Análisis de malware
Malware MRBMiner: qué es, cómo funciona y cómo prevenirlo | Destacado malware
24 de marzo de por Pedro Tavares
MrbMiner es un malware reciente descubierto y documentado por el equipo de Tencent en septiembre pasado. Se dirige a bases de datos MSSQL e implanta módulos de criptominería en las máquinas de destino. Entraremos en los detalles de este minero analizando las funciones principales, al mismo tiempo que brindaremos algunos pasos para prevenir ataques de esta naturaleza.
Descubriendo el MrbMiner
Este malware fue descrito por el equipo de Sophos durante el análisis de los registros del sistema. Allí, un proceso de servidor de base de datos llamado sqlservr.exe lanzó un descargador ejecutable sospechoso para iniciar la cadena de infección. A continuación, el descargador recuperaba la siguiente etapa de Internet: “un criptominero llamado MrbMiner creado, alojado y potencialmente controlado por una pequeña empresa de desarrollo de software con sede en Irán”, dijo Sophos.
1: MrbMiner se descarga mediante un ejecutable desde el directorio del servidor Microsoft SQL.
El nombre MrbMiner proviene de uno de los dominios utilizados por el grupo para alojar su software de minería malicioso y también se observó durante el proceso de ingeniería inversa, como se presenta a continuación.
2: Origen del nombre del malware observado durante el proceso de ingeniería inversa.
Aunque no existe un artefacto real que revele cómo se ha implantado este cargador en los servidores MSSQL afectados, este tipo de infraestructura de base de datos es un excelente candidato para la minería de criptomonedas, ya que los recursos de la base de datos necesitan un alto procesamiento y rendimiento para responder rápidamente a una alta tasa de tráfico. Según Sophos, «las personas que viven en países que están bajo estrictas sanciones financieras internacionales, como Irán, pueden aprovechar las criptomonedas para eludir el sistema bancario tradicional».
Como se observa en la 3, el cargador minero fue desarrollado en .NET y no está empaquetado. La cadena «mrb» también se puede encontrar en los detalles del cargador, así como en la ruta PDB, que revela la ruta de compilación original de la máquina de desarrollo de los delincuentes.
3: Cadena Mrb y ruta PDB que se encuentran dentro de los detalles binarios.
Como se mencionó, Mrbminer comienza con el proceso de Microsoft SQL Server (sqlservr.exe) que ejecuta un archivo llamado assm.exe , el descargador de troyanos de la 3.
Al analizar el código fuente del cargador, podemos observar que la siguiente carga útil se descarga desde un servidor web en línea, función DownloadDLLFile, 4. Luego, se realiza una conexión con el servidor C2 para informar la descarga exitosa y la ejecución del minero (5).
4: Función DownloadDLLFile ejecutada para descargar la siguiente etapa desde el dominio MRB.
5: Conexión con el servidor C2 informando que se está ejecutando el proceso de minería.
Profundizando en los detalles
La carga útil es un archivo llamado sys.dll que, a pesar de su sufijo de archivo, no es una DLL de Windows. El archivo es un archivo zip que contiene un archivo PE de criptominero (Windows Update Service.exe), su configuración (config.json) y un controlador de dispositivo a nivel de kernel (WinRing0x64.sys).
6: Minero, archivo de configuración y controlador de dispositivo a nivel de kernel.
Al analizar el código fuente del malware, podemos encontrar que se invoca una función llamada «ExtractZipFile» cuando se recupera el archivo DLL, lo que confirma que el archivo es un archivo zip. Después de eso, se corrigen algunas configuraciones y el malware inicia la actividad minera.
7: Función principal de MrbMiner.
El servidor C2 puede entregar muchos archivos zip que contienen copias del minero, incluido el archivo DLL inicial (el archivo zip) con los nombres agentx.dll y hostx.dll. El minero dentro del archivo zip se puede entregar con los nombres Windows Security Service.exe, Windows Host Management.exe, Install Windows Host.exe, Installer Service.exe y Microsoft Media Service.exe. Los delincuentes utilizan esta técnica para enmascarar la actividad del malware.
Por otro lado, y según el análisis del equipo de Sophos, “El archivo WinRing0x64.sys es un controlador del kernel (disponible públicamente en la página de Github de su creador) que permite que las aplicaciones del usuario accedan a recursos de nivel ring0. Le da al atacante acceso a funciones como el registro específico del modelo de la CPU y puede leer o escribir en la memoria directamente. En particular, los mineros criptográficos utilizan este controlador para modificar los registros MSR con el fin de desactivar los captadores previos de la CPU, lo que resulta en una mejora del rendimiento del 6 al 7 %. Este controlador es una funcionalidad estándar que se agregó a los mineros XMRig a partir de diciembre de”.
El malware es capaz de obtener todos los procesos en ejecución y relacionarlos con el nombre del minero para evitar que se generen múltiples procesos. Este es un buen punto desde el punto de vista de los delincuentes, ya que múltiples procesos del minero reducirían el rendimiento de la máquina y el proceso de minería en sí.
8: El proceso minero finalizó y comenzó para garantizar una sola ejecución.
La persistencia minera
Después de obtener acceso y establecer persistencia, el malware agrega una cuenta de puerta trasera para acceso futuro con el nombre de usuario, predeterminado y contraseña @fg125kjnhn987 ) y recupera la carga útil del minero de criptomonedas Monero (XMR) ejecutada en el servidor de destino.
Además, se crea un servicio en la máquina de destino para garantizar que el minero se inicie cada vez que se inicia la máquina de destino.
9: Servicio iniciado en la máquina infectada para crear persistencia.
En el último paso de la cadena de infección, el minero se conecta al servidor C2 e inicia una aplicación que extrae la criptomoneda Monero (XMR) abusando de los recursos del servidor local y generando monedas XMR en cuentas controladas por el atacante.
10: Inicio del servicio minero y comunicación con C2.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Futuros encuentros con mineros
Una vez que los servidores de bases de datos tienen potentes capacidades de procesamiento, este tipo de escenarios se convierten en un objetivo lucrativo para que los delincuentes distribuyan criptomineros en la naturaleza. También abre un camino para evadir sanciones y facilitar actividades ilícitas en países como Corea del Norte e Irán.
Según Sophos, “Muchos de los registros relacionados con la configuración del minero, sus dominios y direcciones IP apuntan a un único punto de origen: una pequeña empresa de software con sede en Irán. «
Además, Sophos dijo: “Encontramos una referencia al negocio detrás de vihansoft.ir en el sitio web de mapas en persa neshan.org. Al igual que Google Maps o Waze, Neshan incluye información comercial como parte de sus servicios de mapas y la entrada de una empresa que incluye vihansoft.ir como su sitio web y nombra a su director general”.
11: Propietario del dominio C2.
Desde la perspectiva de la defensa, este tipo de amenazas son silenciosas e invisibles. El criptojacking es relativamente fácil de desarrollar y difícil de detectar, y este es un gran desafío al que enfrentarse. Los delincuentes han utilizado estas amenazas como punto de apoyo en un sistema, y se pueden implantar y ejecutar cargas útiles adicionales, como ransomware.
En este sentido, detener la actividad de criptojacking con agentes de seguimiento es clave. Buscando signos como reducción de la velocidad y el rendimiento de procesamiento de la computadora, aumento del uso de electricidad, sobrecalentamiento de los dispositivos y aumento de las demandas de la CPU.
Fuentes
Análisis MrbMiner , Sophos
MbrMiner , Tencent