El payload que puede tirar un código malicioso al infectar un sistema puede tener los más diversos objetivos; entre algunas de las acciones que nos podemos encontrar se encuentran los Bitcoin Miners. Los cibercriminales buscan aprovecharse de los recursos de los sistemas que infectan y así tomar el control, robar información, o como veremos en este post, minar ciertas monedas criptográficas para generarle una ganancia al atacante.
El archivo malicioso que vamos a analizar es detectado por los productos de ESET como una variante de Win32/CoinMiner.LV y utiliza diferentes técnicas para evitar ser analizado, como así también evitar ejecutarse en entornos virtuales. Cuando comenzamos el análisis de esta amenaza en un desensamblador como IDA Pro, nos encontramos con diferentes comprobaciones para saber si estaba siendo analizado con un debugger:
Entre las técnicas que nos encontramos están la llamada a IsDebuggerPresent,CheckRemoteDebuggerPresent y la comprobación de PEB (Process Environment Block) del proceso para ver si estaba habilitado el flag de debug. Luego de pasar las comprobaciones, el malware pasa a la sección principal, donde busca tres recursos diferentes que se encuentran en la sección.rsrsc:
De la imagen anterior podemos ver que existen los recursos RT_RCDATA 0, 1 y 2 que son cargados antes de realizar cualquier otra acción al cargar la segunda parte de este código malicioso:
Más adelante, vimos que utilizaba estos recursos repetidamente a lo largo de su ejecución; luego de analizar el binario vimos que cada uno de ellos se convertía en:
- Resource “0”: contiene la URL del pool al que se va a conectar el miner. El contenido está cifrado
- Resource “1”: contiene la clave de cifrado para descifrar los otros dos resources
- Resource “2”: es el más grande y contiene un archivo ejecutable cifrado
Para descifrar los recursos que están cifrados dentro del ejecutable utiliza la función con el siguiente prototipo para descifrar los recursos:
int descifrarRes(void* cifrado, void* clave, int size_clave, void* buffer)
El mismo está compuesto por algunas comprobaciones y dos xor:
En forma simplificada, cada caracter descifrado se obtiene de la siguiente forma:
descifrada[i] = clave[i] XOR cifrada[(size_cifrada – 1) – 32 + (i mod 32)] XOR cifrada[i]
Es decir que en primera instancia se va tomando cada byte de la clave y se le aplica una operación de XOR. Para el segundo operando se toman los últimos 32 bytes del texto cifrado, también de a uno por vez. Cuando se pasa del final, se vuelve al comienzo del intervalo (por ello se toma el resto de la división por 32). Y luego se aplica el segundo XOR, con cada byte de la cadena cifrada, pero esta vez desde el comienzo.
Así, el resource “0” se vuelve visible:
“-a scrypt -o stratum+tcp://eu.ltcrabbit.com:3333 -u YouMother92.Miner -p x -g no -t 2”
Vemos que son los parámetros para la ejecución de un miner que se conecta a ltcrabbit.com(Litecoins) con el usuario “YouMother92.Miner” y contraseña “x”. También vemos que el algoritmo usado es scrypt, aunque el sitio también ofrece la alternativa de X11. Si bien X11 puede llegar a ser más rápido, requiere el uso intensivo de GPU. No pudiendo garantizar que la máquina infectada posea GPU, entendemos la elección de los cibercriminales de usar scrypt.
Luego se aplica la misma rutina de descifrado al resource “2”. Sin embargo, esto devuelve un contenido que tiene una capa más de cifrado, para lo cual se invoca a otra subrutina. Vemos la estructura de esta segunda función de descifrado en la siguiente imagen:
Luego del descifrado, queda un ejecutable en memoria que podemos volcar. El archivo resultante tiene SHA-1 igual a 5f3d01baa567d8b5e32ae933f94472d1d40aaf0e. Que no es más ni menos que una aplicación para minar Bitcoins, o Litecoins este caso. Así, y con lo que hemos visto hasta el momento, podemos suponer que el malware va a ejecutar un cliente de mining, con los parámetros y la URL que se descifraron previamente.
Sin embargo, el ejecutable que ha sido descifrado en memoria no será escrito al disco, sino que será inyectado en la imagen de otro proceso, a través de la técnica conocida como Process Replacement. Para ello, la siguiente acción que realiza el malware consiste en buscar y ejecutar “C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe”.
A continuación la imagen del respectivo CreateProcess:
Se observa cómo se lanza una aplicación no maliciosa (vbc.exe, el compilador de Microsoft Visual Basic) con los argumentos que vimos antes. En la misma rutina que se invoca CreateProcesstambién se llama a NtUnmapViewofSection, WriteProcessMemory y ResumeThread, con lo cual se remplaza la imagen de vbc.exe con el miner que se descifró en memoria. Esa rutina tiene una disposición lineal, y en la siguiente imagen mostramos una parte:
Luego de esto, el miner queda trabajando bajo el nombre de vbc.exe, mientras que el malware entra en un bucle de comprobación de procesos de análisis.
Así, cada segundo se itera por los procesos que están en memoria, buscando los que se observan en la imagen anterior. Si alguno de ellos es encontrado (es decir, si alguno de ellos está siendo ejecutado) se termina la ejecución, evitando así que se estudie el programa malicioso o el usuario se dé cuenta de que alguien está minando Litecoins con su sistema sin su permiso.
Por otro lado, resulta curioso que en la lista no aparezcan aplicaciones de monitoreo de tráfico de red, tal como Wireshark. De hecho, si capturamos el tráfico en la máquina infectada, vemos la comunicación con el servidor:
Esta familia de malware es normalmente distribuida por otros códigos maliciosos, que además de robar información utilizan este tipo de acciones para generar otro tipo de ganancia a los atacantes. Por otro lado, en este post vimos algunas técnicas que los cibercriminales suelen utilizar para ocultar diferentes amenazas dentro de un mismo código malicioso, ya sea utilizando una imagen osimplemente ocultándolos en los recursos del programa.
El drama del origen de las bitcoins finalmente ha dado giro inesperado. Hace un par de días el académico australiano Craig Wright salió a la luz pública para afirmar que él era el hombre detrás del alias de Satoshi Nakamoto y por lo tanto el creador y padre fundador de la criptodivisa “BitCoin”. La BBC, The Economist y muchos otros medios internacionales y Españoles lo publicaron en primera línea, pero ha resultado ser completamente falso. Un engaño, una farsa, un timo. Y no es la primera vez, es la segunda vez que lo intenta.
Leer mas …. 
No quiero ser la cara pública de nada. Hubiera preferido no revelar mi identidad. Simplemente quiero seguir haciendo lo que hago y trabar en lo que trabajo. No busco dinero ni fama ni adoración. Solo que me dejen tranquilo”. Yo fui el principal creador pero otros me ayudaron”.
Así, y tras años de especulación, el millonario informático y empresario Craig Wright revelaba al mundo este lunes que él era el alter ego tras Satoshi Nakamoto, pseudónimo con el que hasta hoy era conocido el misterioso creador de la polémica moneda virtual Bitcoin.
La revelación no era menor, considerando que la moneda virtual es utilizada habitualmente en transacciones ilegales, y que el nombre de Nakamoto posee el equivalente a 450 millones de dólares, pero en Bitcoins.
Para respaldar su versión, Craig Wright adjuntaba una serie de pruebas que sólo alguien muy cercano a los primeros desarrollos del Bitcoin podía obtener, logrando convencer incluso a personalidades como Gavin Andresen, de la Bitcoin Foundation.
Craig Wright, un empresario y científico computacional australiano, afirma que él es Satoshi Nakamoto, el alias del creador de la moneda digital bitcoin.
La revelación pondría fin a años de especulación sobre la persona que se ideó el sistema de la moneda digital.
Wright ofreció pruebas técnicas para respaldar su declaración a tres medios: la BBC y la revistas The Economist y GQ.
Bitcoin, ¿moneda del futuro o fracaso rotundo?
Destacados miembros de la comunidad bitcoin y el equipo medular que desarrolló el sistema han confirmado la aseveración de Wright.
No obstante, algunos escépticos insisten en tener más pruebas de identidad para quedar convencidos.
Claves criptográficas
En su reunión con la BBC, Wright firmó mensajes digitalmente usando claves criptográficas que fueron creadas durante las primeras etapas de la creación del bitcoin.
La claves están inextricablemente vinculadas a bloques de bitcoins que se sabe fueron creados o “minados” por Satoshi Nakamoto, el nombre con que se identificaba el creador de la moneda.
Por David Sarabia
Ciudad de México, 18 de abril (SinEmbargo/Diario.es).– Satoshi Nakamoto nació el 5 de abril de 1975. Probablemente lo hiciera en Japón, pero no hay una versión que confirme el dato. Es considerado por muchos como un genio, aunque el gobierno de Estados Unidos no lo tiene en tanta estima. Lógico por otra parte si eres el creador de una moneda alternativa difícilmente rastreable y cuyo funcionamiento se basa exclusivamente en la Ley de la oferta y la demanda, sin bancos de por medio. Tiene 41 años y hace ocho que creó bitcoin. También está nominado al Premio Nobel de Economía. Un premio que nunca recibirá, por otra parte, ya que este japonés no existe ni existió jamás.
Satoshi Nakamoto es un alias. Es el nombre elegido por el o los creadores de bitcoin para firmar el manifiesto fundacional que apareció en 2008. Pero la incertidumbre podría disiparse pronto. El Financial Times publicó hace unos días que el experto en ciberseguridad Craig Steven Wright preparaba una gran revelación próximamente. Un “milagro criptográfico” que le permitirá demostrar que él es Satoshi Nakamoto, padre y fundador de bitcoin junto a Dave Kleiman, el experto en informática que falleció en 2013.
No es un loco que dice ser la hija perdida del zar Nicolás. El nombre de Craig Steven Wright comenzó a sonar fuerte cuando, el pasado diciembre, la policía australiana registró su casa con una orden emitida por la Oficina Australiana de Impuestos. Casualmente, pocas horas antes los portales tecnológicos Wired y Gizmodo habían publicado sendas informaciones que señalaban al australiano como ideólogo y creador de bitcoin con base en una serie de correos y entrevistas. La policía aseguró que en casa de Wright había “una instalación importante de ordenadores” que recibían potencia extra de unos generadores externos.
¿Qué es eso de bitcoin? ¿Cómo es que puede existir una moneda en donde no hay un banco central? ¿Cuánto vale un bitcoin? ¿Cómo se calcula? ¿Cómo se compran bitcoins? Estas y otras muchas preguntas sobre este tema son ahora parte de un curso de Bitcoin que se da en la Universidad de Princeton. Fue inicialmente dado por Arvind Narayanan y Joe Bonneau en el 2014, pero debido a la popularidad del mismo, se abrió a una audiencia más amplia, empezando en febrero del 2015, es decir, hace un año. Con videoclases presentadas por los dos profesores mencionados y Edward Felten, también de Princeton, junto con Andrew Miller, de la Universidad de Maryland. Este curso finalmente se pasó a la plataforma Coursera en septiembre del 2015.
De acuerdo a Arvind Narayanan, el curso en Coursera, el cual es la versión de un libro de texto escrito sobre el tema, tuvo ya unos 30,000 estudiantes. El libro se ha usado en otras clases, incluyendo el curso que se da en Stanford por Dan Boneh y Balaji S. Srinivasan. Esto fue todo un éxito y por ende Narayaman y amigos se decidieron a ofrecer una versión revisada, específicamente, integrarán las tareas de programación desarrolladas en el curso de Stanford con el que ellos tienen, desde luego con el permiso de Boneh.
Esto sin duda es un interesante apéndice ya que los ejercicios de programación le dan la oportunidad a los estudiantes a una exploración de Bitcoin más cercana y además, los prepara para el futuro de esta tecnología del criptodinero -valga la expresión. En caso de que haya suficiente demanda para este curso, se ofrecerá en línea en el formato MOOC. El curso de Bitcoin se inició en septiembre del año pasado, pero aún está disponible en Coursera hasta el 23 de abril y tiene enlaces al libro de texto en donde cada capítulo corresponde a una clase específica.´
En 2014, Mike Hearn dejó Google para dedicarse por completo a trabajar en Bitcoin. Ya desde antes de ese cambio era uno de los desarrolladores más importantes de esta moneda digital. Ahora Hearn ha abandonado el barco de Bitcoin, y no tiene bonitas palabras sobre su futuro.
Hearn se ha despachado a gusto en un post publicado en Medium en el que ha criticado no a la moneda en sí, sino a la comunidad que la gestiona, a la que el desarrollador acusa de haberse convertido en una oligarquía financiera no muy diferente de las que existen alrededor de otras monedas. En sus propias palabras:
¿Por qué ha fallado Bitcoin? Ha fallado porque la comunidad ha fallado. Bitcoin está al borde de un colapso técnico, y por lo tanto no hay muchas razones por las que pueda considerarlo mejor que el sistema financiero actual.
El problema técnico al que Hearn apunta es el límite actual al número de transacciones simultáneas por segundo que se pueden realizar con Bitcoin. Este límite lo impone una plataforma llamada Blockchain que es como un libro de cuentas público y de libre acceso que registra los movimientos de la moneda y la hace crecer poco a poco. Para el gusto de muchos como Hearn, demasiado poco a poco.
Existen proyectos para elevar ese límite de Blockchain (el más conocido es Bitcoin XT) pero se han topado con feroces críticas por parte de la comunidad y hasta han sido objeto de ataques DDOS. Hearn se queja de que existe una fuerte censura en los foros de Bitcoin hacia cualquier crítica técnica al sistema actual. El desarrollador también advierte de que intentar rodear la limitación actual sin elevar el límite se traducirá en la inoperancia de la moneda para realizar transacciones. Simplemente para pagar algo con Bitcoins habría que esperar a que la transacción se registre en el Blockchain, lo que podría llevar horas si la saturación crece al ritmo actual.
Finalmente, Mike Hearn apunta a que la moneda virtual está sufriendo una severa concentración que traiciona su espíritu de plataforma descentralizada. Según el desarrollador, Blockchain está en manos de un puñado de mineros de bitcoin chinos. Solo dos de ellos controlan el 50% de la plataforma.
Hearn ha abandonado su puesto en Bitcoin y ha comenzado a trabajar en un nuevo proyecto surgido de Blockchain y llamado R3. El desarrollador advierte que el futuro de la moneda es incierto como poco:
Los fundamentos en los que se basaba Bitcoin se han roto, y pase lo que pase a corto plazo, el camino a largo plazo será descendente. No quiero seguir formando parte del desarrollo de Bitcoin y ya he vendido todas mis divisas.
Como alguien con experiencia en trading, las dinámicas del mercado de bitcoins son una fascinación constante. Aún es una moneda joven y el mercado, por tanto, ha gastado los últimos pocos años buscando su valor verdadero, o más bien un precio que refleje ese valor. A diferencia de, digamos, el euro cuando fue lanzado, el bitcoin es una moneda cuya emisión y oferta se modela sobre productos básicos en lugar de monedas convencionales. La oferta limitada y la creciente dificultad de la minería deberían, en función de las tasas de adopción, resultar en un camino ascendente bastante predecible en el tiempo.
Esa inestabilidad de los precios debe, por lo tanto, en teoría no durar demasiado tiempo.
Eso, por supuesto, ha sido un largo camino hasta la actualidad. Inicialmente Bitcoin vio cambios bruscos en sus precios, disparado desde menos de $ 100 a más de $ 1000 en alrededor de 4 meses antes de caer a menos de la mitad en dos semanas. Todavía hay incertidumbre en cuanto a que creó la burbuja y es probable que nunca sepamos la verdad. Siempre la he mirado como una especie de movimiento “Bunker Hunt”. A ese nivel de emisión y precio, y teniendo en cuenta los beneficios en el camino, sólo habría tomado una posición relativamente pequeña (en Wall Street o en términos de fondos de cobertura) para empujar la cosa hacia el cielo. El colapso resultante sin duda pareció un largo periodo tratando de salir.
Cualquiera que sea la razón, sin embargo, una vez que el retroceso había terminado, en alrededor de $ 200 en enero del año pasado, las cosas se han mantenido relativamente estables. Para la mayor parte de 2015, bitcoin se ubicó en una gama más o menos de 200 – 300 frente al dólar estadounidense que, aunque masiva en términos de moneda, era en realidad una gran mejora. Sin embargo, el cambio BTC / USD rompió ese rango al final del año y ahora está en torno a $ 450. Esto plantea la pregunta, ¿estamos en otro ataque de hiper-volatilidad?
La respuesta, al menos en mi opinión, que se basa en cerca de 30 años de experiencia directa en trading en mercados financieros, es no, y por una razón básica. Mientras el pico de 2013 fue un misterio en muchos sentidos, esta subida está pasando por una razón reconocible, de hecho, incluso predecible. Es una razón que está recibiendo una gran cantidad de culpa en este momento, por las caídas en los mercados bursátiles y de materias primas mundiales: China.
Para aquellos que no están familiarizados o son nuevos en Bitcoin, vale la pena señalar en este punto que la mayoría de las operaciones de Bitcoin se han originado en China desde que el gobierno se dio cuenta de la futilidad de intentar prohibir efectivamente divisas peer-to-peer, algo como tratar de prohibir internet. No hay nada nuevo en que China domine el volumen de intercambio, pero, según bitcoincharts.com, el porcentaje de operaciones contra el Yuan chino (CNY) ha estado trepando recientemente, y se sitúa en el 81% durante los últimos 30 días.
Cuando algo se comercializa principalmente contra una moneda se mueve en general en una dirección opuesta a la moneda. Todo lo demás es equivalente al oro, por ejemplo, menor comercialización a más fortaleza del dólar. En este caso el gobierno chino permite que el tipo de cambio fijo del Yuan se debilite, lo que se traduce en fuerza relativa para bitcoin. Eso es sin duda exagerado por el hecho de que los inversionistas chinos, desacostumbrados a ver cambios reales en el valor de su moneda, están intercambiando todo lo posible por algo que no puede ser devaluado por un gobierno.
El hecho de que esta subida es lógica, permite por tanto al mercado realizar una de sus principales funciones y actuar como un mecanismo de descuento adelantado. Un cierto grado de apreciación futura se construye en el precio actual, que suma al menos cierto grado de estabilidad. Además, la atención que Bitcoin ahora tiene de Wall Street y otras mesas de operaciones combinado con la posibilidad de escasez de la moneda permite al mercado comprobar cualquier repunte al alza de forma natural por simplemente atrayendo vendedores.
En resumen, pues, se trata de una apreciación de bitcoin que es perfectamente lógica y se basa en factores fundamentales. Eso hace que sea mucho más probable que se va a proceder de una manera ordenada y extremadamente improbable que será seguida por un colapso repentino. Los partidarios de la moneda digital deben esperan que ese sea el caso de aquí en adelante, dado que un precio más predecible y menos volátil es esencial para que el número de comerciantes que aceptan Bitcoin comience una vez más en aumento, y eso es lo que va a impulsar el crecimiento sostenido en el precio.
Dentro de los muchos indicadores que suelen estudiarse en la economía, el desempeño de una moneda es siempre de gran interés no solo para los expertos en el área, sino para los usuarios en general. Luego de haber despedido el año 2015, la criptomoneda creada por Satoshi Nakamoto se alza con un título que puede interpretarse como una bofetada a sus detractores y un fuerte espaldarazo a sus defensores: Bitcoin fue la moneda que mejor rendimiento tuvo en el pasado año, superando a todas sus competidoras fiduciarias.
Al no ser una moneda cuya emisión está regulada por gobiernos y/o instituciones bancarias, precisamente allí parte de su gran fortaleza, cada bitcoin emitido se revalorizó durante el año pasado en un 35% de su valor inicial; pasando de los 300$/BTC al inicio del 2015, a cerca de 430$/BTC al cerrar el año.
A excepción de Israel, Japón y Suiza; ningún otro estado pudo evitar la caída de su moneda ante el valor del Dólar de los Estados Unidos. Y aunque la moneda oficial del país norteamericano se fortaleció en una cifra cercana al 9%, sigue siendo un desempeño poco apreciable cuando se compara con el de la principal criptomoneda en el 2015.
En cuanto a los activos más usados como reserva de valor, el oro y la plata, éstos tuvieron un retroceso en el 2015 de 10% y 11% sobre el precio de cambio con el que iniciaron en enero. Nada que ver con la gran revalorización de Bitcoin antes mencionada durante el pasado año.
Uno de los eventos más esperados dentro de la industria tecnológica se llevará a cabo dentro de un par de días en la ciudad de Las Vegas. Se trata del CES, la mayor feria de tecnología a nivel mundial en la que los mayores representantes de la industria se encargan de promover las últimas innovaciones y tendencias de cada año.
El CES® (Consumer Electronics Show) es propiedad de la Asociacion de Tecnología de Consumo (CTA), una organización que se encarga, entre otra cosas, de la educación, investigación y promoción de la industria, y está conformada por aproximadamente 2200 empresas estadounidenses. El evento patrocinado por la asociación ha sido llevado a cabo durante casi 50 años, siendo uno de los mayores lugares de encuentro para las empresas más innovadoras y exitosas dentro de la industria de tecnología de consumo internacional.
Este evento ha sido determinante para esta industria debido al surgimiento y desarrollo de herramientas y tecnologías disruptivas, por lo que el CES 2016 promete ser aún más interesante que las ediciones anteriores. Esta feria se realizará desde el 6 al 9 de enero y, durante estos días, se llevarán a cabo diversas pruebas y presentaciones de productos, así como charlas y discusiones en torno a las nuevas tecnologías.
Tomando en cuenta lo anterior, Bitcoin no podría quedar fuera de este evento. Esta tecnología fue ampliamente estudiada y desarrollada durante el año pasado. Los expertos y líderes de la industria financiera incluso llegaron a la conclusión de que Bitcoin y la Blockchain tendrán un gran impacto en muchas áreas del sector financiero y en otras industrias que también podrían beneficiarse de estas tecnologías.
Por lo tanto, el evento contará con la participación de algunos representantes del ecosistema Bitcoin. Uno de estos representantes es la compañía Ledger Wallet, que estará realizando una exhibición de sus productos. Ledger es una startup francesa que se encarga del desarrollo de productos que permitan a los usuarios almacenar y manejar sus bitcoins de una manera segura. Actualmente, la empresa se encuentra desarrollando su gama de productos, entre los que se encuentran el Ledger Nano, el Ledger HW.1 y el Ledger Unplugged.
Además, en el evento también se llevará a cabo una charla acerca de la tecnología blockchain que será moderada por Michael Terpin, fundador de CoinAgenda, y contará con la participación de Charlie Lee, Director de Ingeniería de Coinbase y creador de Litecoin, y Brock Pierce, socio director de Blockchain Capital, como voceros. En esta charla, llamada Blockchain 101, Lee y Pierce hablarán acerca de la difusión de esta tecnología en los medios de comunicación y su potencial para transformar la manera en la que funcionan las transacciones financieras.
Desde sus inicios, el CES se ha caracterizado por ser un evento altamente favorecedor para las empresas emergentes dentro de la industria tecnológica, al proveerles una oportunidad excepcional para promover sus productos, servicios y proyectos. La mayor parte de los participantes de este evento afirman que es el lugar ideal para que tanto las startups como los inversionistas encuentren grandes oportunidades de negocio.
Sin duda, la participación de Ledger Wallet, Charlie Lee, Brock Pierce y Michael Terpin, como una representación de la comunidad Bitcoin en este evento, promete traer un impulso para la expansión de Bitcoin y las empresas relacionadas con esta tecnología, generando publicidad en torno a la gran diversidad de herramientas y aplicaciones que han surgido a raíz de su desarrollo.