DirtyMoe Malware

Den meteoriske stigning i popularitet, ansporet af de endnu mere imponerende gevinster i værdi opnået af flere forskellige kryptokurver, satte den tidligere nichesektor lige ind i offentlighedens rampelys. Trusselsaktører bemærkede også tendensen og skiftede hurtigt deres operationer mod at misbruge den. Talrige botnets og malware-værktøjer blev enten oprettet eller udstyret med krypto-minedrift. Trusselaktørerne kan derefter kapre ressourcerne i tusinder af kompromitterede systemer og bruge dem til at udvinde mønter fra en bestemt kryptokurrency. Et af de nyeste og mest sofistikerede malware-værktøjer af denne type er DirtyMoe-malware. Indtil videre er truslen blevet løftet mod mål i Rusland, men ofre er også blevet opdaget i europæiske og asiatiske lande. Ifølge infosec-forskere er tæt på hundrede tusind maskiner inficeret med DirtyMoe aktive i øjeblikket.

De oprindelige versioner af DirtyMoe blev sporet af infosec-forskere under navnet NuggetPhantom, og de var ofte ustabile og blev let fanget af cybersikkerhedsprodukter. Siden da har malware imidlertid gennemgået en betydelig udvikling og er nu en undvigende, modulær trussel, der udviser flere antidetektions- og anti-analyseteknikker.

DirtyMoes angrebskæde begynder med, at hackere leder efter ofre, der er sårbare over for flere udnyttelser. En af dem er den berygtede EternalBlue (CVE-2017-0144) sårbarhed, der opstod i 2017, men tilsyneladende er der nok usikrede systemer tilbage til at gøre trusselaktører det værd at fortsætte med at misbruge det i deres skadelige operationer. En anden af de bedrifter, der er begunstiget af DirtyMoe, er sikkerhedsproblemet med hukommelseskorruption i Scripting Engine (CVE-2020-0674), der findes i Internet Explorer. Ofre lokkes via phishing-e-mails, der indeholder usikre webadresser.

Modulær struktur

Det vigtigste kendetegn ved DirtyMoe-malware er dens modularitet. Hovedkomponenten er DirtyMoe Core. Det er ansvarligt for at downloade, opdatere, kryptere, oprette sikkerhedskopier og beskytte DirtyMoe-truslen. Kernen har også til opgave at fodre en beskadiget kode til DirtyMoe Executioner, som derefter, som navnet antyder, udfører den. Den injicerede kode hedder enten MOE Object eller Module og hentes fra Command-and-Control-serveren til operationen.

Den specifikke opførsel af malware-truslen kan yderligere tilpasses til at passe målene for trusselsaktørerne. Cyberkriminelle kan kommandere DirtyMoe til at downloade en krypteret nyttelast med den ønskede funktionalitet og derefter injicere den i sig selv. Om et par timer kan tusinder af forekomster af DirtyMoe ændres på denne måde. DirtyMoe kan faktisk bruges til at starte DDoS-angreb, udføre krypto-mineaktiviteter eller levere yderligere truende nyttelast, såsom datasamlere, ransomware, trojanske heste og mere.

Potentielle skjul- og selvforsvarsfunktioner

DirtyMoe ansætter VMProtect for at beskytte sin vigtigste truende kerne. Det bruger også en Windows-driver, der udviser flere funktionaliteter, der normalt findes i rootkits som service, registreringsdatabaseindgang og skjul af drivere. Driveren kan yderligere instrueres i at skjule specifikke filer på systemvolumenet på den inficerede maskine eller injicere vilkårlige DLL'er i alle nyoprettede processer. Netværkskommunikation opnås også ved hjælp af en stærk teknik. Truslen bærer et sæt hardkodede DNS-servere, som den bruger til at stille en DNS-anmodning til et hårdt kodet domæne. For den endelige IP-adresse og port bruger DirtyMoe dog en anden række af DNS-anmodninger. Som et resultat bliver DirtyMoe modstandsdygtig over for at få sin endelige IP blokeret. Det er også praktisk talt urealistisk at blokere DNS-anmodninger til DNS-servere som Google, Cloudflare og lignende tjenester.