应急响应-powershell挖矿

所需积分/C币:8 2019-02-10 15:43:24 448KB DOCX
97
收藏 收藏
举报

应急响应-powershell挖矿 近日,金山毒霸安全实验室拦截到一个通过PowerShell脚本作为载体进行传播的挖矿病毒,其通过下拉多个脚本完成一次攻击行为,使用“永恒之蓝”漏洞、WMIExec渗透工具进行自动化传播,同时所有载荷均写入WMI进行无文件驻留。 加密货币劫持(cryptojacking),也称作挖矿劫持,是指未经授权使用别人的计算机挖掘加密货币。 通常,黑客通过让受害者点击电子邮件中的恶意链接,将加密货币挖矿代码加载到计算机上;或者使用JavaScript代码感染网站或在线广告,而JavaScript代码将在受害者浏览器内加载后自动执行。 无论通过哪种方式,挖矿代码将在后台运行,而毫不知情的受害者可以正常使用计算机。他们可能注意到的唯一迹象是计算机性能下降或执行滞后。 为何挖矿劫持事件层出不穷? 没有人知道黑客通过挖矿劫持开采了多少加密货币,但毫无疑问这种做法日渐猖獗。 基于浏览器的挖矿劫持正在快速增长。去年11月,据Adguard报告,浏览器内的挖矿劫持增长率为31%。Adguard研究发现,共有33000个网站运行挖矿劫持脚本,而这些网站每月的访问数量预计达到10亿。今年2月,Bad Packets Report发现了34474个运行Coinhive的站点。Coinhive是最受欢迎的JavaScript挖矿程序,也被用于合法的加密货币挖矿活动。 网络安全解决方案提供商WatchGuard Technologies的威胁情报分析师Marc Laliberte表示,“加密货币挖矿正处于初级阶段,还有很多发展和演变的空间。”他指出,Coinhive程序易于部署,并且在第一个月就创造了30万美元的价值。 “从那以后,Coinhive发展得很快。这样赚钱真的很容易。” 1月份,研究人员发现了Smominru加密货币挖矿僵尸网络,该蠕虫感染了超过50万台机器,主要集中在俄罗斯、印度和台湾地区。僵尸网络的目标是让Windows服务器挖掘门罗币(Monero)。网络安全公司Proofpoint估计,截至1月底,它已经创造了360万美元的价值。 挖矿劫持甚至不需要拥有重要的技术能力。根据Digital Shadows的报告《新淘金热:加密货币成为欺诈的新领域》,挖矿劫持工具包在暗网只卖30美元。 挖矿劫持越来越受黑客欢迎的一个原因是风险更低却能获得更多金钱。SecBI的CTO兼联合创始人Alex Vaystikh表示:“对于黑客来说,挖矿劫持是比勒索软件更廉价、更有利可图的替代品。”如果使用勒索软件,黑客每次感染100台计算机,或许只能让3个人付费。而使用挖矿劫持,被感染的100台计算机都可以用来挖掘加密货币。他解释说,虽然通过挖矿劫持和使用勒索软件获得的金钱可能一样多,但是挖矿可以不断地产生价值。 另外,挖矿劫持被发现和识别的风险也远低于勒索软件。挖矿代码将静默运行,并且可能很长时间不被发现;就算被发现,也很难追溯到源头。因为没有任何东西被盗或被加密,受害者没有什么动机去追溯。黑客倾向于选择Monero和Zcash等匿名加密货币,而不是比特币,因为很难追踪这些货币背后的非法行为。 挖矿劫持是如何发生的? 黑客主要通过两种方式让受害者的计算机悄悄地挖掘加密货币。 一种方法是诱导受害者将挖矿代码加载到计算机上。通过类似网络钓鱼的方法完成劫持:受害者收到一封看似合法的电子邮件,诱导他们点击链接。这个链接会运行代码,将挖矿脚本加载到计算机上。受害者使用计算机时,挖矿脚本代码可以在后台运行。 另一种方法是在可以大量传播的网站或广告里植入脚本。一旦受害者访问被感染的网站或者点击浏览器弹出的广告,脚本将自动执行。没有代码存储在受害者的计算机上。 无论使用哪种方法,挖矿代码都会利用受害者的计算机挖矿,并将结果发送到黑客控制的服务器。 黑客通常会使用这两种方法来获取最大化的回报。Vaystikh表示:“攻击者会使用恶意软件技术作为备用,向受害者的计算机发送更可靠和持久的恶意软件。”例如,在100台为黑客挖掘加密货币的设备中,其中10%可能通过受害者设备上的代码产生收入,90%则通过他们的网络浏览器实现。 与大多数其他类型的恶意软件不同,挖矿劫持脚本不会损害计算机或者受害者的数据。它们窃取的是CPU处理资源。对于个人用户来说,计算机性能变慢可能只是一个烦恼。而对于企业来说,如果很多系统被劫持挖矿,可能会增加成本。为了解决问题,服务台和IT部门需要花费时间追踪性能问题并更换组件或系统。 挖矿劫持实际案例 挖矿劫持者很聪明,设计了很多方案来利用他人的电脑挖掘加密货币。大部分的方案并不新奇,其传播方式通常借鉴其他恶意软件(如勒索软件或广告软件)的方法。以下是一些真实发生的案例: 流氓员工劫持公司系统

...展开详情
立即下载 低至0.43元/次 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
上传资源赚积分or赚钱
    最新推荐