Miguel Ang,Byron Gelera和Michael Villanueva 随着勒索软件的持续下降,加密货币挖矿恶意软件似乎已成为取代威胁的威胁之一 受欢迎。 除了加密货币与现实世界的联系日益紧密之外,加密货币挖掘恶意软件的一个秘密就是隐身性,它可以无限期地保持未被检测到的系统。
事实上,当今许多挖掘恶意软件通过将计算机作为无文件威胁进行感染,进一步扩大了恶意软件的使用范围。 无文件攻击使攻击者可以将恶意软件隐藏在内存中,从而使分析和取证变得困难。
我们最近在2月发现了一种无文件的加密货币挖掘恶意软件(Fileless-DASKUS)变体,该变体使用PowerShell(PS)执行其例程。 与2017年8月发现的TROJ64_COINMINER.QO不同,此特定的挖掘恶意软件不使用Windows Management Instrumentation(WMI)。 相反,它使用了我们在其他已建立的无文件恶意软件(例如KOVTER和ANDROM)中看到的注册表技术。
下图显示了挖矿恶意软件的感染链:
与KOVTER和ANDROM相比,恶意软件例程的注册表技术总结如下:< br
该恶意软件来自一个恶意脚本(Coinminer_MALXMR.DB-PS),该脚本创建了三个加密注册表,其中还包括它们的解密例程,用于进程注入的PS反射便携式可执行(PE)加载程序以及实际的恶意程序 代码。
要执行实际的有效负载,初始脚本将创建服务,该服务将解密包含其他注册表的解密代码的第一个注册表。 然后使用解密的反射式PE加载器将实际的挖矿机加载到内存中。
但是,应该指出的是,此变体会寻找coinminer恶意软件的配置文件; 因此,它并非完全没有文件。
除了我们在2月份发现的恶意软件外,我们还遇到了一个变体,该变体对其代码进行了一些更改,使其完全无文件:在这种情况下,该配置在解密和执行后即集成到其命令行中。
从我们看到的这台矿机来看,它似乎正在使用一种较旧的无文件感染技术,这也许表明作者正在寻找过去寻找更有效的传播恶意软件的方法。
防御无文件恶意软件
尽管很难检测到无文件恶意软件,但我们仍建议用户和组织都实施防火墙和其他解决方案,以监视入站和出站网络流量,以防止无文件恶意软件感染端点。
此外,考虑到在这种情况下使用PowerShell,请考虑遵循适当的实施措施。 如果绝对必要,也可以考虑禁用PowerShell本身。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
