Cryptominer諾曼使用複雜的技術來避免發現
Varonis的研究人員發布了一個新的密碼學家變體的信息,該團隊稱之為「諾曼」,它使用各種技術來隱藏和避免發現。
Norman是在調查持續的加密貨幣感染時發現的,這種感染幾乎蔓延到一家中型公司的每台設備上。
幾乎每個企業的伺服器和工作站都受到感染,自從一年前發生的初始感染以來,變種和受感染設備的數量都在增長。大多數惡意軟體變種都依賴於DuckDNS(一種免費的動態DNS服務)。有些人需要它來進行命令和控制通信,而其他人則使用它來提取配置設置或發送更新。
Norman是一個基於XMRig的密碼系統,是Monero加密的高性能挖礦器。乍一看,惡意軟體似乎是通用的挖礦惡意軟體,將自己隱藏為'svchost.exe'。然而,惡意軟體使用的技術被證明更有趣,其部署分為三個階段:執行,注入和挖礦。一旦運行,惡意軟體旨在通過在用戶打開任務管理器時終止礦工來避免檢測,從而難以發現其進程。
在調查期間,Varonis的取證專家還發現了一個神秘的PHP shell發送到命令和控制伺服器。更仔細的調查表明,它對其發送和接收的命令和輸出使用加密貨幣。研究人員沒有發現將密碼器連接到互動式PHP shell的明確證據。然而,他們有充分的理由相信他們來自同一個威脅演員。
安全研究員Eric Sagara在Varonis博客上寫道:「調查開始於我們的數據安全平台評估,該平台迅速針對異常網路活動以及相關的異常文件活動提出了幾個可疑的網路相關警報。」 「客戶很快意識到Varonis平台標記的設備屬於報告最近不穩定應用和網路速度下跌的相同用戶。」
保護您的機器不受諾曼征服影響的提示包括確保軟體保持最新並監控網路流量和異常數據訪問。
您可以在Varonis博客上更好地了解Norman。
圖片來源:FabreGov / Shutterstock