國家計(jì)算機(jī)病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)了使用PowerShell來傳播惡意軟件的惡意挖礦軟件PCASTLE Zeroes����。該攻擊首次出現(xiàn)是在5月17日�����,到5月22日達(dá)到峰值��,然后進(jìn)入穩(wěn)定期����。
通過進(jìn)一步分析顯示這是與之前使用混淆的PowerShell腳本來傳播門羅幣挖礦惡意軟件的活動類似����。從受害者分布來看,攻擊的目標(biāo)并不針對某個特定行業(yè)��,可能主要是因?yàn)楣舻姆椒?���。使用SMB漏洞利用和暴力破解弱口令并不是針對特定行業(yè)的安全問題。攻擊活動的運(yùn)營者也并不關(guān)心受感染的用戶是誰��。
此次攻擊活動中還加入了一些新的技巧�。比如����,使用多種傳播方法�����,使用執(zhí)行不同任務(wù)的組件來傳播加密貨幣挖礦機(jī)�。還使用多層無文件方法使惡意PowerShell腳本可以在內(nèi)存中下載和執(zhí)行payload。最終的PowerShell腳本也是在內(nèi)存中執(zhí)行的�,并且打包了所有惡意路徑,使用SMB漏洞濫用���、暴力破解系統(tǒng)�、使用pass-the-hash攻擊方法�����,并下載payload����。
同時,攻擊活動使用XMRig作為payload的挖礦機(jī)模塊�。與其他挖礦機(jī)算法相比,門羅幣挖礦算法使用的資源并不多,也不需要大量的處理能力�����。也就是說可以在不讓用戶察覺的情況下進(jìn)行加密貨幣挖礦活動���。
針對該惡意程序所造成的危害����,建議用戶使用行為監(jiān)控等安全機(jī)制來檢測和預(yù)防異常路徑和未授權(quán)的程序和腳本的運(yùn)行��,防火墻和入侵防御系統(tǒng)可以攔截惡意軟件相關(guān)的流量����。同時��,對系統(tǒng)進(jìn)行更新和安裝補(bǔ)丁程序����。攻擊者在本次攻擊活動中使用了一個擁有補(bǔ)丁的漏洞利用。研究人員還推薦使用虛擬補(bǔ)丁或嵌入式系統(tǒng)���。并且限制對系統(tǒng)管理工具的訪問����,使用合法工具來繞過檢測會增加威脅。最后�����,對系統(tǒng)進(jìn)行安全加固��。認(rèn)證和加密機(jī)制可以防止對目標(biāo)系統(tǒng)的非授權(quán)的修改����,加強(qiáng)賬號憑證應(yīng)對暴力破解和詞典攻擊的能力。