歐洲國際機場感染挖礦病毒,系統耗電量大增

一家資安廠商在歐洲某國際機場半數以上的電腦工作站上發現了 XMRig 挖礦病毒,而這些電腦竟然還安裝了某款業界標準的防毒軟體。根據報導指出,該資安廠商 Cyberbit 是在執行一項端點產品的標準安裝程序時發現了這項在背後暗中執行的攻擊,其所使用的惡意程式就是 2018 年 8 月由 Zscaler 發現的 Anti-CoinMiner 惡意程式。受害的系統除了耗電量變大之外,並未影響到機場的營運。

歐洲國際機場電腦工作站感染常駐的 Anti-CoinMiner 惡意程式

[延伸閱讀:September malicious cryptocurrency-mining attacks showcase current malware techniques and capabilities]

在前述的安裝過程中,資安廠商所安裝的端點偵測及回應 (EDR) 產品內建的系統核心代理程式偵測到一些重複性的端點活動。其行為偵測演算法在受感染系統上發現有個 PAExec 工具 (這是 PsEXE 的可散發版本) 在短短的時間內多次啟動了某個名為「player.exe」的應用程式。這是駭客取得系統管理權限以便讓挖礦程式獲得工作站資源優先權的作法。除此之外,駭客還將 PAExec 加入系統登入當中,讓惡意程式在電腦重新開機後能再次啟動。

駭客使用了 Reflective Dynamic-Link Library (Reflective DLL) 程式載入技巧來避免在載入惡意檔案時被資安軟體發現。駭客透過這項手法將惡意 DLL 從遠端注入記憶體內的執行程序,而非透過 Windows 載入,如此就不須將檔案寫入硬碟,進而躲過偵測。

[延伸閱讀:Monero-mining worm infects over 2,000 unsecure Docker hosts]

儘管資安人員無法判斷惡意程式散播的方式,但他們也坦承挖礦惡意程式確實可能影響到機場服務的品質。最壞的情況有可能因耗電量增加而導致機場服務或營運中斷,或者,惡意程式也可能入侵網路上的關鍵系統或服務設備,造成嚴重損害。

虛擬加密貨幣挖礦惡意程式一直在持續開發出新的手法來入侵關鍵系統與企業設備,並藉由新的技巧來長期潛伏並躲避偵測。此外,系統硬體也會因為過度使用而縮短平均壽命,所以使用者務必隨時留意這類攻擊的最新手法。

面對這類威脅,以下是使用者可採取的一些措施:

  • 修補並更新系統和資安軟體來防止駭客利用漏洞感染系統。
  • 企業網路上的所有系統和裝置皆應做好正確的資安設定。
  • 定期執行系統與網路資安檢查以掃瞄、偵測、攔截可疑活動。
  • 安裝並啟用一套具備行為監控功能的多層式防護來防範已知和未知的威脅。

 趨勢科技解決方案

趨勢科技以趨勢科技的XGen安全防護技術為基礎的解決方案,如:趨勢科技 Network Defense 網路防禦能偵測相關的惡意檔案和網址以保護使用者系統。Smart Protection Network™ 和lWorry-Free™ Business Security內建的 行為監控功能可額外防護這類威脅,偵測惡意檔案、遏止惡意行為、攔截所有相關惡意網址。

原文出處:European International Airport Workstations Infected With Persistent Anti-CoinMiner Malware