ทีมสืบสวนความปลอดภัยทางไซเบอร์ของเราเพิ่งตรวจสอบเครือข่ายที่ติดไวรัสการเข้ารหัสลับในบริษัทขนาดกลางเกือบทั้งหมด การวิเคราะห์
ตัวอย่างมัลแวร์ที่รวบรวมได้แสดงให้เห็นว่าพบการแก้ไขใหม่
ไวรัสดังกล่าวเรียกว่า โดยใช้วิธีซ่อนเร้นต่างๆ นอกจากนี้ก็ได้มีการค้นพบ ซึ่งอาจเกี่ยวข้องกับผู้ประกอบการเหมืองแร่
ภาพรวมการศึกษา
- บริษัท Varonis ได้ระบุการติดเชื้อขนาดใหญ่กับ cryptominers: เซิร์ฟเวอร์และเวิร์กสเตชันเกือบทั้งหมดในบริษัทติดไวรัสซอฟต์แวร์ดังกล่าว
- นับตั้งแต่การติดเชื้อครั้งแรกเมื่อกว่าปีที่แล้ว จำนวนการแก้ไขและอุปกรณ์ที่ติดไวรัสก็เพิ่มขึ้นอย่างต่อเนื่อง
- เราค้นพบ Monero cryptominer ประเภทใหม่ (Norman) ที่ใช้วิธีการต่าง ๆ เพื่อซ่อนจากการวิเคราะห์โดยซอฟต์แวร์ความปลอดภัยเพื่อหลีกเลี่ยงการตรวจจับ
- มัลแวร์ส่วนใหญ่ใช้ DuckDNS (บริการ Dynamic DNS ฟรี) เพื่อเชื่อมต่อกับศูนย์ควบคุม (เซิร์ฟเวอร์ C&C) และเพื่อรับพารามิเตอร์การกำหนดค่าหรือส่งข้อมูลใหม่
- Norman เป็นนักขุดสกุลเงินดิจิทัล Monero ที่มีประสิทธิภาพสูงโดยอาศัยตัวขุดโอเพ่นซอร์ส - XMRig
- เรายังไม่มีหลักฐานที่หักล้างไม่ได้ในการเชื่อมโยง cryptominers กับเชลล์ PHP แบบโต้ตอบ อย่างไรก็ตาม มีเหตุผลที่ดีที่จะเชื่อว่าสิ่งเหล่านี้มาจากผู้โจมตีคนเดียวกัน นักวิจัยกำลังรวบรวมหลักฐานเพิ่มเติมว่ามีหรือไม่มีความเชื่อมโยงดังกล่าว
- ในบทความนี้ คุณสามารถทำความคุ้นเคยกับคำแนะนำของ Varonis เกี่ยวกับการป้องกัน Remote Web Shells และ Cryptominers ได้
การสอบสวน
การสอบสวนเริ่มขึ้นในระหว่างโครงการนำร่องครั้งต่อไป (แพลตฟอร์มการรักษาความปลอดภัยของข้อมูล Varonis) ซึ่งทำให้สามารถระบุเหตุการณ์ผิดปกติที่น่าสงสัยหลายประการในระดับเครือข่ายในระหว่างการร้องขออินเทอร์เน็ต (ผ่านเว็บพรอกซี) ที่เกี่ยวข้องกับการดำเนินการที่ผิดปกติบนระบบไฟล์ได้อย่างรวดเร็ว
ลูกค้าชี้ให้เห็นทันทีว่าอุปกรณ์ที่ระบุโดยแพลตฟอร์มของเรา
เป็นของผู้ใช้รายเดียวกันกับที่เพิ่งรายงานแอปพลิเคชันขัดข้องและการชะลอตัวของเครือข่าย
ทีมของเราตรวจสอบสภาพแวดล้อมของลูกค้าด้วยตนเอง โดยย้ายจากสถานีหนึ่งไปยังอีกสถานีหนึ่งที่ติดไวรัส ตามการแจ้งเตือนที่สร้างโดย Varonis Platform ทีมตอบสนองเหตุการณ์ได้จัดทำกฎพิเศษขึ้นมา เพื่อตรวจจับคอมพิวเตอร์ที่กำลังขุดเหมือง ซึ่งช่วยกำจัดภัยคุกคามได้อย่างรวดเร็ว ตัวอย่างของมัลแวร์ที่รวบรวมได้ถูกส่งไปยังทีมนิติเวชและทีมพัฒนา ซึ่งแนะนำว่าจำเป็นต้องมีการตรวจสอบตัวอย่างเพิ่มเติม
โหนดที่ติดเชื้อถูกค้นพบเนื่องจากการเรียกของพวกเขา เป็ดซึ่งเป็นบริการ Dynamic DNS ที่อนุญาตให้ผู้ใช้สร้างชื่อโดเมนของตนเองและแมปกับการเปลี่ยนที่อยู่ IP ได้อย่างรวดเร็ว ตามที่ระบุไว้ข้างต้น มัลแวร์ส่วนใหญ่ในเหตุการณ์ดังกล่าวเข้าถึง DuckDNS เพื่อเชื่อมต่อกับศูนย์ควบคุม (C&C) ในขณะที่มัลแวร์อื่นๆ เข้าถึงพารามิเตอร์การกำหนดค่าหรือส่งข้อมูลใหม่
เซิร์ฟเวอร์และคอมพิวเตอร์เกือบทั้งหมดติดมัลแวร์ ใช้เป็นหลัก
ตัวแปรทั่วไปของ cryptominers มัลแวร์อื่นๆ รวมถึงเครื่องมือถ่ายโอนข้อมูลรหัสผ่านและเปลือก PHP ในขณะที่เครื่องมือจำนวนหนึ่งใช้งานได้มาหลายปีแล้ว
เรามอบผลลัพธ์ให้กับลูกค้า ลบมัลแวร์ออกจากสภาพแวดล้อม และหยุดการติดไวรัสเพิ่มเติม
ในบรรดาตัวอย่าง cryptominers ที่ค้นพบทั้งหมด มีตัวอย่างหนึ่งที่โดดเด่น เราตั้งชื่อเขาว่า นอร์แมน.
พบปะ! นอร์แมน. นักขุดคริปโต
Norman เป็นนักขุดสกุลเงินดิจิทัล Monero ที่มีประสิทธิภาพสูงโดยใช้รหัส XMRig แตกต่างจากตัวอย่างคนงานเหมืองอื่นๆ ที่พบ Norman ใช้เทคนิคเพื่อซ่อนไม่ให้วิเคราะห์โดยซอฟต์แวร์ความปลอดภัย เพื่อหลบเลี่ยงการตรวจจับและป้องกันการแพร่กระจายต่อไป
เมื่อมองแวบแรก มัลแวร์ตัวนี้เป็นตัวขุดแร่ทั่วไปที่ซ่อนอยู่ภายใต้ชื่อ svchost.exe อย่างไรก็ตาม การศึกษาพบว่าใช้วิธีการที่น่าสนใจมากกว่าในการซ่อนตัวจากการตรวจจับและทำให้สิ่งต่างๆ ทำงานต่อไป
กระบวนการปรับใช้มัลแวร์นี้สามารถแบ่งออกเป็นสามขั้นตอน:
- ผลงาน;
- การนำไปปฏิบัติ;
- การทำเหมืองแร่
การวิเคราะห์ทีละขั้นตอน
ขั้นตอนที่ 1 การดำเนินการ
ขั้นตอนแรกเริ่มต้นด้วยไฟล์ปฏิบัติการ svchost.exe
มัลแวร์ถูกรวบรวมโดยใช้ NSIS (Nullsoft Scriptable Install System) ซึ่งถือเป็นเรื่องปกติ NSIS เป็นระบบโอเพ่นซอร์สที่ใช้ในการสร้างตัวติดตั้ง Windows เช่นเดียวกับ SFX ระบบนี้จะสร้างไฟล์เก็บถาวรและไฟล์สคริปต์ที่ดำเนินการในขณะที่โปรแกรมติดตั้งกำลังทำงาน ไฟล์สคริปต์จะบอกโปรแกรมว่าไฟล์ใดที่จะรันและสามารถโต้ตอบกับไฟล์อื่นในไฟล์เก็บถาวร
หมายเหตุ: หากต้องการรับไฟล์สคริปต์ NSIS จากไฟล์ปฏิบัติการ คุณต้องใช้ 7zip เวอร์ชัน 9.38 เนื่องจากเวอร์ชันที่ใหม่กว่าไม่ได้ใช้ฟีเจอร์นี้
มัลแวร์ที่เก็บถาวรของ NSIS มีไฟล์ต่อไปนี้:
- CallAnsiPlugin.dll, CLR.dll - โมดูล NSIS สำหรับการเรียกใช้ฟังก์ชัน .NET DLL
- 5zmjbxUIOVQ58qPR.dll - DLL เพย์โหลดหลัก;
- 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - ไฟล์เพย์โหลด;
- Retreat.mp3, Cropped_controller_config_controller_i_lb.png เป็นเพียงไฟล์ที่ไม่เกี่ยวข้องกับกิจกรรมที่เป็นอันตรายใดๆ เพิ่มเติม
คำสั่งจากไฟล์สคริปต์ NSIS ที่รันเพย์โหลดมีดังต่อไปนี้
มัลแวร์ทำงานโดยการเรียกฟังก์ชัน 5zmjbxUIOVQ58qPR.dll ซึ่งรับไฟล์อื่นเป็นพารามิเตอร์
ขั้นตอนที่ 2 การนำไปปฏิบัติ
ไฟล์ 5zmjbxUIOVQ58qPR.dll เป็นเพย์โหลดหลัก ดังที่เห็นได้จากสคริปต์ NSIS ด้านบน การวิเคราะห์เมตาดาต้าอย่างรวดเร็วพบว่า DLL เดิมเรียกว่า Norman.dll ดังนั้นเราจึงตั้งชื่อมันว่า
ไฟล์ DLL ได้รับการพัฒนาใน .NET และได้รับการป้องกันจากวิศวกรรมย้อนกลับโดยการทำให้สับสนสามเท่า
ใช้ผลิตภัณฑ์เชิงพาณิชย์ที่รู้จักกันดี Agile .NET Obfuscator
ในระหว่างการดำเนินการ การดำเนินการฉีดตัวเองหลายอย่างเกี่ยวข้องกับกระบวนการของตัวเองและในกระบวนการอื่นๆ มัลแวร์จะขึ้นอยู่กับความลึกบิตของระบบปฏิบัติการ
เลือกเส้นทางที่แตกต่างกันไปยังโฟลเดอร์ระบบและเปิดกระบวนการที่แตกต่างกัน
ตามเส้นทางโฟลเดอร์ของระบบ มัลแวร์จะเลือกกระบวนการที่แตกต่างกันเพื่อทำงาน
เพย์โหลดที่ฉีดเข้าไปนั้นมีหน้าที่หลักสองประการ: การดำเนินการ cryptominer และการป้องกันการตรวจจับ
หากระบบปฏิบัติการเป็น 64 บิต
เมื่อไฟล์ svchosts.exe ต้นฉบับ (ไฟล์ NSIS) ถูกดำเนินการ ไฟล์ดังกล่าวจะสร้างกระบวนการใหม่ขึ้นมาเองและแทรกเพย์โหลด (1) เข้าไป หลังจากนั้นไม่นาน มันจะเปิด notepad.exe หรือ explorer.exe และฉีด cryptominer เข้าไป (2)
หลังจากนี้ ไฟล์ svchost.exe ดั้งเดิมจะออก และไฟล์ svchost.exe ใหม่จะถูกใช้เป็นโปรแกรมที่ตรวจสอบกระบวนการขุดแร่
หากระบบปฏิบัติการเป็น 32 บิต
เมื่อไฟล์ svchosts.exe ต้นฉบับ (ไฟล์ NSIS) ทำงาน ไฟล์นั้นจะทำซ้ำกระบวนการของตัวเองและแทรกเพย์โหลดเข้าไป เช่นเดียวกับเวอร์ชัน 64 บิต
ในกรณีนี้ มัลแวร์จะแทรกเพย์โหลดเข้าไปในกระบวนการ explorer.exe ของผู้ใช้ จากนั้นโค้ดที่เป็นอันตรายจะเปิดกระบวนการใหม่ (wuapp.exe หรือ vchost.exe) และแทรกตัวขุดเข้าไป
มัลแวร์ซ่อนความจริงที่ว่ามันได้แทรกตัวเองเข้าไปใน explorer.exe โดยเขียนทับโค้ดที่ถูกแทรกก่อนหน้านี้ด้วยเส้นทางไปยัง wuapp.exe และค่าว่าง
เช่นเดียวกับกรณีที่ทำงานในสภาพแวดล้อม 64 บิต กระบวนการ svchost.exe ดั้งเดิมจะออก และกระบวนการที่สองจะถูกใช้เพื่อฉีดโค้ดที่เป็นอันตรายลงใน explorer.exe อีกครั้ง หากกระบวนการถูกยกเลิกโดยผู้ใช้
ในตอนท้ายของอัลกอริธึมการดำเนินการ มัลแวร์จะแทรก cryptominer เข้าสู่กระบวนการที่ถูกต้องตามกฎหมายที่เปิดตัวเสมอ
ได้รับการออกแบบมาเพื่อป้องกันการตรวจจับโดยยุติการทำงานของนักขุดเมื่อผู้ใช้เปิดตัวจัดการงาน
โปรดทราบว่าหลังจากเริ่มตัวจัดการงาน กระบวนการ wuapp.exe จะสิ้นสุดลง
หลังจากปิดตัวจัดการงาน มัลแวร์จะเริ่มกระบวนการ wuapp.exe ซ้ำแล้วซ้ำอีก
คนขุดแร่ฉีดมันเข้าไป
ด่าน 3 คนขุดแร่
พิจารณาเครื่องขุด XMRig ที่กล่าวถึงข้างต้น
มัลแวร์แทรกซึมเวอร์ชัน UPX ของตัวขุดลงใน Notepad, exe, explorer.exe
svchost.exe หรือ wuapp.exe ขึ้นอยู่กับความลึกบิตของระบบปฏิบัติการและขั้นตอนของอัลกอริทึมการดำเนินการ
ส่วนหัว PE ในตัวขุดถูกลบออกแล้ว และในภาพหน้าจอด้านล่าง เราจะเห็นว่ามันถูกปิดบังด้วย UPX
หลังจากสร้างดัมพ์และสร้างไฟล์ปฏิบัติการขึ้นใหม่ เราก็สามารถรันมันได้:
ควรสังเกตว่าการเข้าถึงไซต์ XMR เป้าหมายถูกปฏิเสธ ซึ่งจะทำให้ตัวขุดนี้เป็นกลางอย่างมีประสิทธิภาพ
การกำหนดค่าคนงานเหมือง:
"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"เชลล์ PHP ลึกลับส่งข้อมูลไปยัง C&C
ในระหว่างการสอบสวนนี้ ทีมนิติเวชของเราค้นพบไฟล์ XSL ที่ดึงดูดความสนใจของพวกเขา หลังจากการวิเคราะห์ตัวอย่างเชิงลึกแล้ว ก็พบว่าเชลล์ PHP ใหม่ถูกค้นพบซึ่งเชื่อมต่อกับศูนย์ควบคุม (เซิร์ฟเวอร์ C&C) อย่างต่อเนื่อง
พบไฟล์ XSL บนเซิร์ฟเวอร์หลายเครื่องในสภาพแวดล้อมของลูกค้าที่เปิดใช้งานโดยไฟล์ปฏิบัติการ Windows ที่รู้จัก (mscorsv.exe) จากโฟลเดอร์ในไดเรกทอรี sysWOW64
โฟลเดอร์มัลแวร์ถูกเรียกว่าการกู้คืนอัตโนมัติและมีอยู่ หลายไฟล์:
- ไฟล์ XSL: xml.XSL
- ไฟล์ DLL เก้าไฟล์
ไฟล์ปฏิบัติการ:
- Mscorsv.exe
- Wmiprvse.exe
ไฟล์ XSL
ไฟล์ XSL คือสไตล์ชีต คล้ายกับไฟล์ที่ใช้ใน CSS ซึ่งอธิบายวิธีการแสดงเอกสาร XML
เมื่อใช้ Notepad เราพบว่าแท้จริงแล้วมันไม่ใช่ไฟล์ XSL แต่เป็นโค้ด PHP ที่ถูกทำให้สับสนโดย Zend Guard ข้อเท็จจริงที่น่าสงสัยนี้ชี้ให้เห็นว่ามันเป็น
เพย์โหลดของมัลแวร์ตามอัลกอริธึมการดำเนินการ
DLL เก้าตัว
การวิเคราะห์เบื้องต้นของไฟล์ XSL นำไปสู่ข้อสรุปว่ามีตัวเลขดังกล่าวอยู่
DLL มีความหมายบางอย่าง โฟลเดอร์หลักประกอบด้วย DLL ชื่อ php.dll และไลบรารีอื่นๆ อีกสามไลบรารีที่เกี่ยวข้องกับ SSL และ MySQL ในโฟลเดอร์ย่อย ผู้เชี่ยวชาญพบไลบรารี PHP สี่ไลบรารีและไลบรารี Zend Guard หนึ่งไลบรารี ทั้งหมดถูกต้องตามกฎหมาย และได้รับจากแพ็คเกจการติดตั้ง PHP หรือเป็น dll ภายนอก
ในขั้นตอนนี้ สันนิษฐานว่ามัลแวร์ถูกสร้างขึ้นโดยใช้ PHP และถูกทำให้สับสนโดย Zend Guard
ไฟล์ที่ปฏิบัติการได้
นอกจากนี้ในโฟลเดอร์นี้ยังมีไฟล์ปฏิบัติการสองไฟล์: Mscorsv.exe และ Wmiprvse.exe
หลังจากวิเคราะห์ไฟล์ mscorsv.exe เราพบว่าไฟล์นั้นไม่ได้ลงนามโดย Microsoft แม้ว่าพารามิเตอร์ ProductName จะถูกตั้งค่าเป็น “Microsoft.exe” เน็ตเฟรมเวิร์ก”
ในตอนแรกมันดูแปลก แต่การวิเคราะห์ Wmiprvse.exe ทำให้เราเข้าใจสถานการณ์ได้ดีขึ้น
ไฟล์ Wmiprvse.exe ไม่ได้ลงนามเช่นกัน แต่มีสัญลักษณ์ลิขสิทธิ์กลุ่ม PHP และไอคอน PHP การดูบรรทัดอย่างรวดเร็วเผยให้เห็นคำสั่งจากวิธีใช้ PHP เมื่อดำเนินการด้วยสวิตช์ -version พบว่าเป็นไฟล์ปฏิบัติการที่ออกแบบมาเพื่อเรียกใช้ Zend Guard
เมื่อ mscorsv.exe เปิดตัวในลักษณะเดียวกัน ข้อมูลเดียวกันก็ปรากฏบนหน้าจอ เราเปรียบเทียบข้อมูลไบนารีของทั้งสองไฟล์และพบว่าข้อมูลเหมือนกัน ยกเว้นข้อมูลเมตา
ลิขสิทธิ์และชื่อบริษัท/ชื่อผลิตภัณฑ์
จากข้อมูลนี้ สรุปได้ว่าไฟล์ XSL มีโค้ด PHP ที่ทำงานโดยใช้ไฟล์ปฏิบัติการ Zend Guard ซึ่งซ่อนอยู่ภายใต้ชื่อ mscorsv.exe
กำลังแยกวิเคราะห์ไฟล์ XSL
การใช้การค้นหาทางอินเทอร์เน็ต ผู้เชี่ยวชาญได้รับเครื่องมือลดความสับสนของ Zend Guard อย่างรวดเร็ว และกู้คืนรูปลักษณ์ดั้งเดิมของไฟล์ xml.XSL:
ปรากฎว่ามัลแวร์นั้นเป็นเชลล์ PHP ที่เชื่อมต่อกับศูนย์ควบคุมอย่างต่อเนื่อง (เซิร์ฟเวอร์ C&C)
คำสั่งและเอาต์พุตที่ส่งและรับจะถูกเข้ารหัส เนื่องจากเรามีซอร์สโค้ด เราจึงมีทั้งคีย์เข้ารหัสและคำสั่ง
มัลแวร์นี้มีฟังก์ชันการทำงานในตัวดังต่อไปนี้:
- Eval - โดยทั่วไปใช้เพื่อแก้ไขตัวแปรที่มีอยู่ในโค้ด
- การบันทึกไฟล์ในเครื่อง
- ความเป็นไปได้ในการทำงานกับฐานข้อมูล
- ความเป็นไปได้ในการทำงานกับ PSEXEC
- การดำเนินการที่ซ่อนอยู่
- กระบวนการทำแผนที่และบริการ
ตัวแปรต่อไปนี้บ่งชี้ว่ามัลแวร์มีหลายเวอร์ชัน
เมื่อเก็บตัวอย่างพบเวอร์ชันต่อไปนี้:
- 0.5f
- 0.4p
- 0.4o
ฟังก์ชันเดียวในการรับรองว่ามัลแวร์มีอยู่อย่างต่อเนื่องบนระบบคือเมื่อดำเนินการจะสร้างบริการที่ดำเนินการเองและชื่อของมัน
การเปลี่ยนแปลงจากรุ่นสู่รุ่น
ผู้เชี่ยวชาญพยายามค้นหาตัวอย่างที่คล้ายกันบนอินเทอร์เน็ตและค้นพบมัลแวร์
ซึ่งในความเห็นของพวกเขาคือเวอร์ชันก่อนหน้าของกลุ่มตัวอย่างที่มีอยู่ เนื้อหาของโฟลเดอร์คล้ายกัน แต่ไฟล์ XSL แตกต่างและมีหมายเลขเวอร์ชันต่างกัน
มัลแวร์ Parle-Vu?
มัลแวร์อาจมีต้นกำเนิดในฝรั่งเศสหรือประเทศอื่นที่พูดภาษาฝรั่งเศส: ไฟล์ SFX มีความคิดเห็นเป็นภาษาฝรั่งเศส ซึ่งบ่งชี้ว่าผู้เขียนใช้ WinRAR เวอร์ชันภาษาฝรั่งเศสในการสร้าง
นอกจากนี้ตัวแปรและฟังก์ชันบางอย่างในโค้ดยังได้รับการตั้งชื่อเป็นภาษาฝรั่งเศสด้วย
ตรวจสอบการดำเนินการและรอคำสั่งใหม่
ผู้เชี่ยวชาญแก้ไขโค้ดมัลแวร์และเปิดใช้งานโค้ดที่แก้ไขแล้วอย่างปลอดภัย
เวอร์ชันเพื่อรวบรวมข้อมูลเกี่ยวกับคำสั่งที่ได้รับ
เมื่อสิ้นสุดเซสชันการสื่อสารครั้งแรก ผู้เชี่ยวชาญพบว่ามัลแวร์ได้รับคำสั่งที่เข้ารหัสโดยใช้ Base64 เป็นอาร์กิวเมนต์สำหรับคีย์เปิดใช้ EVAL64
คำสั่งนี้ถูกถอดรหัสและดำเนินการ โดยจะเปลี่ยนตัวแปรภายในหลายตัว (ขนาดบัฟเฟอร์การอ่านและเขียน) หลังจากนั้นมัลแวร์จะเข้าสู่วงจรการทำงานเพื่อรอคำสั่ง
ในขณะนี้ยังไม่ได้รับคำสั่งใหม่
เชลล์ PHP แบบโต้ตอบและ cryptominer: เกี่ยวข้องกันหรือไม่
ผู้เชี่ยวชาญของ Varonis ไม่แน่ใจว่า Norman มีความเกี่ยวข้องกับเชลล์ PHP หรือไม่ เนื่องจากมีข้อโต้แย้งที่หนักแน่นทั้งต่อและคัดค้านสมมติฐานนี้:
ทำไมพวกเขาถึงอาจเกี่ยวข้องกัน?
- ไม่มีตัวอย่างซอฟต์แวร์ cryptomining ที่เป็นอันตรายใดที่สามารถแพร่กระจายไปยังระบบอื่นได้อย่างอิสระ แม้ว่าจะพบบนอุปกรณ์ต่างๆ ในเครือข่ายต่างๆ เป็นไปได้ว่าผู้โจมตีติดเชื้อแต่ละโหนดแยกจากกัน (อาจใช้เวกเตอร์การโจมตีเดียวกันกับเมื่อแพร่ระบาด Patient Zero) แม้ว่าการใช้เชลล์ PHP เพื่อกระจายไปทั่วเครือข่ายที่เป็นเป้าหมายของการโจมตีจะมีประสิทธิภาพมากกว่าก็ตาม
- แคมเปญอัตโนมัติขนาดใหญ่ที่กำหนดเป้าหมายไปที่องค์กรใดองค์กรหนึ่งมักจะทิ้งสิ่งประดิษฐ์ทางเทคนิคหรือร่องรอยของภัยคุกคามความปลอดภัยทางไซเบอร์ที่จดจำได้ ในกรณีนี้ไม่พบสิ่งใดเลย
- ทั้ง Norman และ PHP เชลล์ใช้บริการ DuckDNS
ทำไมพวกเขาถึงไม่เกี่ยวข้องกัน?
- ไม่มีความคล้ายคลึงกันทางเทคนิคระหว่างมัลแวร์เข้ารหัสลับและเชลล์ PHP cryptominer ที่เป็นอันตรายถูกสร้างขึ้นใน C ++ และเชลล์อยู่ใน PHP นอกจากนี้ โครงสร้างโค้ดยังไม่มีความคล้ายคลึงกัน และฟังก์ชันเครือข่ายก็มีการใช้งานต่างกัน
- ไม่มีการสื่อสารโดยตรงระหว่างตัวแปรมัลแวร์และเชลล์ PHP เพื่อแลกเปลี่ยนข้อมูล
- พวกเขาไม่ได้แชร์ความคิดเห็นของนักพัฒนา ไฟล์ ข้อมูลเมตา หรือลายนิ้วมือดิจิทัล
คำแนะนำสามประการในการป้องกันกระสุนระยะไกล
มัลแวร์ซึ่งต้องใช้คำสั่งจากศูนย์ควบคุม (เซิร์ฟเวอร์ C&C) จึงจะทำงาน ไม่เหมือนไวรัสทั่วไป การกระทำของเขาไม่สามารถคาดเดาได้และจะคล้ายกับการกระทำของแฮ็กเกอร์หรือเพนเทสเตอร์ที่ทำโดยไม่ต้องใช้เครื่องมือหรือสคริปต์อัตโนมัติ ดังนั้นการตรวจจับการโจมตีเหล่านี้โดยไม่มีลายเซ็นมัลแวร์จึงมีความท้าทายมากกว่าการสแกนไวรัสทั่วไป
ด้านล่างนี้เป็นคำแนะนำสามประการสำหรับการปกป้องบริษัทจากเชลล์ระยะไกล:
- อัปเดตซอฟต์แวร์ทั้งหมดให้ทันสมัยอยู่เสมอ
ผู้โจมตีมักใช้ช่องโหว่ในซอฟต์แวร์และระบบปฏิบัติการเพื่อกระจายไปทั่วเครือข่ายขององค์กรและค้นหาข้อมูลที่น่าสนใจเพื่อ
ขโมย การแพตช์อย่างทันท่วงทีช่วยลดความเสี่ยงของภัยคุกคามดังกล่าวได้อย่างมาก - ตรวจสอบเหตุการณ์การเข้าถึงข้อมูลที่ผิดปกติ
เป็นไปได้มากว่าผู้โจมตีจะพยายามนำข้อมูลที่เป็นความลับขององค์กรออกไปนอกขอบเขต การตรวจสอบเหตุการณ์การเข้าถึงข้อมูลที่ผิดปกตินี้จะอนุญาต
ตรวจจับผู้ใช้ที่ถูกบุกรุก รวมถึงชุดโฟลเดอร์และไฟล์ทั้งหมดที่อาจตกไปอยู่ในมือของผู้โจมตี ไม่ใช่แค่พิจารณาข้อมูลทั้งหมดที่มีให้กับผู้ใช้เหล่านี้ - ตรวจสอบการรับส่งข้อมูลเครือข่าย
การใช้ไฟร์วอลล์และ/หรือพร็อกซีเซิร์ฟเวอร์สามารถตรวจจับและบล็อกการเชื่อมต่อที่เป็นอันตรายไปยังศูนย์ควบคุมมัลแวร์ (เซิร์ฟเวอร์ C&C) ป้องกันไม่ให้ผู้โจมตีดำเนินการคำสั่งและทำให้ยากยิ่งขึ้น
ข้อมูลปริมณฑล
กังวลเกี่ยวกับปัญหาการขุดสีเทาหรือไม่? คำแนะนำหกประการสำหรับการป้องกัน:
- ปรับปรุงระบบปฏิบัติการทั้งหมดให้ทันสมัยอยู่เสมอ
การจัดการแพตช์มีความสำคัญมากในการป้องกันการใช้ทรัพยากรในทางที่ผิดและการติดมัลแวร์ - ควบคุมการรับส่งข้อมูลเครือข่ายและพร็อกซีของเว็บ
ทำเช่นนี้เพื่อตรวจจับการโจมตีบางอย่าง และเพื่อป้องกันการโจมตีบางส่วน คุณสามารถบล็อกการรับส่งข้อมูลตามข้อมูลเกี่ยวกับโดเมนที่เป็นอันตราย หรือจำกัดช่องทางการรับส่งข้อมูลที่ไม่จำเป็น - ใช้และบำรุงรักษาโซลูชันป้องกันไวรัสและระบบรักษาความปลอดภัยปลายทาง (แต่ไม่ได้จำกัดตัวคุณเองให้ใช้เพียงการป้องกันชั้นนี้เท่านั้น)
ผลิตภัณฑ์ปลายทางสามารถตรวจจับ cryptominers ที่รู้จักกันดีและป้องกันการติดไวรัสก่อนที่จะสร้างความเสียหายต่อประสิทธิภาพของระบบและการใช้พลังงาน โปรดทราบว่าการแก้ไขใหม่หรือวิธีการใหม่ในการป้องกันการตรวจจับอาจทำให้การรักษาความปลอดภัยปลายทางล้มเหลวในการตรวจจับเวอร์ชันใหม่ของมัลแวร์เดียวกัน - ตรวจสอบกิจกรรม CPU ของคอมพิวเตอร์
โดยทั่วไปแล้ว นักขุด crypto จะใช้โปรเซสเซอร์กลางของคอมพิวเตอร์ในการขุด จำเป็นต้องวิเคราะห์ข้อความใด ๆ เกี่ยวกับประสิทธิภาพที่ลดลง (“คอมพิวเตอร์ของฉันเริ่มช้าลง”) - ตรวจสอบ DNS สำหรับการใช้บริการ Dynamic DNS ที่ผิดปกติ (เช่น DuckDNS)
แม้ว่า DuckDNS และบริการ Dynamic DNS อื่นๆ จะไม่เป็นอันตรายต่อระบบโดยธรรมชาติ แต่การใช้ DuckDNS โดยมัลแวร์ทำให้ทีมสืบสวนของเราตรวจจับโฮสต์ที่ติดไวรัสได้ง่ายขึ้น
- จัดทำแผนตอบสนองต่อเหตุการณ์
ตรวจสอบให้แน่ใจว่าคุณมีขั้นตอนที่จำเป็นสำหรับเหตุการณ์ดังกล่าวเพื่อตรวจจับ กักเก็บ และบรรเทาภัยคุกคามจากการขุด crypto โดยอัตโนมัติ
หมายเหตุถึงลูกค้าวาโรนิส
รวมถึงโมเดลภัยคุกคามที่ช่วยให้สามารถตรวจจับมัลแวร์เข้ารหัสลับได้ ลูกค้ายังสามารถสร้างกฎที่กำหนดเองเพื่อกำหนดเป้าหมายการตรวจจับซอฟต์แวร์ตามโดเมนที่เข้าข่ายถูกขึ้นบัญชีดำ เพื่อให้แน่ใจว่าคุณใช้งาน DatAlert เวอร์ชันล่าสุดและใช้โมเดลภัยคุกคามที่ถูกต้อง โปรดติดต่อตัวแทนฝ่ายขายของคุณหรือฝ่ายสนับสนุนของ Varonis
ที่มา: will.com