impacto T1496 Secuestro de recursos Usa las máquinas de las víctimas para minar criptomonedas (Monero).

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!