世界は急速にデジタル時代へと移行し、コミュニケーション、仕事、金融取引のあり方を大きく変えつつあります。この変化は 運転されています by 技術の進歩インターネットへのアクセス性の向上、そしてデジタルソリューションの日常生活への統合。こうした状況において、暗号通貨の進化は金融におけるデジタルトランスフォーメーションの象徴となっています。暗号通貨は2009年のビットコインの登場とともに登場し、従来の銀行システムに代わる分散型のピアツーピア決済システムを提供しました。長年にわたり、暗号通貨はニッチな概念から世界的な現象へと進化を遂げてきました。 この進化を考慮すると、 今日は、 当社では 8 種類以上のアクティブな暗号通貨を取り扱っております。 これに関連して、 Seqrite Lab は最近、PKT Classic 暗号通貨と Monero 暗号通貨のマイニング活動を観察しました。
PKTクラシック分析:
PKT Classicの紹介:
PKTクラシック 紹介されました 2021年に。 発売されました 創造することを目指して 個人が未使用のインターネット帯域幅を共有することで暗号通貨を獲得できる、分散型のグローバル ネットワーク。 このプロジェクトは開発された ブロックチェーンベースのエコシステムを通じて人々が帯域幅を収益化できるようにすることで、従来のインターネット インフラストラクチャを再考します。 プロジェクト 草の根運動として始まり、 持っていました それ以来、分散型帯域幅マーケットプレイスの構築に重点を置くようになりました。
PKTクラシック暗号通貨をマイニングするにはどうすればいいですか?
PacketCryptは、Proof-of-Work(PoW)アルゴリズムで、 使用する PKTを採掘する 暗号通貨PKTネットワークの主要コンポーネントです。PacketCryptは、マイナーが未使用のインターネット帯域幅を利用してPKTをマイニングすることを可能にします。PKTネットワークのマイナーは、ビットコインマイナーのように計算能力だけに頼るのではなく、帯域幅を提供することでネットワークのセキュリティを確保し、その見返りとしてPKTコインを獲得します。
2025年XNUMX月初めにクイックヒールのラボは コマンドライン 操作 を通じて実行 sqlserver.exe。 この この装置が 侵害された 脆弱性を利用して攻撃者が 悪意のあるコードをリモートで実行するさらに調査を進めると、 全体像を 攻撃チェーン which 次のとおりです。
攻撃者 利用された certutilを ユーティリティ、正規のWindowsツール(LOLBinとも呼ばれる)をダウンロードする PKT 採掘ツール。 実際のコマンドラインは次のとおりです。
要求されたURLには、 pktw.png ダウンロードされ、保存されました pkt.exe に選出しました。 ウィンドウズ NetworkServiceアカウント の%temp% ディレクトリです。調査中にURLにアクセスし、 無事に回収できた その後、当社側でファイルを検証しました。
以下の Wireshark スクリーンショットは、ダウンロードされたファイルが exe であることを確認します。
このダウンロードしたファイルは、PKT コインのマイニングに使用される Packet Crypt ツールです。 静的解析を行う際には、 コンソール アプリケーションであることがわかります。
PKT暗号通貨をマイニングするには、Packet CryptはウォレットアドレスやマイニングプールのURLなどのパラメータを必要とします。攻撃者が実際に使用したコマンドは以下のとおりです。
一方、 分析する サンプル in デバッガ、私たちは知るようになった 著者名について、「カレブ・ジェームズ デリスル" 見える in 下の図。
Googleで簡単に検索してみると、カレブはPKTキャッシュブロックチェーンとネットワークプロジェクトの創設者であることが判明した。 分散化のため 分散型帯域幅マーケットプレイスを通じてインターネット インフラストラクチャを構築します。 PacketCryptは彼によって開発されました RUST 言語。 コードは以下で公開されています 以下のGithubリポジトリ。
https://github.com/cjdelisle/packetcrypt_rs
サンプルを反転すると、 これはRUSTベースです マルウェア、そしてそれは一致する 攻撃者はGitHubリポジトリを利用して実行ファイル(.exe)を生成し、それを特定のIPアドレス(http://188.81.]134.196/resources/img/pktw.png)にアップロードしました。 a 配布または実行用のイメージ ファイル。
以下 図はマイニングツールの実行を示しています。
コインマイナーは 過剰な利用 ハードウェアリソースはシステムパフォーマンスを低下させ、インフラストラクチャの帯域幅を大幅に消費し、 加速につながる ハードウェアの消耗。 これは次の例で見ることができます タスクマネージャーの画像、これは 実行中のプロセス「pkt.exe」がCPU使用率の99%を消費します。
PKTウォレットの詳細
マイニング活動に関連するウォレットIDを取得し、そのステータスを確認しました。 プール。パケット。世界 ドメイン。調査の結果、ウォレットが活発にマイニングしていることが確認されました。 PKTコイン (参照: 図9)とコインの継続的なフローを生み出しています。マイニング作業は継続しており、システムリソースは さ 中古 この違法行為に対して。 この 侵害されたシステムが 暗号マイニング 攻撃者は採掘したデータから継続的に利益を得る PKT cryptocurrency。
- For Wallet ID: pkt1q4syqsnl0m3626lue89wjte2xmvec5sn8jcdyw5
ウォレットアドレスが 提供されていません?
カスタムウォレットアドレスが指定されていない場合は、デフォルトのアドレス 使用されているメインコードに存在し、警告が表示されます 図に示すように 10. これは、カスタム ウォレット アドレスが指定されていないことを通知するもので、コインはデフォルトのアドレスにマイニングされます。
In 図11には ウォレットアドレスが指定されていません。そのため、デフォルトのアドレスが使用され、警告メッセージが表示され、マイニングが開始されました。 何もありません 無駄になる 採掘に関しては。
攻撃者のドメインの包括的な分析
アタッカー 中古 「188.81.134.196 " 配布するIPアドレス PKT コインマイナー。社内テレメトリで同じIPアドレスについてさらに調査したところ、同じ脅威アクターが他の悪意のあるファイルを配布していることが判明しました。
VT グラフでは、以下に示すように、異なるファイルをダウンロードして参照していることも示されています。
XMRIGマイナー分析
この部分については、 分析は2つの部分に分かれており、それぞれ異なるファイルの技術的な詳細が含まれます。 SQL Server この脆弱性を利用するために、攻撃者はcmd.exeを起動して PowerShellの スクリプト ダウンロード リモート サーバーからの悪意のあるファイル。 図13に実行フローを示します。
パートI:
その PowerShellの スクリプトは「System.Net.WebClient」を使用してファイルを取得します" Base64からデコードし、システムの一時ディレクトリ(C:\Windows\SERVIC~2\NETWOR~1\AppData\Local\Temp\)に「X.log」として保存します。 「.log」という拡張子にもかかわらず、このファイルは悪意のある実行ファイルです。コマンドの全文は以下のとおりです。
図15はBase64でエンコードされた「infoALT.txt」の内容を示しています。
X.log 内のプログラム チェック:
- 実行中のプロセスの確認:
- isRunning()メソッドは実行中のすべてのプロセスを反復処理し、プログラム名(Program.Prog)に一致するプロセスがあるかどうかを確認します。デフォルトでは「Log.txt」です。"
- この 特定のマイニング プログラムがすでに実行されているかどうかを検出する方法になる可能性があります。
- プロセスの強制終了:
- kill()メソッドは、プログラムに保存されている名前を持つすべてのプロセスを強制的に終了します。.Prog.
- この このスクリプトによって制御されるインスタンスのみが実行されるようにします。
次のような場合 プログラム.Prog(log.txt)はすでにマシン上で実行されています、 この プロセスは既存のインスタンスを終了し、スムーズで中断のない操作を確保するために再起動します。 どちらである a 一般的な マイニング アプリケーションにおける機能。
ファイルのドロップ
- リソースの抽出:
- プログラムはバイナリ リソース (CmdMinerV2.ここで、ProgL はデフォルトで「Log.txt」を使用します)をディスクに書き込みます。
- これは、Assembly.GetExecutingAssembly().GetManifestResourceStreamメソッドを使用して実行され、リソースを提案します。 埋め込まれている 実行可能ファイル内。
ドロップされたlog.txtファイルの実行にはパラメータが必要です。これらのパラメータには以下が含まれます。
- シード – マイニング タスクを初期化または検証するために使用される 16 進文字列。
- ジョブID – サーバーによって割り当てられた特定のマイニングジョブを識別します。
- ターゲット – 採掘難易度閾値, 16 進数値として表されます。
- ID – マイニング セッションまたはクライアントの一意の識別子である可能性があります。
- メモリタイプ – マイニングリソースを指定します(GPUの場合は「1」、「 CPU の場合、S.txt の存在に基づいて決定されます。
これらのパラメータは、Log.txt 実行可能ファイルによって処理されるマイニング操作を構成および開始するために不可欠です。
S.txtファイルはマイニングモードを決定し、これが存在するとGPUマイニングが有効になります(MemoryType = "1")とそれがない場合はCPUマイニングがデフォルトになります(MemoryType = "0")。 それ も使用されます プログラム実行中の特定の状況でのリセットまたはフォールバック マーカーとして使用します。
その 以下のコードスニペット 「アルゴ」を表示 :[「JSONペイロード内の[rx/0]、その マイニングによく使われるRandomXアルゴリズムです Monero XMRIGが採掘する主要な暗号通貨であるXMR 採掘 ソフトウェアを使用して、WindowsXNUMX XNUMXビット上で動作する XNUMXTB RAID XNUMX を備えたデスクトップ コンピューターで録画されます。
適切なパラメータを指定すると、Log.txt 実行可能ファイルはマイニング操作を開始します。 正確な必要なパラメータは不明ですが、サンプル入力を使用して、マイニングを正常に開始しました。 それと CPU使用率の96%を消費します(図20参照)。 この Log.txtを確認する 構成されています 暗号通貨のマイニングタスク用。
パートII:
最初に観察された手法は、分析の第1部で特定されたものと一致しています。攻撃者は「info2R.txt」を取得します。「 「http://188.[81.134.196/resources/js/info2R.txt」からのファイル「 URL を Base64 からバイナリ データにデコードします。
正確なコマンドは次のとおりです。
図22は「info2R.txt「 コンテンツ。デコードされたデータは と書かれる システムの一時ディレクトリに 「Net5System.exe「
Net5System実行ファイルはThemidaでパックされているため、 非常に難読化されている、より困難になります 分析する (参照 図-23). 実行されると、この圧縮ファイルは自身を解凍し、悪意のあるペイロードを実行する可能性があり、攻撃者がシステムへの不正アクセスや制御を取得できる可能性があります。
Themidaで圧縮された悪意のあるファイルを実行すると、暗号通貨のマイニングを試みますが、config.jsonやxmrig.jsonといった必要な設定ファイルが見つかりません(図24参照)。エラーメッセージはユーザーをXMRig設定ウィザード(https://xmrig.com/wizard)に誘導し、マイニングソフトウェアに必要なファイルを生成またはダウンロードするよう促していると考えられます。この動作は、マルウェアがMoneroのマイニングを試みていることを示唆しています。 by 被害者のシステムリソースを使用し、ユーザーをウィザードに誘導することでセットアップを完了し、マイニング操作を開始することを目的としています。
まとめ:
攻撃者は常に 見張っている システムの弱点、例えば脆弱な認証情報やソフトウェアの脆弱性などを悪用して、 自分の 利益を得る。この攻撃は そのような MSSQLサーバーの脆弱性を悪用する攻撃者の例。また、この攻撃は多段階攻撃であり、GitHubリポジトリ、Windows LOLBin、PowerShellスクリプトなどの公開ソースコードを悪用しています。PKT暗号通貨用のマイニングツールであるPacketCryptとMonero用のマイニングツールであるXMRIGが使用されています。 配備された マイニングのためにシステムリソースを乗っ取る。攻撃者はpkt.exeやLog.txtなどのファイルを使用してマイニングプロセスを開始し、CPUとGPUの電力を大量に消費した。
検出:
クイックヒールアンチウイルス あらゆるタイプの暗号通貨マイニングを効果的に検出 マルウェア、 静的および動的分析方法を通じて、採掘活動の原因となる脅威を即座に特定します。
検出名:
Trojan.Alevaul
Trojan.CoinMiner.49281.GC
Trojan.Ghanarava.*
緩和策:
に 暗号通貨マイニングのためにシステムリソースを悪用するマルウェアのリスクを軽減する, いくつかの積極的な対策を講じる必要がある.
- 定期的なソフトウェアアップデートは、次のような脅威から身を守るために不可欠です。 オペレーティングシステムとアプリケーションの脆弱性.
- 一定回数のログイン試行が失敗した後に、ログイン試行が人間によるものであるかどうかを確認するために CAPTCHA を実装します。
- パスワードの複雑さ(長さ、文字の組み合わせ)を最低限に抑えます。ユーザーに、一意かつ強力なパスワードの使用を推奨または義務付けます。
- 強力な リアルタイム保護と定期的なスキャンを備えたウイルス対策ソフトウェアは、悪意のあるソフトウェアを検出して削除するのに役立ちます。
- 管理者権限を制限することで不正なインストールを防ぐことができ、リソース監視ツールはマイニング活動を示す異常な CPU および GPU の使用状況を識別できます。
これらの戦略を組み合わせることで、暗号通貨マイニングマルウェアに対する組織の防御力を大幅に強化できます。
侵入の痕跡(IoC)
File
ファイル名 ファイルハッシュ
Pkt.exe e3d0c31608917c0d7184c220d2510848f6267952c38f86926b15fb53d07bd562
InfoALT.txt a5ca1e64278543dd9c0423d6e183efaaac1167fc0210da7eea9bf7a1b0246be8
x.log 9398d7a723e2ba4bb8046c8a6b796d9fc13c530a355d6319a53437e556071f39
Log.txt 5369b61daacbb811f1da996b5e61a70719d43175f447ceaa9b9023b875fe70bc
Info2R.txt 250743f1af4b5a9dd18028f792a0432a43d6bf17b50aad75b9d3a0c83786940d
Net5System.exe b1d169f6904ac5af690243e6d0b042a64089251114a630a740c87208ead52503
URL
http://188[.]81[.]134[.]196/resources/img/pktw.png
http://188[.]81[.]134[.]196/resources/js/info2R.txt
http://188[.]81[.]134[.]196/resources/js/infoALT.txt
主題専門家
アンジャリ・ラウト
ラヤパティ・ラクシュミ・プラサンナ・サイ
ルマナ・シディキ
