详细内容或原文请订阅后点击阅览
Wormable XMRig 活动利用 BYOVD 和定时终止开关进行隐秘
可蠕虫的加密劫持活动通过盗版软件进行传播,使用 BYOVD 和基于时间的逻辑炸弹来部署自定义 XMRig 矿工。研究人员发现了一种可蠕虫的加密劫持活动,该活动通过盗版软件包进行传播,以部署定制的 XMRig 矿工。该攻击使用 BYOVD 漏洞和基于时间的逻辑炸弹来逃避检测并最大化 [...]
来源:Security Affairs _恶意软件Wormable XMRig 活动利用 BYOVD 和定时终止开关进行隐秘
可蠕虫的加密劫持活动通过盗版软件进行传播,使用 BYOVD 和基于时间的逻辑炸弹来部署自定义 XMRig 矿工。
研究人员发现了一种可蠕虫的加密劫持活动,该活动通过盗版软件包进行传播,以部署定制的 XMRig 矿工。该攻击使用 BYOVD 漏洞和基于时间的逻辑炸弹来逃避检测并最大化挖矿产出。其多阶段感染链专注于提高加密货币哈希率,通常会在此过程中使受感染的系统变得不稳定。
该活动通过盗版“高级”软件安装程序进行传播,这些安装程序会掉落一个复杂的基于 XMRig 的挖矿程序。其核心是一个控制器二进制文件 Explorer.exe,设计为持久状态机,可通过命令行参数(安装程序、看门狗、主动感染、清理)切换角色。
““Explorer.exe”二进制文件充当感染的主要编排节点。在传统的恶意软件设计中,功能通常被划分为线性执行流:释放器下载有效负载,执行它,然后退出。然而,Explorer.exe(控制器)作为持久状态机运行。”阅读 Trellix 发布的报告。 “它根据执行期间传递给它的特定命令行参数确定其行为模式,允许单个二进制文件在感染生命周期内充当多个不同的操作角色:安装程序、看门狗、有效负载管理器和清理程序”
它将逻辑(“大脑”)与有效负载(“肌肉”)分开,其中包括矿工、看门狗和用于内核访问的易受攻击的驱动程序(BYOVD)。
该恶意软件使用 BYOVD(自带易受攻击的驱动程序)技术滥用合法但易受攻击的驱动程序 WinRing0x64.sys。它没有创建自己的恶意驱动程序,而是加载这个旧的签名驱动程序以获得内核级访问权限(Ring 0 访问权限)。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon