报告:研究人员发现用于挖矿Monero的新型加密货币劫持恶意软件
Varonis是一家数据安全和分析公司,它发现了新的加密货币劫持恶意软件,劫持受害者的计算机资源以挖矿monero(XMR),以及一个神秘的网络外壳,同时调查客户端密码感染的原因。根据2019年8月14日的博客文章,在检测到的恶意软件中,值得注意的是Norman,一种使用逃避技术伪装自己的隐形Monero加密货币攻击漏洞利用程序。
Cryptomining Malware瘫痪服务器和工作站
根据博客文章,在对其中一个客户的系统进行密码感染调查时,Varonis研究小组发现几乎所有受害者的服务器和工作站都被新的密码恶意软件劫持,导致系统速度降低和不稳定应用。
研究人员决定使用Varonis数据安全平台对公司的服务器和工作站进行手动扫描,他们还发现了大规模的恶意软件,这些恶意软件主要是密码系统的通用变种,以及密码暴跌工具,PHP shell等等。
恶意软件依赖于DuckDNS
该团队透露,大多数恶意软件都依赖于DuckDNS,这是一种动态DNS服务,由网络攻击用于命令和控制(C&C)通信,用于检索配置设置或发送消息。
然而,由于其能够逃避检测,一些名为Norman的恶意软件从人群中脱颖而出。
Varonis说Norman是一个基于XMRig的密码系统,它有三个主要的部署阶段:执行,注入和挖矿阶段。
在执行阶段,它采用Nullsoft Scriptable Install System(NSIS),这是一个开源脚本驱动工具,也用于创建Windows安装程序。
相反,Norman在注入阶段将有效负载注入NSIS脚本文件(svchosts.exe),然后选择不同的执行路径来启动各种进程,具体取决于它是在32位还是64位Windows操作系统上运行。
关于Norman的另一个有趣的事情是它能够无缝地调整图像和产品名称,这些名称与原始PHP图标和Microsoft©.Net Framework等合法的名称同义,以逃避检测。
对Norman的进一步调查显示,它必须来自法国或其他法语国家,因为该行为背后的网络犯罪行为者使用法语的WinRAR文件来创建SFX文件。
类似地,一些代码的变量和函数是用法语编写的,这导致了Varonis对网络攻击起源的结论。
重要的是,已建议公司保持其软件和操作系统更新,监控异常数据访问,使用防火墙或代理来检查网络流量。
在相关新闻中,BTCManager于2019年2月7日通知了一个针对Linux和IoT设备的加密货币劫持恶意软件,以挖矿XMR。