Bilgisayar korsanları tarafından yaygın olarak kullanılan sanal para birimi hırsızlığı yöntemlerini analiz edin
Not: Bu makalede adı geçen bilgisayar korsanları, siyah şapka bilgisayar korsanlarına atıfta bulunur (yalnızca beyaz şapkalı bilgisayar korsanlarından farklı olarak, siyah şapka bilgisayar korsanları, kâr elde etmek için diğer kişilerin kaynaklarını çalmak veya İnternet'teki yüklü yazılımları kırmak için genellikle kendi teknolojilerini kullanır, ancak aslında pazar düzenini bozar veya Başkalarının mahremiyetini ortaya çıkarın).
Bir süre önce, Bitcoin hakkında bir makale yayınladığım için, eğitim ve öğretim endüstrisindeki yerel bir zorba bana geldi ve bana sanal para yatırımı hakkında sorular sordu: Güvenilir mi? Faydaları nelerdir? Nasıl başlanır? Bu yüzden soruyu cevaplayın ve uygun şekilde birkaç ticaret platformu önerin. Evet, sanal para birimlerinin yüksek getirisi, hayatın her kesiminden yedek parası olan insanları rüzgarı duydu ve bu "kartopu" oyununda karlarını paylaşmak isteyen insanları yaptı. Ancak oyunun kurallarını anlamayanlar çok daha büyük bir risk taşır.
1. Sanal para hırsızlığının mevcut durumu
Siber suçlular hala hevesle kripto para biriminin peşinde koşuyorlar, ancak bunu elde etmenin yolu kendi başlarına madencilik ekipmanı satın almak değil, siber saldırıları kullanmak ve kurbanın kripto para birimini fidye olarak kullanmasını istemek ve aynı zamanda madencilik yazılımını gizlice sunucuya aktarmaktır. Sanal para birimi oluşturun.
Bilgisayar korsanının kripto para birimi için doyumsuz arzusu, Bitcoin gibi dijital para birimlerinin yükselen değeriyle doğru orantılıdır. Bu fenomen bir tesadüf değil, esasen ilişkilidir. Geçen yılın Temmuz ayında, bir bitcoin yaklaşık 2500 ABD Dolarına eşitti, ancak Aralık ayında 13.800 ABD Dolarına fırladı. Bitcoin'in fiyatı o zamandan beri düşmesine rağmen, hala 11.000 $ civarında seyrediyor.
Güvenlik şirketi Trend Micro, "Sanal para birimine yüksek getirili yatırım, açgözlü bilgisayar korsanlarını kripto para birimlerini hedeflemek için tüm araçları kullanmaya teşvik ediyor," dedi. "Bazı insanlar kripto para cüzdanlarına doğrudan sosyal mühendislik yoluyla saldırırken, diğerleri geleneksel fidye yazılımı yöntemlerini kullanıyor. Kripto para gaspı. Madencilik işlemlerini gerçekleştirmek için mobil kötü amaçlı programlar kullanan insanlar bile var, ancak bu şekilde elde edilen para miktarı çok önemli olmayacak. "
İllüstrasyon:
Bilgisayar korsanlarının yasa dışı olarak kripto para birimi edinme yöntemleri
Kötü amaçlı madencilik programı olan uygulama
Madencilik botnetleri çeşitli sosyal medya platformlarına yayıldı
Doğrudan kripto para cüzdanına saldırın
"Teknik Destek" web sitesine saldırmak
Madencilik betikleri kullanan web siteleri
Kötü amaçlı madencilik programı içeren saldırı kiti
Madencilik araçlarını yayan reklam ağı
Siber suçlular en çok serveti en düşük maliyetle almak ister. Bu nedenle, kripto para piyasası düşmeye devam ediyor. Gartner araştırma başkan yardımcısı ve seçkin analist Avivah Litan, "2017 yılında, en az dört üst düzey suç grubu, suçun odağını finansal saldırılardan kripto para birimlerine kaydırdı" dedi.
Ancak birçok bilgisayar korsanı yeni saldırı yöntemleri icat etmedi. Litan, "2018'de çoğu suç çetesi, son on yılda özgürce kullanılan eski teknolojiyi kullanmaya devam edecek, ancak kripto para birimi değişim web sitelerinin ve sunucularının belirli ayrıntılarını ve kullandıkları müşteri kimlik doğrulama sürecini değiştirecek," dedi. Aşağıda, en yaygın döviz hırsızlığı yöntemlerinden birkaçını ayrıntılarıyla anlatacağız.
İllüstrasyon:
Hacker gruplarının kripto para birimi alım satım faaliyetlerine saldırması için hazırlıklar-Ocak 2018
Dikey eksen: hazırlık derecesi (aşağıdan yukarıya) - planlama aşaması, montaj dağıtım aşaması, uygulama aşaması
Yatay eksen: çete seviyesi (soldan sağa) -düşük, orta, yüksek
Grup ayrıntıları:
A1 Şantaj grubu: Cerber organizasyonu
A2 Emotet bankacılık Truva Atı'nın arkasındaki hacker
A3 Hancitor kötü amaçlı yazılım oluşturucu
A4 Ursnif Bankacılık Truva Atı Oluşturucu
A5 İran hacker organizasyonu APT33-spear phishing
A3, 2015'ten beri en az iki kripto para birimi ticareti faaliyeti gerçekleştirdi
Ocak 2018'de en dikkat çekici kripto para birimi hırsızlığı Japonya'da meydana geldi. Saldırganlar, Japon para birimi satıcısı Coincheck'ten 530 milyon ABD doları çaldı.
2. Eski saldırı yöntemleri, yeni hedefler
1. Web Enjeksiyon Saldırısı
Kötü amaçlı yazılım üreticileri de bu para birimi savaşına katıldı.
Geçen yıl Ağustos ayında, Trickbot Truva Atı'nın arkasındaki geliştiriciler kötü amaçlı yazılımlarını güncelledi ve Coinbase dahil olmak üzere çeşitli kripto para birimi borsalarının kullanıcılarına web enjeksiyon saldırıları başlattı. Web enjeksiyonu veya "tarayıcıdaki kişi" saldırısı, bir kullanıcı belirlenmiş bir web sitesini (bir kripto para birimi ticaret platformu gibi) ziyaret ettiğinde etkinleştirilecektir. Kötü amaçlı yazılım, kullanıcı tuş vuruşlarını engelleyebilir ve ayrıca saldırı etkinliklerini gizlemek için tarayıcı arayüzünü değiştirebilir.
Trickbot, kullanıcıları yanlışlıkla satın aldıkları bitcoin'in e-cüzdanlarına yatırılacağına inandırabilir, ancak bunlar aslında saldırganın cüzdanına yönlendirilir.
"Genel bir işlem senaryosunda, alıcının kendi Bitcoin cüzdan genel anahtar adresini ve satın alma miktarını sağlaması gerekir. İlk formu gönderdikten sonra, sayfa işlem platformundan ödeme hizmeti sağlayıcısı tarafından işletilen başka bir alan adı altında bir ödeme platformuna yönlendirilir. IBM X-Force araştırmacıları bu yıl Şubat ayında bir raporda, kullanıcıların bu sayfada ilgili kişisel bilgileri, kredi kartı numarasını ve fatura ayrıntılarını doldurmaları ve satın alma işlemini onaylamaları gerekiyor. "
"Bu yönlendirme arasındaki boşluk, Trickbot tarafından açılan boşluktur. Saldırının hedefi Bitcoin ticaret siteleri ve ödeme web siteleri. Para birimini yarı yarıya ele geçirdikten sonra, saldırgan tarafından kontrol edilen bir cüzdana gönderilecekler."
2. Kimlik avı saldırıları
Sosyal hizmette iyi olan bilgisayar korsanları, dikkatlerini kripto para birimine odakladılar.
Cisco Talos güvenlik ekibi, "Coinhoarder" adlı kötü niyetli bir reklam kampanyası keşfetti. Coinhoarder, şu ana kadar 50 milyon dolar, özellikle 2017'nin son çeyreğindeki 10 milyon dolarlık kar elde etti.
Coinhoarder geçen yıl Şubat ayında başladı. Cisco araştırmacıları, saldırganların Google AdWords'ü kullanarak kullanıcı arama sonuçlarını "zehirlemek" ve onları saldırganlar tarafından kontrol edilen sahte web sitelerine yönlendirmek için çevrimiçi reklamlar yerleştirdiğini iddia etti.
Bir Cisco Talos araştırmacısı, "Saldırganın Google reklamlarının arama sonuçlarında görünecek bir 'ağ geçidi' kimlik avı bağlantısı oluşturduğu bir saldırı modeli bulduk," dedi. "'Bitcoin', 'Bitcoin' aranırken "Bozuk para cüzdanı" gibi anahtar kelimeler olduğunda, kimlik avı bağlantısı arama sonuçlarının en üstünde görünecektir. Kurban bağlantıya tıklar ve giriş sayfasına yönlendirilir ve kimlik avı içeriğini IP adresine göre kurbanın ana dilinde görüntüler. "
Geçen yıl Şubat ayında belirli bir süre boyunca, bir Cisco raporu, grubun sahte kripto para web siteleri için saat başına DNS sorgu sayısının 200.000'i aştığını gösterdi. Bunların büyük bir kısmı Nijerya, Gana ve Estonya'dan olduğu için, kıdemli araştırmacılar saldırganların ana hedeflerinin Afrika ve diğer gelişmekte olan ülkeler olduğuna inanıyor. Bankacılık sektörleri yavaş ve yerel para birimleri dijital varlıklardan daha istikrarsız. "
Pek çok kimlik avı web sitesi gerçek görünen ancak gerçekte sahte olan alan adları kullanır ("alan adı sahteciliği" olarak adlandırılır). Örneğin, URL'yi sahte hale getirmek için "blockclain (aslında" blockchain ")" gibi kelimeler kullanırlar. Araştırmacılar, bu yazım hatasının özellikle ilk dili İngilizce olmayan kullanıcılar veya erişmek için mobil cihazlar kullanan kullanıcılar için etkili olabileceğini söylüyor.
Son zamanlarda Coinhoarder, daha makul görünmesi için kimlik avı web sitesini sürekli olarak optimize ediyor. Cisco ekibi birkaç ay boyunca grubu takip ettikten sonra, Cloudflare ve Let's Encrypt tarafından verilen SSL sertifikalarını kullanmaya başladıklarını keşfettiler. SSL sertifikasının kötüye kullanılması, kimlik avı saldırılarının ana biçimi haline geldi.
3. Kötü amaçlı madencilikteki artış
Ayrıca saldırganlar, kripto para birimi madenciliği yazılımı aracılığıyla sistemlere bulaşmaya devam ediyor.
Geçen yılın Şubat ayı başlarında, güvenlik satıcısı Check Point, Coinhive, Crytoloot ve Rocks olmak üzere üç kripto para birimi madenciliği programını duyurdu. Ayrıca şu anda en yaygın on kötü amaçlı yazılımdır.
Diğer güvenlik şirketleri de benzer sonuçlar verdi. Malwarebytes güvenlik şirketinin kötü amaçlı yazılım istihbarat analisti Jérôme Segura, "Eylül 2017'den beri, kötü amaçlı kripto para birimi madenciliği şu anda tespit edebildiğimiz ana sorunlardan biri." Dedi.
Aralık 2017'de İsrailli güvenlik şirketi Imperva, bilgisayar korsanlığı saldırılarının% 88'inin hedef sunucuda keyfi kod gerçekleştirdiğini, dış kaynaklara istek gönderdiğini ve kripto para madenciliği kötü amaçlı yazılımını indirmeye çalıştığını belirtti. "
4. Güvenlik Açığı Sömürü: Madenciler "Ebedi Mavi" yi gözlüyor
Geçen yıl, WannaCry "fidye yazılımı solucanı", "Eternal Blue" adlı SMB_v1 güvenlik açığı bağlantı noktasından (CVE-2017-0144) yararlanarak hızla yayıldı. Birleşik Devletler ve Britanya istihbarat teşkilatları, oybirliğiyle Kuzey Kore hükümetini hedef aldı.
Ancak Mayıs 2017'de "Eternal Blue" için WannaCry sürümünün yayınlanmasından önce, bu güvenlik açığı, Adylkuzz botnet tarafından Monero madenciliği için hedef alındı.
Geçen yılın Mayıs ayından bu yana, Smominru adlı başka bir botnet grubu da "Ebedi Mavi" ve EsteemAudit (CVE-2017-0176, uzak masaüstünü etkinleştirmek için kullanılabilen bir akıllı kart kimlik doğrulama kodu güvenlik açığı) kullanarak aynı şeyi yapıyor. Protokol, madencilik faaliyetlerine başlamak için Windows sisteminde kullanılır.
Bu yılın Ocak ayında, Proofpoint'in "Kafeine" takma adı altında bir kötü amaçlı yazılım araştırmacısı, blogunda Smominru'nun sistemde kripto para madenciliği kötü amaçlı yazılım çalıştırdığını ve "yasadışı olarak milyonlarca dolar kar elde ettiğini" belirtti. Şimdiye kadar, Smominru'nun Adylkuzz botnet grubuyla gizlice olup olmadığı bilinmiyor.
Kafeine, Smominru'dan en çok etkilenen bölgelerin ağırlıklı olarak Rusya, Hindistan, Tayvan ve Ukrayna olduğunu söyledi. Proofpoint botnet ile ilişkili Monero adreslerini MineXMR'ye (saldırganları içeren bir Monero madencilik havuzu) bildirir.
"Madencilik havuzu, madencilerin birlikte çalıştığı ve sorunları çözmek için bilgi işlem kaynaklarını paylaştığı bir platformdur," bir zamanlar İsrailli güvenlik şirketi Imperva kamu bilimini popüler hale getirdi. "Sorunu çözdükten sonra, para birimi madencilik havuzunun katılımcıları arasında ilgili hesaplama güçlerine göre dağıtılacaktır."
Ancak Proofpoint'in bildirmesinden sonra Kafeine, botnet suç grubunun yeni bir adres kaydettiğini ve madencilik faaliyetlerine devam ederek para birimini yeni bir adrese işaret ettiğini söyledi.
3. Kurumsal sunucular yüksek risklerle karşı karşıyadır
Kafeine, bu botnet'lerin işletmeler için özellikle ciddi bir tehdit oluşturduğunu, çünkü virüs bulaşmış terminallerin çoğunun temelde Windows sunucuları olduğunu söyledi. "Monero'yu masaüstü bilgisayarlarda etkin bir şekilde kullanmak artık mümkün olmasa da, bu makalede açıklanan dağıtılmış botnet, kuruluşuna yine de büyük karlar sağlayabilir.
Kafeine, şirketlerin bu tür saldırılara karşı yüksek risk altında olduğu konusunda uyardı. "Bu botnet'teki düğümlerin çoğu Windows sunucuları olduğundan, potansiyel olarak kritik iş altyapısının performansını etkileme olasılığı yüksek" diye yazdı. "Botnet'in ve altyapısının devasa karları ve güçlü esnekliği nedeniyle, bu faaliyetlerin devam etmesini ve giderek yaygınlaşmasını bekliyoruz."
4. Bitcoin'in suç oranı düşüyor mu?
Suç işlemlerinde tercih edilen kripto para birimi olarak Bitcoin'in durumu uzun sürmeyebilir. Tehdit istihbaratı şirketi Recorded Future kısa süre önce 150 yer altı piyasasını araştırdı.Tüm işlemler Bitcoin'i desteklese de, gittikçe daha fazla tüccar Litecoin, Monero, Dash, Bitcoin Cash ve Ethereum'u tercih etmeye başlıyor. Ve zcash (sıfır para). Şirket, önümüzdeki 12 ay içinde Bitcoin'in artık siber suç hizmetlerinin alıcıları ve satıcıları için ana ödeme mekanizması olmayacağını tahmin ediyor.
* Referans kaynağı: FB Xiaobian greyfurt tarafından derlenen bankinfosecurity, lütfen FreeBuf.COM'dan olduğunu belirtin
