Kripto Madencilik Zararlısı KingMiner Windows Sunucuları Hedef Alıyor

Bulaştığı sistemlerin CPU kaynaklarını kripto para üretimi için illegal ve gizli bir şekilde kullanan Cryptojacking gibi mining teknikleri son dönemde iş dünyasını da daha fazla hedef almaya başlamış durumda. Her üç kurumdan birinin Cryptojacking saldırılarına maruz kaldığı belirtiliyor.

Ethereum Blockchain platformu ve Monero kripto para sistemi için mining yapan Cryptojacking, CPU kullanımı sınırlı olduğunda tespit edilmesinin zor olması ve kripto paranın gerçek zamanlı olarak saldırganlara aktarılması gibi nedenlerden dolayı son zamanlarda siber suçlular tarafından daha fazla kullanılmaya başladı.

Cryptojacking zararlılarından olan ve ilk defa geçen Haziran ayında ortaya çıkarılan yeni KingMiner varyantı genel olarak Microsoft IIS/SQL sunucularını hedef alıyor. KingMiner zararlısının sunucuyu ele geçirmek için gerekli olan giriş bilgilerini kaba kuvvet (brute-force) saldırıları ile elde ettiği belirtiliyor.

Erişim sağlandığında ise kurban makinenin CPU mimarisini tespit ederek bu CPU’ya özel bir payload’u download etmek gibi işlemleri gerçekleştiren .sct uzantılı bir Windows Scriptlet dosyası indirilip çalıştırılıyor. Malware analizlerinde kullanılan ve zararlının gerçek çalışma ortamında etkileşime geçeceği her türlü bileşeni geçici olarak oluşturan Emulation tekniğini atlatma yöntemlerine de sahip olan bu betik ziplenmiş bir XML dosyasından oluşmaktadır.  Yeni Windows registry anahtarları oluşturan ve Monero kripto sistemi için geliştirilen XMRig miner dosyasını çalıştıran zararlı CPU kaynaklarının %70’ini harcayacak şekilde yapılandırılmış, ancak kod hatalarından dolayı aslında %100’lük bir CPU kullanımı söz konusu.

Atağı gerçekleştiren siber suçluların tespitini zorlaştırmak amacıyla KingMiner zararlısına ait madencilik havuzları(mining pool) kamuya kapalı (private) hale getirilmiş ve API kapatılmış durumda. Ayrıca dijital cüzdanın açık madencilik havuzlarında hiçbir şekilde kullanılmadığı belirtiliyor. Tüm bunlar saldırılarda hangi domainlerin kullanıldığını ve saldırılarda ne kadar Monero coin üretildiğini saptamayı zorlaştırıyor.

Analiz sonuçları dün(29 Kasım 2018) CheckPoint güvenlik firmasına ait blogta[1] yayınlanan KingMiner zararlısının emulation ve tespit sistemlerini atlatma konusunda daha iyileştirilmiş varyantları ile geldiği ve bunun tespit oranlarını düşürdüğü belirtiliyor. Sürekli yenilenme özelliği nedeniyle zararlının gelecekte yaygın görülen bir tehdit haline gelebileceği belirtiliyor.

Kaynak:

[1] KingMiner: The New and Improved CryptoJacker

[2] KingMiner malware hijacks the full power of Windows Server CPUs

Bunları da sevebilirsiniz

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir