ক্রিপ্টোকারেন্সি মাইনিং নমুনা বিশ্লেষণ

ক্রিপ্টো-কারেন্সি মাইনিং একটি প্রক্রিয়া যা ক্রিপ্টোকারেন্সির বিভিন্ন ধরনের লেনদেন যাচাই করা হয় এবং ব্লক চেইন ডিজিটাল অ্যাকাউন্টের যোগ করা হয়। প্রতিটি ক্রিপ্টো-কারেন্সি  লেনদেন করার সময় , লেনদেন তথ্যটির সত্যতা নিশ্চিত করার জন্য  এবং লেনদেনের সাথে জড়িত ব্লকচেইন লেজার  আপডেট করার জন্য একটি ক্রিপ্টোকারেন্সি মাইনিং প্রক্রিয়া শুরু হয় । এই  প্রক্রিয়া সম্পন্ন করতে জটিল গাণিতিক সমস্যা সমাধান করতে হয়, এই গাণিতিক সমস্যা সমাধানের সাথে জড়িত বাক্তি বা কম্পিউটারকে সাধারনত মাইনার বলা হয়। এই গাণিতিক সমস্যা প্রথম যে সমাধান করতে পারবে সে বিজয়ী হিসেবে কিছু ক্রিপ্টোকারেন্সি পাবে (কমিশন পাবে)।

Image source : https://sensorstechforum.com/

একটি সফল ক্রিপ্টো-কারেন্সি  মাইনিং এর জন্য একজন মাইনারকে অন্য ক্রিপ্টোমাইনারদের সাথে প্রতিদ্বন্দ্বিতা করতে হয় ও দ্রুত সমাধানের জন্য অনেক কম্পিউটিং রিসোর্সের প্রয়োজন হয়ে থাকে। যেহেতু এই ধরনের ক্রিপ্টোকারেন্সি মাইনিং করতে প্রচুর কম্পিউটিং প্রসেসিং দরকার হয় তাই সাইবার অপরাধীরা ক্রিপ্টোমাইনিং ম্যালওয়্যার দিয়ে সাধারন কম্পিউটারের ব্যবহারকারীদের কম্পিউটারকে আক্রান্ত করে সেই আক্রান্ত কম্পিউটারের প্রসেসিং ক্ষমতা ব্যবহার করে থাকে।

সাধারনত সাইবার অপরাধীরা নিচের যেকোনো পদ্ধতি ব্যবহার করে সাধারন কম্পিউটারের ব্যবহারকারীদের কম্পিউটারকে আক্রান্ত করে থাকতে পারে, যেমন:

১) অবিশ্বস্ত / জাল ডাউনলোড পোর্টাল থেকে সফটওয়্যার ডাউনলোডের মাধ্যমে।

২) স্প্যাম প্রচারণা / ফিশিং ইমেইল  এর মাধ্যমে । কম্পিউটার ব্যবহারকারীকে তাদের প্রেরিত ফিশিং ইমেইল এ ডকুমেন্ট  ফাইল  ওপেন অথবা লিংক এ ক্লিক করতে প্ররোচিত করবার মাধ্যমে।

৩) আক্রান্ত ওয়েব সাইট  ভিজিট করাবার মাধ্যমে।

সাইবার সচেতনতা  বৃদ্ধির  লক্ষে এই প্রবন্ধটি তৈরি করা হয়েছে।  এই প্রবন্ধে, দুইটি ক্রিপ্টোকারেন্সি মাইনিং ম্যালওয়্যার নমুনা বিশ্লেষণ করা হয়েছে।নমুনা দুটি BGD e-GOV CIRT তার trusted source থেকে সংগ্রহ করেছে।

বিশ্লেষণ-১

নমুনা ফাইল নামঃ window.exe

MD5: d14888fa2e40a0ebef641233a972c6f1

SHA-1: 42c2805bfbd78e651b6b9ba9bdba5ed33b57318f

সাধারণত সাইবার অপরাধীরা ফিশিং ইমেইলে ডকুমেন্ট ফাইল অথবা লিংক প্রেরন করে, সেই ডকুমেন্ট ফাইলটি ক্ষতিকারক ম্যাক্রোকোড দ্বারা সংযুক্ত থাকে। যদি এই ফাইলটি ওপেন তবে  powershell বা vbs script  চালু হতে পারে , যা সাইবার অপরাধীর নিয়ন্ত্রিত সার্ভার এর সাথে যুক্ত হয়ে,  ম্যালওয়্যার ফাইল ডাউনলোড হয় ও কম্পিউটার ব্যবহারকারীর অজান্তে চালু হয়ে যেতে পারে।

সাধারণত ক্রিপ্টোকারেন্সি মাইনিং ম্যালওয়্যার অন্যান্য ম্যালওয়্যারের মত আক্রান্ত কম্পিউটারের তথ্য ক্ষতিগ্রস্ত করে না, কিন্তু এটি  আক্রান্ত কম্পিউটারের প্রসেসিং ক্ষমতা ব্যবহার করে ফলে কম্পিউটারের পারফরম্যান্স অনেক ধীরগতি হিসেবে অনুভূত হয়।

১) আমাদের বিশ্লেষিত নমুনা window.exe  চালু করবার সাথে সাথে আক্রান্ত কম্পিউটারের প্রসেসিং ক্ষমতা ১০০ % পর্যন্ত ব্যবহার করতে থাকে।

২) আক্রান্ত কম্পিউটারটি সম্ভবত একটি মাইনিং পুলের সাথে যোগাযোগ করে।

৩) ক্রিপ্টোকারেন্সি মাইনিং এর জন্য আক্রান্ত কম্পিউটারের সাথে মাইনিং পুল ডেটা আদান প্রদান

“jsonrpc”:”2.0″ = JSON-RPC প্রটোকল যা নেটওয়ার্ক সকেট বা HTTP এর মাধ্যমে সহজ ভাবে ডেটা আদান-প্রদান করবার জন্য ব্যবহার করা যেতে পারে। Params = প্যারামিটারjob_id = মাইনার ও সার্ভার মাঝে ফলাফল এর ইন্ডেক্সিং  algo:cn = CryptoNight, যা proof-of-work অ্যালগরিদম হিসেবে ব্যবহৃত হয়।

বিশ্লেষণ-২

ব্রাউজার ভিত্তিক ক্রিপ্টোকারেন্সি মাইনিংঃ একটি ক্রিপ্টোকারেন্সি মাইনিং পদ্ধতি যা জাভা স্ক্রিপ্টের সাহায্যে ব্রাউজার দ্বারা এক্সিকিউট হয়ে , ওয়েব ব্যবহারকারীর কম্পিউটারের প্রসেসিং ক্ষমতা ব্যবহার করে  থাকে।

এই ক্ষেত্রে আমারা ক্রিপ্টোকারেন্সি মাইনিং স্ক্রিপ্ট দ্বারা আক্রান্ত একটি ওয়েব সাইট  ভিজিট  করব।

১) যদি কোনও ওয়েব  ব্যবহারকারী  আক্রান্ত ওয়েব  সাইটটি ব্রাউজ করেন, তবে ব্যবহারকারীকে একটি পপ আপ দেখায় ও একটি স্ক্রিপ্ট চালানোর অনুমতি চাইতে পারে।

২) আক্রান্ত ওয়েব  সাইটটির হোমপেজের  সোর্স কোড দেখে আমরা একটি সন্দেহজনক জাভা  স্ক্রিপ্ট খুঁজে পাই

৩) সন্দেহজনক ওয়েব সাইটটি ভিজিট করবার পর আমারা একটি এনক্রিপ্ট কোড দেখতে পাই

৪) স্ক্রিপ্ট বোঝার জন্য, আমারা ডিকোড করার চেষ্টা করি এবং  আংশিক ডিস্ক্রিপটেড কোড খুঁজে পাই  যেমন,

এই জাভা স্ক্রিপ্ট বিভিন্ন ধরনের রেগুলার এক্সপ্রেশন এবং RC4 এনক্রিপশন অ্যালগোরিদম ব্যবহার করেছে।

৫) রিয়েল টাইম  বিশ্লেষণের জন্য  আমারা আক্রান্ত ওয়েব  সাইটটি ব্রাউজ করি ও জাভা স্ক্রিপ্টটি কার্যকর হতে দেই এবং লক্ষ্য করি যে এটি কম্পিউটারের প্রসেসিং ক্ষমতা ১০০ % পর্যন্ত ব্যবহার করতে পারে।

৬) আমারা এই স্ক্রিপ্টটি ব্যবহার এর সময় নিন্মক্ত নেটওয়ার্ক যোগাযোগ দেখতে পাই

৭) আমারা আরও বিশ্লেষণ থেকে বুঝতে পারি এই জাভা স্ক্রিপ্টটি একটি Monero জাভাস্ক্রিপ্ট ওয়েব মাইনার। কারণ coinimp ডকুমেন্টেশন থেকে আমরা একই  ধরনের স্ক্রিপ্ট দেখতে পাই।

সাইবার আক্রমণকারীরা  ক্রমাগত  নতুন নতুন উপায় খুঁজে বের করার চেষ্টা করছে যা বিভিন্ন  payloads এর সাহায্যে ভিকটিম কম্পিউটারকে সংক্রমিত করতে চেষ্টা করে যাচ্ছে। আপনার সিস্টেমে প্রতিষ্ঠিত (renowned ) অ্যান্টি-ভাইরাস ব্যবহার করুন ও সবসময় অ্যান্টি-ভাইরাস ও সিস্টেম হালনাগাদ করুন। অযাচিত বা সন্দেহজনক লিঙ্ক ও ফাইল এ ক্লিক করবেন না বা ডাউনলোড করবেন না । নিরাপত্তার সাথে ইন্টারনেট ব্রাউজ করুন।

 

—————————————-

দেবাশীষ পাল,

ইনফরমেশন সিকিউরিটি স্পেশালিষ্ট,

বিজিডি ই-গভ সার্ট