用于钓鱼攻击的部分文件名如下:
LaofuMiner使用的钓鱼文件
4.1.4 VNC爆破
2019年3月,Phorpiex僵尸网络针对被广泛使用的远程管理工具“VNC”默认端口5900进行爆破攻击,在高价值服务器上下载运行GandCrab 5.2勒索病毒加密重要系统资料实施敲诈勒索;若攻破有数字货币交易的电脑,则运行数字货币钱包劫持木马抢钱;若被攻击的只是普通电脑则被植入门罗币挖矿木马,成为Phorpiex控制的矿工电脑。
Phorpiex针对VNC服务爆破
4.1.5 感染型病毒
2019年4月感染型病毒Sality被发现利用建立的P2P网络,传播以盗取、劫持虚拟币交易为目的的“剪切板大盗“木马。
Sality可感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件,同时会利用可移动、远程共享驱动器的自动播放功能进行感染,然后在中招系统下载并执行“剪切板大盗”木马。
Sality修改可执行文件的入口点,以病毒代码替换原始文件代码,使得所有被感染程序启动时执行病毒功能:
Sality感染可执行文件
“剪切板大盗“木马通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址,并将切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产便落入黑客的口袋:
“剪切板大盗“木马替换钱包地址
4.2恶意代码执行
4.2.1 Powershell
2019年4月3日DTLMiner在Powershell中反射加载PE映像,达到 “无文件”形式执行挖矿程序。这种方法直接在Powershell.exe进程中运行恶意代码,注入“白进程”执行的方式可能造成难以检测和清除挖矿代码。这也是首次发现的,大规模利用“无文件”形式执行的挖矿木马。
DTLMiner在感染系统上安装计划任务,反复下载和执行一段加密的Powershell脚本,在脚本代码中嵌入了一段Base64编码的字符$Code64,该段字符实际上是XMRIG挖矿程序的二进制数据。
Base64编码的XMRig二进制数据
Powershell首先将$Code64解码为Bytes格式,然后调用Invoke-ReflectivePEInjection函数在内存中反射PE注入执行挖矿程序。
DTLMiner反射注入执行挖矿程序
4.2.2 DLL侧加载
KingMiner最早于2018年6月中旬出现,是一种针对Windows服务器MSSQL进行爆破攻击的门罗币挖矿木马。攻击者采用多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确查杀。
未来逃避杀软检测,KingMiner启动挖矿木马时采用DLL侧加载(DLL Side-Loading)技术,也就是“白+黑”技术,利用正常的有数字签名的白文件来调用恶意DLL。其使用到的有微软系统文件“Credential Backup andRestore Wizard(凭据备份和还原向导)”和多个知名公司的数字签名的文件:
此文由 比特币官网 编辑,未经允许不得转载!:首页 > 比特币挖矿 » 腾讯安全发布2019年度挖矿木马报告(全文)