请选择 进入手机版 | 继续访问电脑版
链链财经 位置 加密货币 未找到恶意软件:Cryptojackers如何使用复杂的方法来避免检测

未找到恶意软件:Cryptojackers如何使用复杂的方法来避免检测

2018-11-11 14:21| 发布者: 链链财经| 查看: 13195| 评论: 0

摘要: 趋势科技的网络安全研究人员称,加密货币挖掘恶意软件创建者的混淆功能越来越复杂。研究人员遇到的一种新的加密货币挖掘恶意软件证明了这一点,该恶意软件采用多种规避技术来逃避检测。被识别为Coinminer.Win32.MALX ...


趋势科技的网络安全研究人员称,加密货币挖掘恶意软件创建者的混淆功能越来越复杂。

研究人员遇到的一种新的加密货币挖掘恶意软件证明了这一点,该恶意软件采用多种规避技术来逃避检测。被识别为Coinminer.Win32.MALXMR.TIAOODAM时,恶意加密挖掘软件在Windows操作系统到达目标计算机时将其作为Windows操作系统的安装程序文件。使用Windows操作系统的实际组件不仅使其看起来不那么可疑,而且还允许恶意软件绕过特定的安全过滤器。

根据网络安全研究人员的分析,cryptojacking软件将自己安装在这个文件夹中:%AppData% Roaming \ Microsoft \ Windows \ Template \ FileZilla Server。FileZilla是一个免费的开源应用程序,用于通过Internet传输文件。如果该目录尚不存在,则恶意软件会继续创建一个目录。

目录中包含的文件包括为终止可能正在运行的任何反恶意软件进程而创建的脚本。


在东欧的某个地方......
特定加密挖掘恶意软件的安装过程涉及旨在防止检测的更多措施。有趣的是,在安装过程中完成的西里尔,表明创作者可能基于在东欧欧洲或使用书写体系等地。

安装后,恶意软件将创建三个新的服务主机进程,其中一些用于在终止时重新下载恶意软件:

“第一和第二个SvcHost流程将充当监管机构,最有可能保持持久性。当任何注入的svchost进程终止时,它们负责通过Powershell命令重新下载Windows Installer(.msi)文件,“趋势科技的Janus Agcaoili和Gilbert Sison在博客文章中写道。

加密挖掘恶意软件还具有自毁机制,旨在确保检测和分析变得更加困难。这是通过删除安装目录中包含的每个文件以及摆脱所有安装痕迹来实现的。


没有机会
根据趋势科技的研究人员的说法,恶意软件的创建者也采取了额外的预防措施,以避免使用WiX(一种流行的Windows安装程序)作为打包程序进行检测。

2018年,Cryptojacking上升了459%,这是NSA的故障https://t.co/tlOrnbECFg。
- CCN(@CryptoCoinsNews)2018年9月20日

这是在各种研究表明全球范围内加密劫持事件不断增加的时候。今年9月,网络安全联盟网络威胁联盟估计今年的加密劫持量已增加了459%。

今年早些时候,卡巴斯基实验室表示勒索软件攻击正在下降,这可以归结为不良演员越来越多地转向加密攻击,因为它更有利可图。

※英文来源:CCN
※编译:链链财经。如需转载请注明来自“链链财经”(http://www.o-o-o.link)
郑重声明:转载文章仅为传播更多信息之目的,版权归原作者所有。如有侵权/错误不完整之处请第一时间与我们联系修改删除。 谢谢。内容分析仅供参考,并不构成任何投资意见或建议。风险自控。
  • 微信扫一扫关注公众号,掌握币圈第一手资讯
返回顶部