Norman Remave Cryptominer征服网络
基于XMRIG的密码恶意软件以及使用各种技术来隐藏分析并避免发现的隐藏和避免发现,已经发现了安全公司Varonis的研究人员。
Dubbed“Norman”的变体被描述为Monero Cryptocurry的高性能矿工,具有可能的法国连接,该研究人员在评估安全公司的数据安全平台的中型公司中的研究人员已经传播到几乎每个服务器和工作站。
隐藏的感染调查开始回应异常Web活动的警报与用户报告不稳定应用程序和网络放缓的相关工作站上的相关异常文件活动。
虽然近年来非法加密货币挖掘恶意软件均下降,但威胁报告表明,在2019年上半年检测到的最常见的恶意软件中,网络犯罪分子仍然是一个受欢迎的基金会活动。
自从一年前发生的初始感染以来,研究人员表示,变种的数量和受感染的设备已经生长,大多数依赖于DuckDNS免费动态域名系统(DNS)。一些需要DuckDNS for命令和控制(C&C)通信,而其他人使用它来提取配置设置或发送更新。
研究人员说,在发现的所有加密样本中发现,Norman因其检测到逃避能力而脱颖而出。
他们说,他们说,恶意软件似乎是通用的挖掘恶意软件隐藏为“svchost.exe”,但是在分析其执行,注射和采矿阶段的分析中,恶意软件的技术被证明是更有趣的。
例如,恶意软件是不寻常的,因为它是用NSIS(NULLSOFT脚本安装系统)编译的,它是用于创建Windows安装程序的开源系统。
注入阶段的分析显示,主要有效载荷DLL(动态链接库)由.NET和三重混淆,具有敏捷的Obfuscator,已知的商业.NET Obfuscator。
研究人员发现的恶意软件的执行涉及许多有效载荷注入本身和其他进程,并且恶意软件将选择不同的执行路径并根据目标机器的操作系统是32位或64位的操作系统启动不同的流程。 。
研究人员表示,一旦运行,恶意软件旨在通过终止矿工来避免检测,当用户打开任务管理器时,通过终止矿工。任务管理器关闭后,恶意软件将执行一个重新注入矿工的进程。
在密码调查中,研究人员还发现了一个“神秘”的交互式Web shell,不断连接到C&C服务器,并且可能与挖掘运算符相关联。
虽然研究人员发现没有明确的证据将隐藏术语连接到互动的PHP壳牌,但他们表示有“强烈的理由”相信它们来自同一威胁演员。
为了防御偏远的炮弹,安全研究人员建议组织:
保持所有软件最新,因为攻击者经常在软件和操作系统中利用漏洞,以便在组织中横向移动并窃取数据。他们说,遵守补丁的曲折大大降低了威胁的风险。监控异常数据访问,因为攻击者很可能会尝试从组织中抵抗敏感数据,并且监视异常用户对敏感数据的访问可以帮助检测可能已暴露的受损用户和数据。通过使用防火墙或代理来监视网络流量来检测和阻止对C&C服务器的恶意通信,从而防止攻击者执行命令或提取数据。为了防御Cryptominers,Varonis推荐了组织:
使用和维持抗病毒和终点检测和响应(EDR)系统,其应该能够检测众所周知的加密剂并在发生任何损坏之前预防感染。但研究人员表示,组织不应仅依赖EDR,并请记住新的变体或新的逃避技巧可以绕过端点安全产品。保持所有操作系统最新,以防止利用和不需要的感染。监控网络流量和Web代理以阻止恶意域的流量并限制不必要的通信。监控计算机上的CPU活动,以指示可能的加密活动。监控DNS以不寻常使用动态DNS服务,例如DuckDNS。有一个入射响应计划,准备检测,含有和修复隐密度。