新型加密劫持活动的发现
网络安全公司Darktrace发现了一种新型的加密劫持活动,该活动旨在绕过Windows Defender并部署加密货币挖矿软件。这一加密劫持活动首次在七月底被识别,涉及一个多阶段的感染链,悄然劫持计算机的处理能力以挖掘加密货币。
攻击手法与技术细节
Darktrace的研究人员Keanna Grelicha和Tara Gould在与crypto.news分享的报告中解释道,该活动特别针对基于Windows的系统,通过利用PowerShell(微软内置的命令行外壳和脚本语言),使恶意行为者能够运行恶意脚本并获得对主机系统的特权访问。
这些恶意脚本被设计为直接在系统内存(RAM)中运行,因此,传统的防病毒工具通常依赖于扫描系统硬盘上的文件,无法检测到这一恶意进程。随后,攻击者使用AutoIt编程语言,这是一种通常由IT专业人员用于自动化任务的Windows工具,向合法的Windows进程注入恶意加载程序,该加载程序随后下载并执行加密货币挖矿程序,而不会在系统上留下明显的痕迹。
防御措施与攻击后果
作为额外的防御措施,加载程序被编程为执行一系列环境检查,例如扫描沙盒环境的迹象,并检查主机上安装的防病毒产品。只有在Windows Defender是唯一的主动保护时,执行才会继续。此外,如果感染的用户账户缺乏管理权限,程序会尝试绕过用户账户控制以获得提升的访问权限。
当这些条件满足时,程序会下载并执行NBMiner,这是一种知名的加密货币挖矿工具,利用计算机的图形处理单元挖掘如Ravencoin(RVN)和Monero(XMR)等加密货币。
Darktrace的应对措施
在这种情况下,Darktrace能够通过其自主响应系统遏制攻击,方法是“
阻止设备进行外部连接,并阻止与可疑端点的特定连接
”。
“随着加密货币的持续流行,全球加密货币市场市值(截至撰写时接近4万亿美元)的持续高估值,威胁行为者将继续将加密挖矿视为一种有利可图的投资,”Darktrace的研究人员写道。
社会工程策略的使用
早在七月,Darktrace就标记了一个单独的活动,其中恶意行为者使用复杂的社会工程策略,例如冒充真实公司,欺骗用户下载修改过的软件,从而部署窃取加密货币的恶意软件。与上述加密劫持方案不同,这种方法同时针对Windows和macOS系统,并由无意识的受害者自己执行,他们相信自己正在与公司内部人员互动。
