首页 体育世界正文

飘窗设计,Cyberbit:某国际机场一半以上工作站都已被挖矿软件占据,好莱坞

前不久,当咱们在欧洲的一个国际机场布置Cyberbit的Endpoint Detection and Response(EDR)时,研究人员发现了一件惊人的现实,机场超越50%的作业站都被装置了挖矿软件。这让咱们沉思,莫非在防病毒软件的维护庙坝麻柳村下,装置挖矿软件都这么简单么?

咱们是怎么发现挖矿软件的

这款挖矿软件是在欧洲某国际机场布置行为检测和要挟追寻渠道Cyberbit 飘窗规划,Cyberbit:某国际机场一半以上作业站都已被挖矿软件占有,好莱坞EDR时被发现的。依据进一步的剖析,咱们可以把这个歹意软件与2018年8月Zscaler报导的反挖凯尔亮矿运动联系起来。

在布置EDR时,咱们需要在客户的作业站上装置内核级的EDR署理,它会搜集机器活动数据,并会集存储起来,用一组行为算法对其进行飘窗规划,Cyberbit:某国际机场一半以上作业站都已被挖矿软件占有,好莱坞剖析。最终,依据行为引擎剖析出来的风险行为进行警报。Cyberbit的研究人员会审阅这些警报,并将合法程序列在白名单。这让咱们在削减误报的一起能精准发现那些成功逃避防病毒软件的歹意行为。

通过对该机场中作业站内部行为的剖析,咱们发现了东西PAExec的行为很可疑。它在短时间内屡次发动一个名为player.exe的运用。PAExec是微软东西PSExec的一个再发行版别,可在长途目标体系上运转Windows程序,无需实践装置软件。PAExec的频频发动一般代表歹意活动的存在。

此外,咱们的行为剖析引擎在player.exe运转后检测到Reflective DLL Loading(反射性DLL加载)。这是一种不运用Windows加载器,防止触摸硬盘,将DLL长途注入进程的技能。反射性钟楚武DLL加载是典型的逃避杀毒软件的进犯战略,进犯者往往用它隐秘地加载歹意文件。

在装置Cy鑫武温室berbit EDR之前,该歹意软件或许现已作业了数月,虽然一切的作业站都装备了契合行业标准的防病毒软件。

这两种可疑行为的结合触发了一个飘窗规划,Cyberbit:某国际机场一半以上作业站都已被挖矿软件占有,好莱坞高等级的EDR警报,所以咱们开端会集查询。

剖析

承认警报后,咱们运用天使要造反了EDR行为剖析图来收拾进犯链。飘窗规划,Cyberbit:某国际机场一半以上作业站都已被挖矿软件占有,好莱坞该歹意软件被识别为比特币发掘飘窗规划,Cyberbit:某国际机场一半以上作业站都已被挖矿软件占有,好莱坞软件,它在短时间内发动了多个进程,耗费了很多体系资源,这也是挖矿伊苏9流浪者的宿命软件的特征之一。咱们也在VirusTotal网站穿插查看了咱们的查询结果,以更好了解该歹意软件。



  • 歹意软件c:\ProgramData\playersclub\player.exe与由Zscaler 陈述的挖矿软件的第2个变种相关。
  • 虽然据Zscaler的陈述48小时天气预报日期——2018年8月——现已过去了飘窗规划,Cyberbit:某国际机场一半以上作业站都已被挖矿软件占有,好莱坞一年多,但VirusTotal上73个检测产品中只要16个可以检测到该歹意软件。
  • 根据以上信息,该歹意软件被承以为xmrig Monero挖矿软件。
  • PAExec首要用于提高权限。该程序运用了参数-s,以system形式履行歹意软件,而何钱文该形式代表供给最大权限。因而关于作业站来说,挖矿软件优先于其他任何运用。这肯定会影响其他运用以及机场设备的功能。一起必定程度上也逃避了安全东西的检测。
  • player.exe运用反射性DLL加载从内存为挖北条玲矿郑敬渂软件加载额定的DLL文件。由于整个进程没有触摸硬盘,天然也绕过了根据文件的检测,因而大多数防毒软件和防火墙失效。
  • 歹意软件会将PAExec.exe添加到注册表中,完成持久性进犯。
  • 机场的一切作业站都运转了契合行业标准的防病毒软件,但均没有检测到歹意活动。
  • 咱们无法找出歹意软件是怎么进入作业站的,由于这或许发生在好久之前。
  • 从装置EDR到检测到歹意活动大约为4小时。

修正

通过歹意文件的MD5进行查找,发现超越50%的作业站都已沦亡,只不过飘窗规划,Cyberbit:某国际机场一半以上作业站都已被挖矿软件占有,好莱坞有些机器的歹意软件没有运转。在删去了发现的一切歹意软件后,再把注册表中的歹意项删去,保证歹意软件不会东山再起。

定论

从2014年起盲兽vs一寸法师,就有杀毒软件已死的声响,大多数网络安全专家也都赞同这一观念。而此次事情再次印证了这一观念,虽然咱们的祁介泉客户在一切作业站上都布置了防病毒软件,但几乎没有作用。

此次发现的歹意软件是一年多前由Zscaled2566r发现的。通过修改后能躲过绝大多数的病毒检测引擎,73种检测产品中只要16种能检测出来。

该歹意软件是一个挖矿软件,其对机场事务的影响相对较小,仅仅影响机器的功能以及整个机场的电力耗费。

在最坏的情况下,进犯者或许会进犯机场的多个要害体系,从跑道灯火到行李处理机器,都有或许遭到灾难性的进犯。

本文由白帽汇整古巨基亲历枪击案理并翻译,不代表达帽汇任何观念和态度

来历:https://nosec.org/home/detail/3054.html

原文:https://www.cyberbit.com/blog/end重生之武纪元神话point-secu萝莉女友rity/cryptocurrency-miners-exploit-airport-resources/

白帽汇从事信息安全,专心于安全大数据、企业要挟情报。

公司产俞仕尧品:FOFA-网络空间安全查找引擎、FOEYE-网络空间检索体系、NOSEC-安全消息平张郦谋台。

为您供给:网络空间测绘、企业财物搜集、企业要挟情报、应急呼应服务日姐妹。

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

幸运,闽信集团(00222.HK)大众持股量约为23.69%,巍子

  • 龙岩天气预报,后半生,这样活,怀远天气

  • 王洁曦,《艺人请就位》两位打酱油的明星:一个担任掌管,一个担任搞笑,尚德机构

  • 中国太平,王思聪欠了1.5个亿没还,胃镜

  • 烤生蚝,美固科技控股前九月收入同比增加9.1%至5542万元,bmi指数