wallet stealer - empirecouture.de€¦ · erkennung von bitcoin-adressen und ersetzen durch eigene...
TRANSCRIPT
1
Mitte
G DATA Logo
G DATA Logo
Mitte
www.gdata.de/blog
@rb_gdata
Wallet Stealer
In den Fußstapfen der Banking-Trojaner
Ralf Benzmüller, G DATA Software
2
Mitte
Dem Virenschutz sein Zuhause
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Deutscher Anbieter von IT-Sicherheitslösungen
Gegründet 1985 in Bochum
Heute knapp 500 Mitarbeiter
G DATA Software AG•Erster Virenschutz 1987
•Heute breite Palette von Produkten undDienstleistungen für Privat- und Businesskunden
•Produkte weltweit erhältlich
G DATA Advanced Analytics•Gründung 2015
•Hochwertige, produktunabhängige Services
•Security Consulting, Incident Response,
•Malware Analysis, Software Integration, …
Intro
G DATA Überblick
3
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Machine Learning @ G DATA
Mitte 01
၈
G DATA Logo
)
)
Intro Crypto-Währungen
Agenda
4
Mitte
px)
Headline (40 px)
G DATA Logo
Crypto-Währungen
Überblick
https://coinmarketcap.com/ Daten vom 19.11.2018
Mitte
px)
Headline (40 px)
G DATA Logo
5
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Crypto-Währungen
Eckdaten
https://coinmarketcap.com/ Daten vom 19.11.2018
Crypto-Währungen 2081
Markets 15.891
Marktkapitalisierung 185.058.868.984 USD
24h Volume 13.350.841.689
BTC Anteil 52,6%
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Crypto-Währungen
Exchanges
https://coinmarketcap.com/ Daten vom 19.11.2018
6
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Mitte 02၈
၈
G DATA Logo
)
)
Wallets
Agenda
7
Mitte
px)
px)
G DATA Logo
Wallets
Es gibt sehr viele Wallets
Mitte
px)
px)
G DATA Logo
Funktion: Notwendig, um Crypto-Währungen zu verwendenVerwaltet private und öffentliche Schlüssel von Crypto-WährungenInteragiert mit der Blockchain, um Geld zu transferieren, Kontostand anzuzeigen etc.
Arten: DesktopOnlineMobileHardwarePaper
Anwendung Hot Storage – häufige TransaktionenCold Storage – für langfristige Anlagen
Wallets
Überblick
8
Mitte 03၈
၈
G DATA Logo
)
)
Wallet Stealer
Agenda
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Wallet Stealer
Eredel Stealer
Verbreitung E-Mail und Exploit
Seit Jun 2018
Kontext InfoStealer, Password Stealer, File Stealer, Form Grabber
Vorgehensweise Kopiert die Wallet-DateienBrowser-basiert
Betroffene Wallets Bitcoin, Litecoin, Ethereum, Monero, Dash, Electrum
Technische Details Konfiguration der zu stehlenden Dateien per Telegram Bot
9
Mitte
px)
Headline (40 px)
G DATA Logo
Wallet Stealer
Azorult
Verbreitung E-Mail-Kampagnen (Bewerbung), Exploit Kits auf Webseiten
Seit 2016
Kontext InfoStealer, Downloader, Banking-Trojaner, Ransomware
Tarnung Bedingungen (z.B. Cookies) für Download von ZieldateiAnhang von Mails passwortverschlüsselt. Passwort in Mail
Konfiguration *wallet*.txt,*seed*.txt,*btc*.txt,,*key*.txt,*2fa*.txt,*2fa*.png,*2fa*.jpg,*auth*.jpg,*auth*.png,*crypto*.txt,*coin*.txt,*poloniex*,*kraken*,*okex*,*binance*,*bitfinex*,*gdax*,*private*.txt,*upbit,**bcex*,*bithimb*,*hitbtc*,*bitflyer*,*kucoin*,*huobi*,*wallet.json*
CnC-Kommunikation XOR-verschlüsselt. Hardcoded 3-byte key
Betroffene Wallets u.a. Exodus, Jaxx, Mist, Ethereum, Electrum, Electrum-LTC
Mitte
Thema (28 px)
px)
G DATA Logo
Wallet Stealer
ComboJack – Clipboard Monitor
Verbreitung E-Mail mit PDF öffnet RTF mit eingebettem HTA, das DirectX Sicherheitslücke nutzt. Wenn das gelingt laden PowerShell-Skripte ein SFX nach, das ein weiteres passwort-geschütztes SFX mit ComboJack nachlädt
Seit Feb 2018
Vorgehensweise Ersetzt Wallet-Adressen in der Zwischenablage durch eigene
Betroffene Wallets Bitcoin, Litecoin, Ethereum, Monero, Qiwi, Yandex Money, WebMoney
10
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Wallet Stealer
ComboJack – Clipboard Monitor
Wallet Kriterien
Ethereum Länge: 42; startet mit „0“
Monero Länge: 106; startet mit „4“
Bitcoin Länge: 34; startet mit „1“
Litecoin Länge: 34; startet mit „L“
Qiwi Länge: 11; startet mit „8“
WebMoney Rubel Länge: 13; startet mit „R“
WebMoney USD Länge: 13; startet mit „Z“
Yandex Money Länge: 15; startet mit „4100“
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Wallet Stealer
Jigsaw Bitcoin Stealer
Verbreitung Datei-Download
Seit April 2018
Kontext Jigsaw Ransomware
Ursprung Japan
Vorgehensweise Ändert Bitcoin-Adresse in der Zwischenablage Ersetzen durch eigene Bitcoin-AdresseGilt nur für einzelne AdressenUSP: Auswahl einer Ziel-Adresse mit ähnlichem Anfang und Ende aus 10.000Nutzt Mixer-Service um Transaktionen zu verschleiern
Betroffene Ziele Bitcoin /^1|3[1-9A-HJ-NP-Za-km-z]{26,34}$/
11
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Wallet Stealer
Evrial – Wallet Stealer und Clipboard Monitor
Verbreitung E-Mail-Kampagnen (Bewerbung), Exploit Kits auf Webseiten
Seit Jan. 2018
Kontext InfoStealer, Wallet Stealer (BTC), Document Stealer, Password Stealer
Vorgehensweise Ändern bestimmter Inhalte in der Zwischenablage Erkennung von Bitcoin-Adressen und ersetzen durch eigene (CnC-Rückfrage)
Betroffene Wallets Bitcoin, Litecoin, Monero, WebMoney, Qiwi und Steam
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Wallet Stealer
njRAT Lime Edition – Wallet Stealer und Ransomware
Verbreitung njRAT aka Bladabindi
Seit 2013
Kontext Keylogger, Password Stealer, Screenlocker, DDoS, USB-Wurm
Vorgehensweise Sucht nach Prozessnamen und Titeln von FensternErkennung von Bitcoin-Adressen Manipulation der Transaktion
Betroffene Wallets BitcoinCore, Bitcoin.com Wallet, Electrum
CnC-Kommunikation Proprietäres TCP protocol über DNS
Technische Daten Basiert auf .NET Framework
Tarnung VM Detection, Anti-AV
12
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Zugangsdaten zu Syscoin github von einem der Entwickler gestohlen
Juni 2018: Ersetzt Windows Client durch Version mit Arkei Stealer
Client ermöglicht Mining von Syscoins und Verwaltung von Syscoins
Kostet 80 $
Alternative Angriffe
Syscoin – Github Hack
Arkei Stealer
Verbreitung Datei-Download von Syscoin
Kontext InfoStealer (Passwörter, Cookies, Dateien, SystemInfo), Form Grabber, Downloader
Vorgehensweise Kopieren der Wallet-Dateien
Betroffene Wallets Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Dash, Litecoin, ElectronCahs, ZCash, MultiDoge, AnonCoin, BBQCoin, DigitalCoin, FlorinCoin, Franko, FreiCoin, GoldCoin, InfiniteCoin, IOCoin, IxCoin, MegaCoin, MinCoin, NameCoin, PrimeCoin, TerraCoin, YACoin
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
AnonCoin
BBQCoin
Bitcoin
Bitcoin Cash
Bitcoin Core
Bitcoin.com Wallet
BlackCoin
Bytecoin
Cardano
Dash
DevCoin
DigitalCoin
Dogecoin
ElectronCash
Electroneum
Wallet Stealer
Alle Targets
Electrum
ElectrumLTC
EmerCoin
Ethereum
Exodus
FlorinCoin
Franko
FreiCoin
GoldCoin
Graft
InfiniteCoin
IOCoin
IxCoin
Lisk
Litecoin
MegaCoin
MinCoin
Miota
Monero
Monero Core
MultiBitHD
MultiDoge
Namecoin
Neo
PrimeCoin
Qiwi
Qtum
ReddCoin
Ripple
Stellar
Stratis
Targets
TerraCoin
ViaCoin
Waves
WebMoney
WME, WMR
WMU, WMX
WMZ
YACoin
YaMoney
Yandex Money
ZCash
Zicash
13
Mitte
Thema (28 px)
Headline (40 px)
G DATA Logo
Total: 945
Wallet Stealer
Häufigkeitsverteilung Oktober 2018
Mitte 04၈
၈
G DATA Logo
)
)
Fazit
Agenda
14
Mitte
px)
px)
G DATA Logo
Der Milliardenmarkt Crypto-Geld ist auch in der CyberCrime-Ökonomie angekommen
Nach dem Run auf Ransomware und Crypto-Jacking sind Wallets beliebte Ziele
Professionelle Angriffe sind vielschichtig
Diese Gefahr sollte man nicht unterschätzen
Fazit
CyberCrime geht dahin, wo das Geld ist
Mitte
G DATA Logo
Vielen Dank
Diskussion
Web: www.gdata.de
Mail: [email protected]
Twitter: @rb_gdata