Kripto Madencilik Botnet’i Stantinko’nun Sırları Ortaya Çıktı .
Kripto para madencilik botnet’i Stantinko’nun uyguladığı akıl almaz teknikler ortaya çıktı. Kripto madenciliği botnet’i Stantinko’nun arkasındaki siber suçlular, tespit edilmeyi güçleştirmek için ustaca yöntemler geliştirdi. Siber güvenlik firması ESET’ten kötü amaçlı yazılım analisti Vladislav Hrčka, paylaştığı blog yazısında en son bulguları paylaştı. “Stantinko botnet’in arkasındaki suçlular standart dışı ve ilginç teknikler içeren yeni modüller geliştiriyorlar” diye yazdı. Yarım milyon botnet’in 2012’den beri aktif. Korsan içeriğe yerleştirilmiş kötü amaçlı yazılımlar yoluyla yayılıyorlar. Esas olarak Rusya, Ukrayna, Belarus ve Kazakistan’daki kullanıcılar hedefleniyor. Başlangıçta tıklama dolandırıcılığı, reklam yerleştirme, sosyal ağ sahtekarlığı ve şifre çalma saldırılarına odaklanmış. Bununla birlikte, 2018’in ortalarında, Monero madencilik modülü ile kripto madenciliğine de yöneldiler.
Görev yöneticisi size yardımcı olmaz
Modül, güvenlik yazılımlarını algılayan ve kripto madenciliği işlemlerini otomatik kapatan bileşenlere sahip. Şöyle ki, yazılım, makinenin kaynaklarının çoğunu tüketirken kullanıcı durumu fark edip, bilgisayarın neden bu kadar yavaş çalıştığını anlamak için Görev Yöneticisi’ni açtığında madencilik yazılımını otomatik olarak askıya alıyor. CoinMiner.Stantinko, madencilik havuzuyla doğrudan iletişim kurmak yerine, açıklama metinlerinde YouTube videolarının IP adreslerini içeren proxy’ler kullanıyor.
ESET, kripto madenciliği modülü hakkındaki ilk raporunu geçen yılın kasım ayında yayımladı. O zamandan beri, tespitten kaçınmak için yeni teknikler eklendi:
- Dizelerin gizlenmesi – anlamlı dizeler oluşturulur ve yalnızca kullanıldıklarında bellekte bulunurlar
- Ölü dizeler ve kaynaklar – işlevler üzerinde etkisi olmayan kaynakların ve dizelerin eklenmesi sağlanır
- Kontrol akışı gizleme – kontrol akışının okumasını zorlaştırır ve temel blokların yürütme sırasını öngörülemeyen hale getirir
- Ölü kod – dosyaların meşru gözükmesi için hiçbir zaman işleme alınmayan masum kodlar görüntülenir
- Hiçbir şey yapma kodu – yürütülen, ancak hiçbir şey yapmayan kodun eklenmesi. Bu hamle ile, davranışsal tespitler atlatılır
Kasım ayı raporunda Hrčka şunları kaydetti:
“Bu modülün en göze çarpan özelliği, analizi engellemek ve tespit edilmesini güçleştirmektir. Kaynak düzeyinde bir rastgelelik kullanılması ve Stantinko’nun operatörlerinin her yeni kurban için bu modülü derlemesinden dolayı, modülün her örneği benzersizdir.”
Coinhive kapatıldıktan sonra web tabanlı Cryptojacking azaldı
Kanada, Ontario’daki Cincinnati Üniversitesi ve Lakehead Üniversitesi’ndeki araştırmacılar bu hafta “Is Cryptojacking Dead after Coinhive Shutdown? (Coinhive Shutdown’dan Sonra Cryptojacking Öldü mü?)” isimli bir makale yayımladılar. Coinhive script’i, web sitelerine yüklenmiş ve gizli bir şekilde kullanıcıların tarayıcıları üzerinde Monero madenciliği yapmıştı. Araştırmacılar, enfekte olup olmadıklarını görmek için daha önce kripto madenciliği komut dosyaları çalıştırdığı tespit edilen 2.770 web sitesini kontrol ettiler. Sadece yüzde 1’i aktif olarak kripto para birimi madenciliği yaparken, yüzde 11,6’sı hala operasyonun ölü sunucularına bağlanmaya çalışan Coinhive komut dosyaları çalıştırıyordu.
Araştırmacılar şu sonuca vardı:
“Cryptojacking, Coinhive kapatıldıktan sonra sona ermedi. Hala yaşıyor ama eskisi kadar cazip değil. Sadece Coinhive hizmetlerini bıraktığı için değil, aynı zamanda web sitesi sahipleri için daha az kazançlı bir gelir kaynağı olduğu için cazibesi azaldı. Sitelerin çoğu için, reklamlar madencilikten daha kârlı.”
Turklerden gurur verici bir makale olmus. Paylasim icin tesekkurler.