一家安全公司发现,尽管安装了行业标准的防病毒软件,但XMRig加密货币矿工恶意软件仍在欧洲国际机场一半以上的工作站中运行。 报道称,赛博比特发现了该活动-由Zscaler在2018年8月发现的Anti-CoinMiner恶意软件-在后台运行,同时接受了端点产品的标准安装。 除了受影响系统的功耗增加之外,该恶意软件还没有影响机场运营。
[阅读:9月恶意加密货币挖掘攻击展示了当前的恶意软件技术和功能] 当检测到重复的端点活动时,端点检测和响应(EDR)产品的内核级代理正在经历标准的推出过程。 行为算法发现 PAExec –合法工具 PsExec 的可再发行版本–在受感染的系统中短期内多次启动应用程序 player.exe 。 它使恶意行为者具有升级的管理特权,因此可以优先考虑使用工作站资源。 在注册表中添加 PAExec 也会启用持久性,确保员工无法通过重新启动来删除恶意软件。
恶意行为者还使用了Reflective动态链接库(Reflective DLL)加载,以防止检测到恶意文件加载。 将恶意DLL远程注入进程内存而不是Windows加载器,从而绕过了硬盘驱动器,从而逃避了检测。
[阅读:Monero挖掘蠕虫感染了2,000多个不安全的Docker主机]
虽然无法确定恶意软件的交付方式,但安全研究人员证明,加密矿工恶意软件在工作站中的存在可能已经影响了机场的服务质量。 在最坏的情况下,增加的功率消耗可能会导致设施中的服务和运营中断,或者破坏网络以危害关键系统和服务机器,从而造成昂贵的物理损坏和破坏。
恶意加密货币矿工使用持久性和逃避性新技术,继续开发其武器库,以破坏关键系统和企业设施。 由于使用量增加,系统硬件降级并失去资产价值的速度比平均速度要快,因此用户应注意此类活动中的最新攻击技术。
以下是一些最佳实践,用户可以使用这些最佳实践来防御这些威胁: 应用补丁程序更新安全性和系统软件,以防止利用漏洞攻击和感染。 配置连接到企业网络的系统和设备的安全设置。 系统和网络中的安全审核应定期执行,以扫描,检测和阻止可疑活动。 安装并启用能够进行行为监控的多层保护系统,以防御已知和未知威胁。 趋势科技解决方案
采用XGen™安全技术的趋势科技解决方案,例如趋势科技网络防御,可以检测相关的恶意文件和URL,并保护用户的系统。 具有行为监控功能的趋势科技云安全智能防护套件和趋势科技企业安全无忧版可通过检测恶意文件,阻止与恶意活动相关的行为和例行程序以及阻止所有相关的恶意软件来另外防御这些类型的威胁 网址。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
