最新研究强调,自加密本币售价在2017年出现下跌以来,越来越多的犯罪分子将它们的留意力转向了加密数字本币,因而催生了许多的蓄意硬件、利用不知情的企业和用户估算资源来为自己违法逃税。
来自试验室的安全研究人员近期就发觉了这么一款被称为“”的新型加密本币挖矿蓄意硬件,该蓄意硬件选用了其他蓄意硬件家族所使用的最有效的技术,包括无文件()传染防御。
何谓“文件防御()”,其本质思想即防御者希望蓄意硬件尽或许保持隐身来提高他们被测量到的机率,因此就该对受传染系统进行最少次数的干扰,以及在系统中留下最少的痕迹。蓄意硬件保持不被发觉的时间越长,他们就越有或许实现其防御目标。
然而,无文件蓄意硬件就该删掉它在受传染系统硬盘中保存的所有文件,在注册表中保存加密数据,注入代码到正在运行的进程,并使用、和其他技术使其无法被测量到。
此外,该新型挖矿硬件主要针对加密本币,它使用了应对框架——Out-和-n,通过无文件技术来掩藏其蓄意代码。
该蓄意硬件的每位组件都被设计适于不同的目的:一个脚本适于确保将蓄意硬件传播到新机器,另一个适于执行实际的挖矿操作。
Labs的两名研究人员Asaf和Gal透漏称:“这种应对方式在跨过许多安全工具方面疗效十分明显:我们剖析的部份该蓄意硬件的有效荷载完全未被所有安全厂家发觉。”
安全研究人员对比了使用和不适用无文件方式的蓄意可执行文件的测量结果,并发觉即便无文件模块被移除,大多数供应商都才能成功地测量出很多有效荷载。
研究人员剖析后发觉,负责传染新设备的脚本主要针对运行(运用CVE-2017-10271漏洞)、MSSQL和的服务器。
不过,研究人员也表示,这次防御也是企图借助了服务器。在针对服务器的防御中,蓄意代码会通过随机扫描IP地址,每秒争创大量新的TCP连结,企图找到易受防御的目标设备。
通过基于编码的恳求和回复挖矿app,就可以执行与命令和控制(C&C)服务器的通讯。该蓄意硬件拿来交换消息的合同牵涉一个简略的握手,于是是执行各式任务的恳求。即便任务完成,一个新的恳求都会被发送到服务器。
该挖矿组件是开源XMRig矿工(高功耗的门罗币CPU矿工)的轻量订制版本,才能从显存中直接启动。
Labs研究人员表示挖矿app,在我们发觉该蓄意硬件之时,其挖矿活动早已运行了大概3个礼拜,并且依照追踪到的加密本币皮夹发觉,防御者到现在为止只获取了1.03个(约合200欧元)。虽然,防御者还在使用研究人员未能发觉的加密本币皮夹地址来获取利润。
“
挖矿活动利润较低的另一个潜在成因是采矿活动的竞争愈发激烈。潜在的被害者人数确实太多,而且它们使用的防御和技术都是公开的,防御者意识到它们的竞争对手共享相似的工具集,并尝试传染相似的易受防御的目标设备。
研究人员表示,被剖析的蓄意硬件样本中还包含各类技术,可以结束目标设备上运行的任何其它蓄意挖矿进程。在的编码中,有一份选用硬编码的黑名单,通过exe文件格式将开发人员所知晓的一些其他挖矿蓄意硬件纳入黑名单中,之后通过使用的“Stop--force”命令行参数来中止和删掉在目标设备上运行的其他挖矿程序。
最后,Labs安全研究人员建议称,攻击者可以使用与那些“竞争对手杀手”类似的方式来避免蓄意挖矿程序在终端上运行。它们并且提供了一个杀手脚本,可以因此目的进行更改。
