Cryptominer诺曼使用复杂的技术来避免发现

Varonis的研究人员发布了一个新的密码学家变体的信息，该团队称之为“诺曼”，它使用各种技术来隐藏和避免发现。

Norman是在调查持续的加密货币感染时发现的，这种感染几乎蔓延到一家中型公司的每台设备上。

几乎每个企业的服务器和工作站都受到感染，自从一年前发生的初始感染以来，变种和受感染设备的数量都在增长。大多数恶意软件变种都依赖于DuckDNS（一种免费的动态DNS服务）。有些人需要它来进行命令和控制通信，而其他人则使用它来提取配置设置或发送更新。

Norman是一个基于XMRig的密码系统，是Monero加密的高性能挖矿器。乍一看，恶意软件似乎是通用的挖矿恶意软件，将自己隐藏为'svchost.exe'。然而，恶意软件使用的技术被证明更有趣，其部署分为三个阶段：执行，注入和挖矿。一旦运行，恶意软件旨在通过在用户打开任务管理器时终止矿工来避免检测，从而难以发现其进程。

在调查期间，Varonis的取证专家还发现了一个神秘的PHP shell发送到命令和控制服务器。更仔细的调查表明，它对其发送和接收的命令和输出使用加密货币。研究人员没有发现将密码器连接到交互式PHP shell的明确证据。然而，他们有充分的理由相信他们来自同一个威胁演员。

安全研究员Eric Sagara在Varonis博客上写道：“调查开始于我们的数据安全平台评估，该平台迅速针对异常网络活动以及相关的异常文件活动提出了几个可疑的网络相关警报。” “客户很快意识到Varonis平台标记的设备属于报告最近不稳定应用和网络速度下跌的相同用户。”

保护您的机器不受诺曼征服影响的提示包括确保软件保持最新并监控网络流量和异常数据访问。

您可以在Varonis博客上更好地了解Norman。

图片来源：FabreGov / Shutterstock