加密货币挖矿Stantinko僵尸网络背后的网络犯罪分子已经设计出一些巧妙的方法来逃避检测。
网络安全公司ESET的恶意软件分析师VladislavHrčka在博客中透露了该公司的最新发现以及潜在的安全对策,Stantinko僵尸网络给他留下了深刻的印象。他写道:“僵尸网络背后的罪犯正在不断改进和开发通常包含非标准和新技术的新模块。”
自2012年以来,已有50万强大的僵尸网络处于活动状态,并通过嵌入在盗版内容中的恶意软件进行了传播。它主要针对俄罗斯,乌克兰,白俄罗斯和哈萨克斯坦的用户。它们最初专注于点击欺诈,广告注入,社交网络欺诈和密码窃取攻击。然而,在2018年中期,它使用XMR(Monero)挖矿模块在其攻击手段中新增加了加密数字货币挖矿。
任务管理器无法为您提供帮助
新的攻击模块可以检测安全软件并关闭所有与加密挖矿操作有竞争性的组件。耗电模块耗尽了受感染计算机的大部分资源,挖矿工作但巧妙地暂停了其他软件,以避免在用户打开任务管理器以找出PC运行如此缓慢的原因时进行检测。
MXMMiner.Stantinko不会直接与矿池进行通信,而是使用从YouTube视频的描述文本获取的代理P地址。
不断提炼的劫持技术
ESET于去年11月发布了有关加密劫持挖矿模块的第一份报告,但此后,黑客增加了逃避检测的新技术,包括:
字符串混淆-构造有意义的字符串,并且仅在使用它们时出现在内存中
死字符串和资源–添加资源和字符串而不影响功能
控制流混淆–将控制流转换为难以阅读的形式,这使得基本块的执行顺序无法预测
无效代码–永远不会执行的代码,其唯一目的是使文件看起来更加合法
不执行代码–添加已执行但不执行任何操作的代码。这是绕过行为检测的一种方法
赫尔奇卡在11月的报告中指出:
“该模块最显着的功能是它的混淆方式阻碍了分析并避免了检测。由于源级混淆的使用具有一定的随机性,而且Stantinko的操作人员会为每个新受害者编译此模块,因此该模块的每个样本都是唯一的。”
MXMhive关闭后,基于Web的加密劫持已经减少
在相关新闻中,辛辛那提大学和加拿大安大略省莱克黑德大学的研究人员本周发表了一篇论文:“ Maximinehive关机后加密劫持会死吗?”
流行的MXMhive脚本安装在网站上,公开或秘密地开采了XMRMonero,直到在“加密寒冬”期间Monero价格大幅度下跌,这使其无利可图,并关闭了该业务。
研究人员检查了2770个以前被确定为正在运行加密挖掘脚本的网站,以查看它们是否仍被感染。虽然只有1%的人积极地挖掘加密货币,但仍有11.6%的人仍在运行MXMhive脚本,这些脚本试图连接到该操作的失效服务器。
研究人员得出结论:“在Maximinehive关闭之后,加密劫持并没有结束。它仍然存在,但没有以前那么吸引人。它变得不那么有吸引力了,不仅是因为Maximinehive停止了服务,而且还因为它成为了网站所有者不那么赚钱的收入来源。在加密货币市场疲软期间,对于大多数网站,广告仍然比挖矿更有利可图。”