隨著勒索病毒Ransomware的數量持續下滑,虛擬加密貨幣挖礦惡意程式似乎開始崛起並取而代之。除了虛擬加密貨幣在真實世界逐漸受到關注之外,這類貨幣對網路犯罪集團還有另一項優點,那就是能讓他們躲在體制當中永遠不被發現的隱密性。
事實上,許多今日的挖礦惡意程式甚至有辦法透過無檔案的方式來感染系統。無檔案式攻擊能讓駭客將惡意程式隱藏在記憶體中,讓資安研究人員更難加以鑑識分析。
今年二月,趨勢科技發現了一個無檔案式虛擬加密貨幣挖礦惡意程式 (Fileless-DASKUS) 會利用 PowerShell (PS) 工具來感染系統。有別於 2017 年 8 月所發現的 TROJ64_COINMINER.QO,這個挖礦惡意程式並非透過 Windows Management Instrumentation (WMI) 來感染系統。而是像過去看到的 KOVTER 和 ANDROM 這兩個知名的無檔案式惡意程式一樣,利用系統登錄為感染媒介。
下圖顯示此挖礦惡意程式的感染過程:
此惡意程式與 KOVTER 及 ANDROM 利用系統登錄的方式比較如以下三圖所示: 繼續閱讀