今年八月至今年九月,发现了一系列影响Windows系统,Linux机器和路由器的加密货币挖掘恶意软件。 从使用rootkit到MIMIKATZ,这些恶意软件变体采用了多种方法来隐藏和传播其恶意挖矿活动。
恶意软件的作者似乎在当前正在使用的无文件技术和攻击工具包的基础上,为其挖掘活动增加了新功能和复杂性,因为这些近期攻击很可能是2019年上半年发现的几起事件的延续, 使恶意的加密货币挖矿恶意软件成为主要威胁。
在此条目中,我们列举了从8月到9月检测到的一些加密货币挖掘恶意软件,并回顾了所采用的一些技术和恶意软件变体。 集装袋
从8月的最后几天到9月初,我们的蜜罐捕获了两个用于恶意挖矿的Skidmap恶意软件实例。 我们发布了有关其中一个使用pm [。] ipfswallet [。] tk / pm [。] sh域,特别是使用rootkit隐藏其恶意采矿活动的案例的报告。
如前所述,挖掘加密货币的恶意软件正在发展为更复杂的攻击,而Skidmap进一步证明了这一趋势。 Skidmap是一种Linux恶意软件,它也针对路由器。 在我们的报告中,我们注意到在Skidmap变体中使用内核模式rootkit隐藏其加密货币挖掘行为。 攻击者还可以使用这些rootkit来访问受影响的系统。 由于必须使用Skidmap根访问权限才能使该广告系列正常工作,因此它可能需要使用允许其获得此访问权限的攻击媒介。 这可能是某些漏洞利用或配置错误的形式。
从9月18日至22日,我们开始看到第二波攻击。 这次使用的是几乎完全相同的恶意软件变体(检测为Trojan.Linux.SKIDMAP.UWEJY)。 第二种情况的唯一区别在于它使用的域– pm [。] cpuminerpool [。] com。 它还使用了趋势科技检测到的与Backdoor.Linux.PAMDOR.A相同的后门组件。 后门组件是pam_unix.so的恶意版本,它是用于标准Unix身份验证的模块。 恶意版本将接受任何用户的特定密码,包括攻击背后的恶意行为者。 Bulehero
8月初,我们还遇到了来自cb [。] fuckingmy [。] life域的恶意软件,该恶意软件被确认为Bulehero变体,被检测为Trojan.Win32.BLUEROH.RPG。 Bulehero利用了多个漏洞,包括ThinkPHP,Tomcat(CVE-2017-12615)和Weblogic中的漏洞,以便传播到其他系统。
对于横向移动,该恶意软件丢弃了MIMIKATZ组件,该组件用于收集用户凭据,以便访问系统并将其转换为Monero挖掘节点,就像在其他加密货币挖掘活动中一样。 开源工具对于恶意加密货币挖矿活动并不陌生。 我们还看到它与Radmin结合使用,可以通过Windows SMB服务器漏洞MS17-010进行感染和传播。
Talos报告了类似的9月Bulehero案,他们与一个名为Panda的网络组织有关。 最近,我们在10月初看到了Bulehero的进一步活动。 幽灵矿工
几乎在检测到上述情况的同时,我们发布了有关GhostMiner变体的报告,该变体是一种加密货币挖掘恶意软件,因其使用Windows管理规范(WMI)对象以及其他功能的无文件持久性而著称。 还观察到报告的GhostMiner变体修改了其他加密货币挖掘恶意软件Bulehero所使用的特定感染主机文件。 防御加密货币挖矿恶意软件
正如这些攻击所表明的那样,恶意加密货币挖掘恶意软件背后的作者一直在积极地努力改善其活动,采用了可能阻碍快速检测此类活动的新技术。 为了使系统和物联网设备不会因恶意的加密货币挖矿活动而失去力量和价值,用户必须意识到这种迅速发展的威胁中的新攻击和趋势。 当涉及加密货币挖掘恶意软件时,漏洞也是一个认真考虑的问题。 如上所述,正确的利用方式可以证明Bulehero,Skidmap和其他类似活动的成功。
用户和集成商应始终采用最佳实践来防御恶意的加密货币挖矿活动。 以下是其中一些: 应用网络分段。 将网络分成多个部分可以帮助防止和最大程度地减少网络攻击的影响。 这对于大型企业网络特别有用。 修补程序一经发布,便立即更新并应用。 关于任何网络的安全性,一个基本规则是应用更新和补丁。 这样可以防止漏洞利用并提高网络的整体安全性。 如果某些设备和旧系统无法做到这一点,则虚拟补丁也是可行的选择。 安全地配置和设置设备。 确保每个设备和系统的设置和凭据都针对强大的安全性,以避免意外的在线暴露和暴力攻击。
由XGen™安全性提供支持的趋势科技解决方案,例如用于Linux的ServerProtect和趋势科技网络防御,可以检测相关的恶意文件和URL,并保护用户的系统。 具有行为监控功能的趋势科技云安全智能防护套件和趋势科技企业安全无忧版可通过检测恶意文件,阻止与恶意活动相关的行为和例行程序以及阻止所有相关的恶意软件来另外防御这些类型的威胁 网址。
Trend Micro Deep Discovery Inspector通过以下DDI规则分别保护客户免受Skidmap和Bulehero威胁: 2573:矿工-TCP(请求) 4245:PHPSTUDY-HTTP(请求)
妥协指标(IoC) SHA256 检测 00b1212cf55999fa8cea8a1a787566b4d99dc81b2fe596fd61964791f273b2ce 木马Win32.BLUEROH.RPG 56acceebf74b371ee692697e6c1deaa9c8e4bcb5b4f89c4a1b7cca895f7b7e4e 木马Linux.SKIDMAP.UWEJY 81de9fc33ab05928f9abca627435b3fa40a3470e01dc435dddae0e7bec640274 Trojan.SH.SKIDMAP.UWEJY d50fd8996435b4e8d74ab824ba4c3cf4e54558dd4fd5da9abe3269ea82a1eda2 后门Linux.PAMDOR.A 恶意网址 pm [。] cpuminerpool [。] com hxxp:// pm [。] cpuminerpool [。] com / pc hxxp:// pm [。] cpuminerpool [。] com / pm [。] sh hxxp:// pm [。] cpuminerpool [。] com / miner2 hxxp:// cb [。] fuckingmy [。] life / download [。] exe hxxp:// cb [。] fuckingmy [。] life / hxxp:// li [。] bulehero2019 [。] club:63145 / cfg [。] ini hxxp:// bk [。] oiwcvbnc2e [。] stream:63145 / cfg [。] ini hxxp:// bk [。] kingminer.club:63145/cfg [。] ini hxxp:// bk [。] heroherohero [。] in:63145 / cfg [。] ini mi [。] oops [。]最佳:35791 mx [。] oops [。]最佳:35789 rp [。] oiwcvbnc2e [。] stream 0x [。] un5t48l3 [。]主机 darksoul [。] un5t48l3 [。]主机 185 [。] 250 [。] 240 [。] 236
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
