26 ene. 2016

Análisis de un Bitcoin Miner malicioso y sus formas de esconderse

El payload que puede tirar un código malicioso al infectar un sistema puede tener los más diversos objetivos; entre algunas de las acciones que nos podemos encontrar se encuentran los Bitcoin Miners. Los cibercriminales buscan aprovecharse de los recursos de los sistemas que infectan y así tomar el control, robar información, o como veremos en este post, minar ciertas monedas criptográficas para generarle una ganancia al atacante.

El archivo malicioso que vamos a analizar es detectado por los productos de ESET como una variante de Win32/CoinMiner.LV y utiliza diferentes técnicas para evitar ser analizado, como así también evitar ejecutarse en entornos virtuales. Cuando comenzamos el análisis de esta amenaza en un desensamblador como IDA Pro, nos encontramos con diferentes comprobaciones para saber si estaba siendo analizado con un debugger.
Entre las técnicas que nos encontramos están la llamada a IsDebuggerPresent, CheckRemoteDebuggerPresent y la comprobación de PEB (Process Environment Block) del proceso para ver si estaba habilitado el flag de debug. Luego de pasar las comprobaciones, el malware pasa a la sección principal, donde busca tres recursos diferentes que se encuentran en la sección .rsrsc:

Contenido completo en fuente original ESET

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!