הבהלה למטבע הקריפטוגרפי-בוטנטים חדשים לכרייה מדביקים אלפי מחשבים ומייצרים מאות אלפי דולרים עבור עבריינים

מאת: מערכת Telecom News, 27.9.17, 19:30

העבריינים מאחורי 2 הבוטנטים החדשים שנחשפו מפיצים את תוכנת הכרייה בסיוע תוכנות להשתלת פרסומות, שהקורבנות מתקינים באופן רצוני.

צוות המחקר לקוד זדוני של מעבדת קספרסקי זיהה 2 בוטנטים המורכבים מאלפי מחשבים, שנדבקו בקוד זדוני והותקנו עליהם בחשאי תוכנות לכרייה של מטבעות קריפטוגרפיים. מדובר בתוכנה לגיטימית, שנועדה לייצר מטבעות וירטואליים כחלק מטכנולוגיית בלוקצ'יין. באחד מהמקרים, החוקרים מעריכים, שרשת של 4,000 מחשבים יכולה לייצר לבעליה עד ל-30,000 דולרים בחודש, ובמקרה השני החוקרים היו עדים לעבריינים, שכרו יותר מ-200,000 דולרים מבוטנט של 5000 מחשבים.
 
הארכיטקטורה של הביטקוין ומטבעות קריפטוגרפיים אחרים בנויה כך, שמעבר לרכישה של מטבע קריפטוגרפי, משתמש יכול גם לייצר מטבעות חדשים באמצעות שימוש בכח המחשוב של מכונות עליהן הותקנה תוכנת "כרייה". עפ"י המבנה הכלכלי של מטבעות אלה, ככל שמיוצרים יותר מטבעות, כך נדרש יותר זמן וכח מחשוב כדי ליצור מטבע חדש.

לפני מספר שנים, קוד זדוני להתקנה חשאית של כורי ביטקוין (המשתמשים במחשבים של הקורבנות כדי לכרות מטבע עבור העבריינים) היה שכיח באופק האיומים. אבל ככל שנוצרו יותר מטבעות ביטקוין, הכרייה של מטבעות חדשים הפכה לקשה יותר, ובנקודה מסוימת התהליך הפך לחסר תוחלת: הרווח הפיננסי האפשרי, שעבריינים קיבלו מכריית הביטקוין, לא החזיר את ההשקעה, שנדרשה ליצירת והפצת הקוד הזדוני ועלות והתמיכה בתשתית הנדרשת.

אך מאז זינק המחיר של הביטקוין, המטבע הקריפטוגרפי הנפוץ ביותר, משווי של כמה מאות דולרים למטבע לכמה אלפים. הזינוק במחירים הצית ברחבי העולם בהלה למטבע הקריפטוגרפי, ומאות קבוצות וסטארטאפים החלו להשיק חלופות לביטקוין, שרבות מהן גם הצליחו להשיג  ערך משמעותי  בזמן קצר יחסית.

שינויים אלה בשוק המטבעות הקריפטוגרפיים משכו את תשומת הלב של עברייני הסייבר, שחזרו לתוכנית ההונאה שננטשה. עפ"י תוצאות מחקר של מומחי החברה, העבריינים מאחורי הבוטנטים החדשים שנחשפו מפיצים את תוכנת הכרייה בסיוע תוכנות להשתלת פרסומות, שהקורבנות מתקינים באופן רצוני. לאחר שתוכנת הפרסום מותקנת במחשב הקורבן היא מורידה רכיב זדוני: מתקין הכרייה. הרכיב מתקין את תוכנת הכרייה, ובנוסף מבצע מספר פעולות כדי להבטיח, שהכורה יעבוד זמן רב ככל הניתן. פעולות אלו כוללות:

1) ניסיון לשבש את תוכנת האבטחה,
2) ניטור כל היישומים המופעלים, והשהייה של פעילות הכרייה באם מופעלת תוכנה המנטרת פעילות או תהליכים,
3) התוכנה מבטיחה, שתמיד ישמר על הדיסק הקשיח עותק של תוכנת הכרייה, כדי לאחזרה במקרה והיא נמחקת.

ברגע שנכרים המטבעות הראשונים הם מועברים לארנק השייך לעבריינים, והם מותירים את הקורבנות עם מחשבים עם ביצועים גרועים וחשבון חשמל גבוה מהרגיל. עפ"י תצפיות החברה, עבריינים נוטים לכרות 2 מטבעות קריפטוגרפיים: Zcash ו-Monero. כנראה, שמטבעות מסוימים אלה נבחרו מכיוון שהם מספקים דרך אמינה לבצע פעולות אנונימיות.

הסימן הראשון לחזרתם של הכורים הזדוניים זוהה עוד בדצמבר 2016, כאשר  דיווחנו על לפחות 1,000 מחשבים, שהודבקו בקוד זדוני, שכרה Zcash – מטבע קריפטוגרפי, שהושק בסוף אוקטובר 2016. באותו הזמן, הודות לעליה המהירה במחיר ה-Zcash, הבוטנט הצליח לייצר לבעליו כ-6,000 דולרים בשבוע. הצמיחה של הבוטנטים החדשים לכרייה הייתה צפויה, והתוצאות של המחקר החדש מאמתות את החשש.

באופן כללי, עפ"י מעבדת קספרסקי, מספר המשתמשים, שנתקל בכורים קריפטוגרפים, צמח באופן משמעותי בשנים האחרונות. לדוגמא, ב-2013, 205 אלף משתמשים ברחבי העולם הותקפו ע"י איום מסוג זה. ב-2014 מספר זה צמח ל-701,000, ומספר המשתמשים המותקפים ב-8 החודשים הראשונים של 2017 הגיע ל- 1.65 מיליון. 
 
כדי למנוע מהמחשבים שלכם מלהפוך למכשירי כספומט ברשות העבריינים, מומלץ לעקוב אחר האמצעים הבאים:

• אל תתקינו במחשב תוכנות חשודות ממקור בלתי מוכר.
• המאפיין לזיהוי תוכנות פרסום עלול להיות מנוטרל  בפתרון האבטחה שלכם כברירת מחדל. ודאו כי  הפעלתם אותו.
• השתמשו בפתרון אבטחת אינטרנט מוכח כדי להגן על הסביבה הדיגיטלית שלכם מכל האיומים האפשריים, כולל כורים זדוניים.
• אם אתם מפעילים שרת, ודאו, שהוא מוגן באמצעות פתרון אבטחה, מאחר ששרתים הם מטרות יוקרתיות עבור העבריינים הודות לביצועי המחשוב הגבוהים שלהם (בהשוואה למחשב האישי הממוצע).

למידע נוסף- כאן.

יבגני לופטין, אנליסט קוד זדוני, מעבדת קספרסקי: "הבעיה המרכזית עם כורים זדוניים היא, שקשה מאוד לזהות את הפעילות שלהם באופן עקבי, מכיוון שהם מתבססים על תוכנת כרייה לגיטימית לחלוטין. באותה המידה, היא הייתה יכולה להיות מותקנת במצב אחר  ע"י המשתמש. דבר מדאיג נוסף הוא, שזיהינו במהלך התצפית על הבוטנטים החדשים, שהכורים הזדוניים עצמם הופכים לבעלי ערך בעולם התחתון. ראינו עבריינים מציעים 'בוני כורים': תוכנה המאפשרת לכל מי שמוכן לשלם על הגרסה המלאה ליצור בעצמו בוטנט לכרייה. המשמעות היא, שהבוטנטים שזיהינו כעת הם לבטח לא האחרונים".

עדכון 29.9.17, 00:31: ובהקשר זה, גם ה-CERT הישראלי דיווח על תקיפה באמצעות פוגען המשמש לכריית מטבע וירטואלי מסוג Monero: לאחרונה התקבלו דיווחים על פוגען העושה שימוש בסקריפטים כתובים ב- Powershellו VBS-ומשמש לכריה של מטבע וירטואלי בשםMonero . הפוגען משתמש במעבד העמדה לשם כריית מטבע וירטואלי, ובשל אינטנסיביות פעולתו גורם למניעת שירות בעמדה ולאיטיות רבה באופן פעולתה. טרם ידוע וקטור התקיפה הראשוני של הפוגען.

נפגעו מערכות הפעלה Windows מ-XP  ומעלה המריצות Powershell, כולל שרתים ייעודיים בארגון. ההתפשטות הרוחבית ברשת הארגונית מבוצעת באגרסיביות תוך ניצול פגיעויות שונות.
 
פעולת הפוגען מתבצעת ללא שימוש בקבצים (Fileless) ושימוש בפקודות WMI, עובדות המקשות על זיהויו באמצעות כליAV  סטנדרטיים.
במהלך פעולתו הפוגען מחלץ נתוני גישה (Credentials) מזיכרון העמדה, ומשדרם לגורם התוקף מחוץ לרשת הארגונית. הפוגען עושה שימוש בקטעי קוד מוסווים (Obfuscated) וכן בקטעי קוד של כלים מוכרים כגון Invoke-Mimikatz.
 
מומלץ לוודא, שבעמדות הקצה ובשרתים בארגון מותקנים עדכוני האבטחה העדכניים של היצרן, לאחר בדיקת מערכות.

מומלץ לוודא, שהיכולת לתנועה רוחבית (Lateral Movement) בין עמדות קצה בארגון מנוטרלת, באמצעות חוקי FW, והגדרות ב-Host FW של עמדות הקצה, או שימוש ב-Private VLAN.

מומלץ לאפשר לעמדות קצה לתקשר עם השרתים השונים בארגון בלבד, ולא בינן לבין עצמן. יש לבחון שינוי זה במערכות טרם מימושו.
מומלץ לעשות שימוש בהנחיות שפורסמו בנוגע לזיהוי פעילות עוינת של Powershell בארגונים.

עדכון 2.10.17:  ה-CERT הישראלי פרסם התרעה נוספת בנושא - כאן:

לאחרונה דווח, שבניגוד למתקפות העבר, שעשו שימוש בפוגען ייעודי לביצוע הכרייה, דפדפנים הפכו ליעד תקיפה עבור כריית מטבעות וירטואליים, כאשר התקיפה יכולה להתבצע באמצעות שימוש בתוסף לדפדפן או הרצת קוד Javascript.
 
האתר coin-hive.com, פרסם סקריפט המיועד לאפשר לבעלי אתרים להשתמש בדפדפן המשתמש לכריית מטבע כאשר הוא מבקר באתרם, וזאת כתחליף לפרסום מודעות באתר. לטענת בעלי האתר, כרייה כזו צריכה להתבצע רק תוך יידוע המשתמש ואישורו.
 
עם זאת נראה, שלא כל המשתמשים בסקריפט קיבלו את דעתו בנושא זה. אתר המדיה הפיראטית PirateBay עשה שימוש בסקריפט זה באופן ניסיוני. גם אתר הבידור Showtime הודבק בסקריפט זה, ככל הנראה ללא ידיעת בעליו.
 
נמצא כי תוסף לדפדפן כרום בשם SafeBrowse כולל גם הוא את הסקריפט הנ"ל.
 
מומלץ ליידע העובדים בארגון לגבי איום חדש זה. במקרה של זיהוי שימוש חריג של הדפדפן במשאבי המעבד, מומלץ לסגור את הדפדפן ולפתחו מחדש. הקוד מתוצרת coinhive אמור להפסיק לפעול עם הניתוק מהאתר.
מומלץ להקפיד על עדכון עיתי וקבוע של מנועי אנטי-וירוס המותקנים בתחנת העבודה.
תוספי דפדפן שונים כגון חוסמי מודעות וחוסמי סקריפטים, החלו להוסיף את האתרים המפיצים כורי מטבעות לרשימת האתרים החסומים על ידם. יש לזכור עם זאת, ששימוש בחוסמים מסוג זה עלול לפגוע בפונקציונליות של אתרים שונים.