Blog

Cryptojacking nas corporações

Written by Jean Duarte | 14/mai/2019 19:00:00

Recentemente, o grupo chinês Qihoo 360 observou uma grande campanha na Ásia de construção de uma botnet usando um conjunto de ferramentas chamado Living of the Land e exploits do EternalBlue e Mimikatz para montar uma operação maliciosa de mineração criptomoeda, além de possivelmente fazer download de outras ameaças nos ativos comprometidos.

Botnets

As botnets são ameaças reais de forma direta ou indireta às organizações de todos os portes. Com rápida escalabilidade devido a diferentes infecções por malwares, uma pessoa mal-intencionada pode deter o controle de seus ativos e conseguir documentos, logins, banda, poder computacional e ataques variados em alvos.

 

 Cryptomining

Com o avanço das criptomoedas e transações online, a mineração trouxe um novo vetor de lucro. O processo de mineração utiliza o CPU e a banda dos ativos rodando os softwares que processam as transações da criptomoeda, e para esse usuário minerador, há uma recompensa paga pelo processamento. Corporativamente, recursos de CPU e rede são utilizados, aumentando carga interna e tornando todos os processos essenciais ao negócio lentos ou impraticáveis.

 

Toolkit

Detentor de uma série de capacidades em ferramentas, o Living of the Land é popular por oferecer uma grande utilidade em ataques. Referente à campanha de cryptojacking na Ásia, foi observada a utilização de scripts de ofuscação no powershell do Living of the Land. A ofuscação é uma técnica utilizada para evitar a detecção de código malicioso por tecnologias de segurança.

Segue abaixo um exemplo comum de um script powershell sendo ofuscado:

 

EternalBlue

Famoso por ter parte de seu código em ameaças como WannaCry e NotPetya, o EternalBlue tem a capacidade de explorar o protocolo SMBv1 (já defasado) permitindo acesso lateral e dando a programas maliciosos a capacidade de se auto replicar. Informações da vulnerabilidade no boletim MS17-010 e CVE-2017-0144.

 

Mimikatz

Criado em 2011, a ferramenta Mimikatz é considerada uma evolução do Windows Credential Editor. Ela é capaz de extrair e manipular hashs, senhas, tickets de memória, PIN.

 

Atualmente uma versão em powershell, feita pelo PowerSploit, está disponível no github:

 

O ataque

Os métodos de infecção podem variar de diversas formas, contudo um dos mais comuns são os phishings. O usuário recebe um e-mail alterado com o malware/script com o conjunto de vulnerabilidades a serem exploradas e depois roda sua rotina.

Para esta campanha dos países asiáticos, um malware foi desenvolvido com código das ferramentas citadas anteriormente. Uma vez que consegue as credenciais, ele muda o firewall do ativo comprometido criando um port forward e agenda uma tarefa para baixar e executar uma cópia atualizada de si mesmo do seu servidor command-and-control.

Adicionalmente, uma série de scripts são baixados, incluindo alguns para coletar endereços MAC e lista de softwares antivírus.

 

Um trojan espião, identificado como TrojanSpy.Win32.BEAHNY.THCACAI pela TrendMicro, também é baixado para coleta de informações como GUID, versão do sistema operacional, informação de memória e hora do sistema.

Mais informações sobre o Beahny:
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojanspy.win32.beahny.thcacai

Com auxílio da versão em PowerShell do Mimikatz, o malware ganha capacidade de propagação lateral. Também foi notado que o malware tenta acessar servidores SQL com senhas fracas e scans de IPs internos que possam ser exploitados pelo seu conjunto de exploit a ser utilizado.

Por fim, o malware baixa e executa, via PowerShell com parâmetros específicos, o XMRig Monero cryptominer, que começa a operação de processamento utilizando recursos da máquina e rede do ativo infectado.

 

Indícios de infecção

  • Logs de tráfego para endereços categorizados para criptomoedas
  • Alto número de tentativas de conexão negadas em compartilhamentos de rede 
  • Download e execução de arquivos .PS1 por ativos
  • Logs de tráfego para endereços entendidos como Domain Generation Algorithm 
  • Processos suspeitos rodando em memória
  • Lentidão na rede
  • Alta utilização de CPU
  • Firewalls de borda números anormais de conexão outgoing

 

Práticas para prevenção

  • Reforço nas boas práticas de segurança e phishing com colaboradores
  • Atualização de sistemas operacionais e aplicativos
  • Utilização de virtual patching em sistemas legados
  • Atualização de assinaturas/patterns para antivírus e Advanced Threat Protection
  • Reavaliação de política de utilização de contas com privilégios
  • Política de troca de senha com melhores práticas do mercado
  • Bloqueio de PowerShell via GPO em ativos/usuários sem necessidade da ferramenta