SWATCH: Cryptocurrency Mining Trojan

TRAPMINE  ThreatScore ML engine tarafından Türkiye'deki bazı müşterilerimizde, aşağıda detaylı teknik analizi yer alan zararlı yazılım keşfedilmiştir. Zararlı yazılım, enfekte olduğu sistemler üzerinde arka kapı açarak saldırganın uzaktan komut yürütebilmesine olanak sağlıyor. Uygulama C# tarafından geliştirilmiş olup analiz sürecini zorlaştırmak için üzerinde karmaşıklaştırma (Obfuscation) işlemi uygulandığı görülüyor.

Uygulama temel olarak, enfekte olduğu sistem üzerindeki bir takım bilgileri HTTP protokolü üzerinden, analiz esnasında tespit edilen ve aşağıda yer alan web sitesine göndermektedir. Aynı zamanda, zararlıyı geliştiren kişi tarafından, zararlının SWATCH.EXE olarak isimlendirildiği de tespit edilmiştir.

Zararlı yazılım çalıştıktan sonra uzaktan komut işletebilme yeteneklerinin dışında Monero isimli kripto para birimi üretmek için Mining işlemi gerçekleştirdiği gözlemlenmiştir ve zararlı yazılımın esas amacının Monero mining olduğu tespit edilmiştir. Tüm bunların dışında zararlı yazılımın, Türkçe bilen veya Türkiye’den birileri tarafından geliştirildiği fonksiyon isimlendirmeleri ve kod içerisinde yer alan Türkçe satırlardan anlaşılmıştır.

Yazılımın özellikle internet kafeleri hedeflediği ve AKINSOFT CafePlus isimli uygulama üzerinden kendini yaymaya çalıştığı tespit edilmiştir. Ancak TRAPMINE olarak bu zararlıyı bazı kurumsal müşterilerimizde de başarıyla tespit etmiş durumdayız. Ayrıca komuta kontrol merkezindeki loglara baktığımızda zaman zaman kamu kurum ve kuruluşlarına ait bazı bilgisayarların da sisteme bağlandığı ve dolayısıyla enfekte olduğu tespit edilmiştir. 

Teknik Analiz

Zararlı yazılım karmaşıklaştırma işleminden arındırıldıktan sonra fonksiyonlar listelenmiş ve önemli indikatorlerin yer aldığı fonksiyonlar incelenmiştir.

Zararlı yazılım enfekte olduğu sistem üzerinde ilk olarak internet bağlantısının var olup olmadığı kontrolünü gerçekleştiriyor.

Zararlı yazılım çalıştıktan sonra zararlı içeriğin bulunduğu ve bağlı olan makinelerin listelendiği merkezi siteye Bilgisayar ismini gönderdiği gözlemleniyor

SWATCH.EXE isimli zaralı yazılım içerisinde zararlı siteye ait herhangi bir Domain veya FTP adresi tespit edilememekle birlikte EXE icerisinde http ve ftp ifadelerinin geçtiği görülmüştür.

Zararlı yazılım içerisinde yer alan acik_oldugumu_bildir() isimli fonksiyon icerisinde yer alan siteye_msj_gonder() isimli fonksiyon incelendiğinde HTTP isten göndereceği ve saldırgana ait adresin 2k.sys isimli sistem dosyası görünümünde farklı bir dosya içerisinde saklandığı ve bu dosyadan adresin okunduğu tespit edilmiştir.

Dosya hex editor ile incelendiğinde saldırganın kullandığı ve HTTP istek yaptığı adresin hxxp://yekuna71.com olduğu tespit edilmiştir.

Enfekte sistem üzerinden toplanan logların ve verilerin saklandığı site üzerinde ki dizinin  /log/ dizini olduğu tespit edilmiştir. Aynı zamanda toplanan logların FTP protokolü üzerinden bu dizine atıldığı keşfedilmiştir. Zararlı yazılımın FTP bağlantı ile logları topladığı ve FTP bağlantı için gerekli kullanıcı adının “log” ve şifrenin “q” olduğu tespit edilmiştir.

Web sitesi üzerinde yer alan “log” dizini incelendiğinde (hxxp://yekuna71.com/log/) enfekte olan makineler ve kurumların açıkça görüldüğü tespit edilmiştir.

Aynı zamanda enfekte olmuş ve açık olan makinelerin listelendiği dizinin /log/ dizini içerisinde yer alan başka bir dizin olan /online/ dizini içerisinde listelendiği görülüyor.

Zararlı yazılımın kendini enfekte olduğu sistemler üzerinden, kendini USB sürücülere bulaştırabilme yeteneğine sahip.

Zararlı yazılım aynı zamanda enfekte olduğu sistem üzerinde Windows Firewall’un durumunu kontrol ediyor, dönen sonuca ve duruma göre farklı bir işlem gerçekleştiriliyor.

Zararlı yazılımın sistem üzerinde topladığı dosyaları ve logları daha önce bahsi geçen domain adresine FTP bağlantı gerçekleştirerek göndermeyi deniyor. Aşağıda yer alan kod bloğunda bağlantı gerçekleştirilirken ihtiyaç olan kullanıcı adı ve şifresi yer almakta.

Zararlı yazılımın sistem üzerinde uzaktan komut işletebilmesine olanak sağlayan fonksiyonlarının yanı sıra enfekte olduğu sistemleri, dijital bir para birimi olan Monero üretimi içinde kullandığı görülüyor. Saldırganın monero adresleri aşağıdaki gibidir.

İlgili Monero adreslerinden sadece bir tanesi kontrol edildiğinde enfeksiyon süreleri ve bu atak sayesinde ne kadar Monero kazıldığı aşağıda görülmektedir.

Zararlı yazılımın gerçekleştirildiği bir başka domaine ait daha önceki tehdit verileri AlienVault tarafından tespit edilmiş. Daha önce tespit edilen domain’e ait whois bilgileri AlienVault veritabanında aşağıdaki şekilde listelenmiş.

Zararlı yazılımın bağlantı kurduğu domain adresi VT Intelligence servisi üzerinden kontrol edildiğinde sadece 4 üreticinin bu adresi zararlı olarak işaretlediği görülüyor.

İndikatörler

swatch.exe 18bf3596d321d87d8a5cbdec45a84fb6F7c809ca655aa88cd9694428e796a1a8
2k.sys dbb63bdbe1716a50896dfce576979ef0
Hstart.bat 81f30282ddf245b58cb6061a72932c48
Hstart.vbs d246d68506a4405ef9118d1e8fcdd2bd
lanservices.exe a1f8126c791d55a1d615f07dca0f8db9
lanservices.exe.config 4147e8b8015e7e28532c1929677726b9
msci.dll 6f2057b36b9fca8378740be3cb1c7b1d
swatch.exe.config e66abf87619da206404f66dc05fd1252
wipe_folder.bat d7ce63c300529dc5dfe55be81d04f0af

hxxp://www.yekuna71.com
hxxp://reed171.com
hxxp://docs77.com