Malware

เครื่องจักรผลิตเงิน: มัลแวร์เหมือง Monero

Monero อีกสกุลเงินออนไลน์ที่แฮกเกอร์ปล่อยมัลแวร์เพื่อขุดเหมือง

เราอาจสงสัยว่าวันๆหนึ่งกลุ่มแฮกเกอร์ใหญ่ๆเขาทำอะไรกัน อย่างกลุ่ม Lazarus หรือ Telebots กำลังเตรียมการปล่อยมัลแวร์อันตรายอย่าง WannaCryptor หรือ Petya หรือจะปล่อยมัลแวร์ที่ทำงานอยู่อย่างลับๆ

หนึ่งในแผนการของที่คาดว่าเริ่มมาตั้งแต่เดือนพฤษภาคม 2017 แฮกเกอร์ใช้มัลแวร์ฝังตัวอยู่ในเว็บเซิร์ฟเวอร์ Windows ที่ไม่ได้อัพเดตแพทช์เพื่อใช้เป็นแรงงานขุดเหมืองสกุลเงินออนไลน์ Monero (XMR) อีกหนึ่งทางเลือกนอกจาก Bitcoin

แฮกเกอร์ใช้ซอฟต์แวร์ขุดเหมือง Monero ที่เปิดเป็น Open Source มาดัดแปลงและเจาะช่องโหว่ใน Microsoft IIS 6.0 เพื่อฝังซอฟต์แวร์ดัดแปลงของพวกเขาลงบนเซิร์ฟเวอร์ที่ไม่ได้อัพเดต ตลอดเวลา 3 เดือนที่แผนการนี้ดำเนินอยู่ แฮกเกอร์ได้กองกำลังบอทเน็ตนับร้อยจากเซิร์ฟเวอร์และทำเงินไปมากกว่า 63,000 ดอลล่าร์สหรัฐฯเป็นเงิน Monero

ผู้ใช้งาน ESET สามารถป้องกันช่องโหว่ CVE-2017-7296 ที่แฮกเกอร์ใช้ได้ รวมถึง EternalBlue ที่ใช้แพร่กระจาย WannaCryptor ด้วย

Monero

ทำไมแฮกเกอร์ถึงเลือก Monero ไม่ใช่ Bitcoin?

แม้ Monero จะมีโครงสร้างเงินทุนสู้ Bitcoin ไม่ได้ แต่ Monero ก็มีอย่างอื่นที่น่าสนใจสำหรับแฮกเกอร์ อย่างการซื้อขายที่หาร่องรอยไม่ได้ที่ชื่อว่า CryptoNight ซึ่งสามารถใช้ CPU และ GPU ต่างจาก Bitcoin ที่มักใช้ GPU มากกว่า

เราสังเกตเห็นการกระโดดของอัตราแลกเปลี่ยนจาก 40 USD/XMR เป็น 150 USD/XMR เมื่อเดือนที่ผ่านมา และกลับลงมาที่ 100 USD/XMR

figure1-768x514

Cryptominer เครื่องขุดเหมือง

ครั้งที่เราพบคือวันที่ 26 พฤษภาคม 2017 เป็นใช้เวอร์ชั่นดัดแปลงของโปรแกรมที่เปิดเป็น Open-Source สำหรับขุด Monero ชื่อว่า xmrig เวอร์ชั่น 0.8.2

แฮกเกอร์ไม่ได้ดัดแปลงโค้ดใดๆภายในซอฟต์แวร์ แต่เพิ่ม hardcoded command เพื่อให้เงินที่ขุดได้นั้นเข้ากระเป้าแฮกเกอร์ จากภาพด้านล่างจะเห็นการดัดแปลงที่แฮกเกอร์ทำ

Figure2a

Figure2b-768x335

การสแกนและใช้ช่องโหว่

ส่วนนี้เป็นส่วนที่ยากที่สุดสำหรับแฮกเกอร์ แต่ในครั้งนี้แฮกเกอร์ใช้วิธีง่ายๆไม่ซับซ้อน ด้วยการส่ง IP Address 2 อันที่ใช้ค้นหาช่องโหว่ CVE-2017-7269 และชี้ไปยังเซิร์ฟเวอร์ Web Service Cloud ของ Amazon

ช่องโหว่นี้ถูกพบเมื่อเดือนมีนาคม 2017 โดยนาย Zhiniang Peng และ Chen Wu เป็นช่องโหว่ในเซอร์วิสของ WebDAV ภายในเว็บเซิร์ฟเวอร์ Windows Server 2003 R2 จากฟังก์ชั่น ScStoragePathFromUrl ที่ทำให้เซิร์ฟเวอร์เชื่อมต่อกับคำขอ HTTP ที่เกิดอันตราย สำหรับข้อมูลเพิ่มเติมสามารถอ่านได้ที่นี่…

สถิติ

ต้องขอบคุณ Mining Pool Stats ที่ทำให้เราสามารถรวบรวม Hash Rate จากผู้ได้รับผลกระทบมาได้

Figure6-2

Author: PETER KÁLNAI และ MICHAL POSLUŠNÝ
Source:
https://www.welivesecurity.com/2017/09/28/monero-money-mining-malware/
Translated by: Worapon H.

%d bloggers like this: