标签: Monero

分析 629126 个挖矿恶意软件后 发现 5% 的 Monero 都是感染设备挖出的

Palo Alto Networks公司的多名安全研究专家对恶意挖矿行为进行了深入研究,发现5%的Monero加密货币是通过恶意程序开采出来的,而且每日大约2%的算力(hashrate)来自于感染加密货币恶意程序的设备。 在昨天发布的报告中,团队对629126个恶意程序样本进行了检测分析,本次分析并不涉及浏览器矿工(加密劫持),仅仅只是从去年6月份以来感染的桌面和设备。研究人员表示,本次检测和分析的84%恶意程序样本都是针对Monero加密货币的,是恶意组织最受欢迎的加密货币。 通过查询9个挖矿池(允许第三方查询它们的支付统计数据),研究人员在5316663个恶意程序样本中发现了2341个Monero地址,团队预估这些黑客团队在过去1年中已经获取了价值超过1.08亿美元的Monero币。 Palo Alto Networks公司还指出,犯罪团伙已经利用被感染的设备恶意挖矿了约798,613.33枚Monero coins (XMR)。在过去1年中,被感染的设备的算力达到了每秒19,503,823.54hashes/second,占据了Monero网络整个算力的2%。   稿源:cnBeta,封面源自网络;

新型 Android 恶意软件 HiddenMiner 开启「毁机」挖矿模式,危害中印两国手机用户

趋势科技在本周三表示发现了一种新的 Android 挖矿恶意软件 HiddenMiner,它可以暗中使用受感染设备的CPU 计算能力来窃取 Monero。HiddenMiner 的自我保护和持久性机制让它隐藏在用户设备上滥用设备管理员功能 (通常在 SLocker Android 勒索软件中看到的技术)。另外,由于 HiddenMiner 的挖矿代码中没有设置开关、控制器或优化器,这意味着一旦它开始执行挖矿进程,便会一直持续下去,直到设备电量耗尽为止。鉴于 HiddenMiner 的这种特性,这意味着它很可能会持续挖掘 Monero,直到设备资源耗尽。根据研究人员的说法,HiddenMiner 是在第三方应用商店发现的,大部分受害用户都位于中国和印度。 HiddenMiner 的持续挖矿与导致设备电池膨胀的Android 恶意软件 Loapi 类似,不仅如此,HiddenMiner 还使用了类似于撤销设备管理权限后 Loapi 锁定屏幕的技术。 研究人员通过进一步钻研 HiddenMiner,发现 Monero 矿池和钱包与恶意软件连接,并获悉其中一家运营商从钱包中提取了 26 XMR(截至 2018 年 3 月26 日价值为 5,360 美元)。 图 1 一个 Monero 钱包地址状态的屏幕截图 感染链与技术分析 HiddenMiner 伪装成了合法的 Google Play 商店应用更新程序,使用了与 Google Play 商店相同的图标。HiddenMiner 随着 com.google.android.provider 弹出,并要求用户以设备管理员身份激活它。一旦获得许可,HiddenMiner 将在后台开始挖掘 Monero。 图 2 恶意应用程序的屏幕要求用户以设备管理员身份激活它 HiddenMiner 使用多种技术将自己隐藏在设备中,例如清空应用程序标签并在安装后使用透明图标。一旦受害者以设备管理员身份将其激活,它将通过调用 “ setComponentEnableSetting()”从应用程序启动器隐藏自己。需要注意的是,恶意软件会自行隐藏并自动以设备管理员权限运行,直到下一次设备引导。 DoubleHidden Android 的广告也采用了类似的技术。 图 3 安装后的空应用程序标签和透明图标(左),然后一旦授予设备管理权限就会消失(右) 除此之外,HiddenMiner 还具有反仿真功能,可绕过检测和自动分析。它会通过滥用 Github 上的 Android 模拟器检测器来检查自身是否在模拟器上运行。 图 4 代码片段显示了 HiddenMiner 如何绕过沙箱检测和 Android 模拟器 图 5 代码片段显示了 HiddenMiner 如何挖掘 Monero 在 HiddenMiner 的案例中,受害用户无法将 HiddenMiner 从设备管理员中删除,因为当用户想要停用其设备管理员权限时,恶意软件会利用技巧来锁定设备的屏幕。因为它利用了 Android 操作系统中发现的缺陷(不包括 Nougat 「Android 7.0」和更高版本的设备,因为 Google 通过减少设备管理员应用程序的权限解决了这一问题。) 的确,HiddenMiner 是网络犯罪分子如何驾驭加密货币挖掘浪潮的又一例证。对于用户和企业而言,提高网络安全意识刻不容缓:仅从官方应用市场下载 APP 、定期更新操作系统以及授予应用程序权限时更加谨慎 等都能在一定程度上减小感染恶意软件的几率。 原文报告及解决方案: 《Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure》 消息来源:Trendmicro,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

[信息图]企业传统防御方式已跟不上新型网络威胁

最新报告指出诸如勒索软件之类的攻击之所以能够绕过传统的安全解决方案,是因为这些组织往往忽略了补丁、更新或者更迭当前产品和服务的重要性。根据网络安全公司 Webroot 最新的研究报告称:自 2017 年 9 月份以来,已经有超过 5000 家网站被 JavaScript 加密货币矿工 CoinHive  劫持用于挖取 Monero 币。 Webroot首席技术官Hal Lonas说道:“从过去一年的新闻头条中,我们可以明显感觉到攻击者变得越来越有攻击性,且攻击方式更加的灵活。劫持来挖取加密货币的攻击方式已经成为新的威胁,它达到了攻击者的攻击预期:匿名性、易部署性、低风险和高回报。企业需要使用实时威胁情报来检测这种新威胁,并且在形成进一步伤害之前检测到这些恶意行为。” 从调查数据来看Windows 10的安全性几乎是Windows 7的两倍。但是迁移率非常的低,在2017年年底只有32%的企业设备已经升级至更新的操作系统。 此外钓鱼网络攻击也变得更有针对性,开始利用社会工程学和IP掩码方式来提高入侵成功率。平均计算下来,钓鱼网站在线时间只有4-8个小时,意味着它们正在规避传统的反钓鱼策略。 稿源:cnBeta,封面源自网络;

挖矿蠕虫 WannaMine:通过 NSA “永恒之蓝” 漏洞传播高级加密矿工

外媒 2 月1 日报道,安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫,其利用与 NSA 相关的 EternalBlue (“ 永恒之蓝 ” )漏洞进行传播。据研究人员测试,WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统(包括 64 位版本和 Windows Server 2003),并使其设备性能明显下降。 CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响,比如由于如此高的 CPU 利用率,导致矿业公司的系统以及应用程序崩溃。 研究人员经过分析后发现 WannaMine 的恶意代码十分复杂,因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是:WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后,WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。 研究人员注意到,WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据,从而达到横向移动的目的,但如果不能够横向移动的话,WannaMine 将更依赖于 EternalBlue 的利用。 相关报告: <Threat Hunting, the Investigation of Fileless Malware Attacks> 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

神秘大规模虚拟货币挖矿活动影响全球逾 3000 万系统

PaloAlto Networks 安全专家近期发现了一项大规模的加密货币挖矿活动,旨在使用开源的 XMRig 工具挖掘门罗币。目前该攻击活动已持续 4 个多月,涉及全球系统数量约达 3000 万,最受影响的国家有泰国(3,545,437),越南(1,830,065)和土耳其(665,058)。 据安全专家介绍,攻击者使用 VBS 文件和 URL 缩短服务来部署采矿工具。例如当攻击者使用 Adf.ly 短网址服务时,只要用户点击链接就会被重定向,随后下载加密货币挖矿软件 。 安全专家认为 Monero 的挖掘操作非常庞大,因为目前研究人员已经检测到超过 250 个独特的 Microsoft Windows PE 文件,其中大部分是从在线云存储提供商 4sync 下载的。 这些文件具有通用名称,可能是因为源自文件共享服务。 攻击者通过 VBS 文件执行 XMRig 挖矿软件,并利用 XMRig 代理服务来隐藏最终的矿池目的地。 此外,研究人员还注意到攻击者使用了 Nicehash 市场来交易哈希处理能力。 据 PaloAlto 的专家介绍,去年 10 月 20 日是该货币挖掘行动的一个里程碑,在此之前攻击者是使用 Windows 内置的 BITSAdmin 工具来从远程位置下载 XMRig 。(注意:一般情况下,最终的 playload 主要是由 “ msvc.exe ” 安装的。) 在 10 月 20 日之后,安全专家观察到攻击者开始使用 HTTP 重定向服务。 而在 11 月 16 日起,攻击者改变了恶意软件的攻击策略: 他们不再使用 SFX 文件,而是重新采用了一种在 Microsoft .NET Framework 中编译的可执行文件,该文件将 VBS 文件写入磁盘并修改受害用户的运行注册表项,以确保持久性。 目前安全人员观察到攻击策略最后一次改变是在 2017 年 12 月下旬,攻击者改变了用来部署恶意软件的 dropper: 在放弃 . NET 之后,他们使用 Borland Delphi 编译的 dropper 来创建必要的 VBS 文件。 与 .NET droppers 不同的是,这个特定的 dropper 将 VBS 文件放在受害用户的启动文件夹中,目的是为了获得持久性 。 令人奇怪的是,规模如此庞大的一个门罗币挖矿活动竟然在这么长的时间内都没有引起人们的注意,相关安全专家认为这种情况很是反常。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

RubyMiner 恶意软件入侵过时服务器挖掘加密货币

安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的网络服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明,攻击事件始于上周 1 月 9 日至 10 日。 攻击 Linux 和 Windows 服务器 Ixia 安全研究员 Stefan Tanase 指出,RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器,攻击者就可以将已知的漏洞部署在易受攻击的服务器上,然后用 RubyMiner 来感染他们。 Check Point 和 Ixia 表示,他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞: ◍ Ruby on Rails XML处理器 YAML 反序列化代码执行(CVE-2013-0156) ◍ PHP php-cgi 查询字符串参数代码执行(CVE-2012-1823;CVE-2012-2311; CVE-2012-2335;CVE -2012-2336;CVE-2013-4878) ◍ 微软 IIS ASP 脚本的源代码泄露(CVE-2005-2678 ) 攻击者将恶意代码隐藏在 robots.txt 文件中 在上周发布的一份报告中,Check Point 根据从 honeypot 服务器收集的数据,在 Linux 系统上分解了 RubyMiner 的感染例程,并从中认识到攻击者在某些方面的创造力: ▨ 可利用代码包含了一系列 shell 命令 ▨ 攻击者清除了所有的 cron 作业 ▨ 攻击者添加了一个新的计时 cron 作业 ▨ 新的 cron 作业下载了在线托管的脚本 ▨ 该脚本托管在多个域的 robots.txt 文件内 ▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。 Check Point 安全研究员 Lotem Finkelstein 则表示,目前攻击者瞄准了 Windows IIS 服务器,但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ,Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞, Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。 Monero 采矿恶意软件的发展趋势日益明显 总体而言,近几个月来传播加密货币挖掘恶意软件的尝试有所增加,尤其是挖掘 Monero 的恶意软件。 除了密码劫持事件(也是 Monero )之外,2017 年的一些 Monero 挖掘恶意软件家族和僵尸网络还包括 Digmine、针对 WordPress 网站的未知僵尸网络、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸网络、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期,已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中,研究人员发现攻击者试图使用最近的漏洞攻击,因为会有更多易感染的机器。但奇怪的是,RubyMiner 攻击者却使用非常古老的漏洞,并且大多数安全软件都能检测到这些漏洞。 据研究员 Finkelstein 透露,RubyMiner 攻击者可能是故意寻找被遗弃的机器,比如被遗忘的个人电脑和带有旧操作系统的服务器 ,感染设备后确保在安全雷达下进行长时间的采矿。 RubyMiner 团伙已感染 700 多台服务器 根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址,Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右,攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞,其幕后团队可能会赚取更多的钱。例如,一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑莓手机官网感染 Coinhive 虚拟货币挖矿脚本

外媒 1 月 9 日消息, 一位绰号为 “ Rundvleeskroket ” 的 Reddit 用户于 6 日声称黑莓手机官网(blackberrymobile.com)被攻击者利用,通过 Coinhive 货币挖矿工具挖掘 Monero(门罗币) 。根据 Coinhive 的说法该网站遭入侵是因为 Magento 电子商务软件存在安全漏洞。 调查显示,似乎只有全球网站受到 coinhive 挖矿工具的影响,其加拿大、欧盟、美国等地区的用户不在涉及范围内。 Reddit 用户分享的屏幕截图 目前黑莓手机官网已删除了 Coinhive 工具代码,但此类事件愈演愈烈情形不容乐观: 去年 11 月份,专家报告称相同的攻击者加载伪装成假 jQuery 和 Google Analytics JavaScript 文件的恶意脚本,这些文件实际上是 Coinhive 浏览器内加密货币矿工的副本。截至 11 月 22 日,据专家统计共有 1,833 个网站被攻击。 12 月份,Sucuri 的专家发现近 5,500 个 WordPress 网站感染恶意脚本。研究显示该恶意脚本能够记录击键信息,并在访问者的浏览器中加载了一个秘密工作的虚拟货币挖矿工具。同月,星巴克某店 Wifi 被爆遭黑客利用蹭网用户电脑进行挖矿。 Coinhive 工具官方在发现了同一个 Coinhive 帐户被许多其他网站所使用后,对该账户进行了封禁操作。此外,Coinhive 因其服务被滥用向用户表达了歉意。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“Zealot”行动揭秘:黑客组织利用 NSA 漏洞入侵 Windows 、Linux 服务器挖掘门罗币

据外媒 12 月 16 日报道,美国网络安全公司 F5 Networks  发现了一项利用 NSA 漏洞大量入侵 Linux 和 Windows 服务器同时植入恶意软件 “ Zealot ”来挖掘 Monero 加密货币的攻击行动。 黑客组织同时利用 NSA 漏洞入侵目标服务器 根据 F5 Networks 安全研究人员的说法,黑客组织使用两个漏洞扫描互联网上的特定服务器: 一个是用于 Apache Struts(CVE-2017-5638 — RCE 远程代码执行漏洞),另一个则是用于DotNetNuke ASP.NET CMS ( CVE-2017-9822 — DotNetNuke 任意代码执行漏洞)。  其中 Apache Struts (CVE-2017-5638)漏洞也是今年早些时候黑客组织利用来攻击美国金融巨头 Equifax  的同一个漏洞。 此外,亦有其他犯罪集团在今年 4 月份使用同一漏洞并将勒索软件安装在了使用 Struts  2 框架的服务器上,初步统计当时他们从中获利超过 10万美元。 在研究人员表示,若目标是 Windows 服务器,攻击者将会在服务器上部署 EternalBlue (永恒之蓝)和 EternalSynergy(永恒协作),这是今年早些时候由 Shadow Broker  “ 影子经纪人 ” 泄露的两个 NSA 漏洞,可利用于在用户本地网络中横向扩散、感染更多系统。随后,黑客组织使用 PowerShell 下载并安装最后一阶段的恶意软件,该恶意软件在攻击行动中充当 Monero 矿工的角色。而在 Linux 上,黑客组织则通过从 EmpireProject 后期开发框架中获取的 Python 脚本感染系统,并且也会安装同一个 Monero 矿工。 挖掘 Monero(门罗币)至少赚了 8500 美元 从收集到的 Monero 地址来看,黑客组织至少从此次攻击中获得了8500 美元。考虑到黑客组织很可能还使用了其他 Monero 钱包,这意味着他们获利金额会更高。有趣的是通过对恶意代码的分析,研究员们发现该黑客组织成员似乎是 StarCraft (星际争霸)游戏的忠实粉丝,因为行动中使用的许多术语和文件名都来自游戏,比如狂热者(Zealot)、观察者(Observer)、霸王(Overlord)、乌鸦(Raven)等。 不过 F5 专家们警告称, Zealot 的攻击活动运用了多级感染链、定制先进恶意软件 , 通过 NSA 漏洞进行横向扩散已经造成了巨大危害。而且黑客组织随时都有可能将最后阶段的 playload 更改为任何他们想要的东西,比如安装勒索软件而不是挖矿工具。 消息来源: BleepingComputer,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客利用 Windows 服务器漏洞挖掘门罗币,获利逾 6.3 万美元

HackerNews.cc  9 月 28 日消息,安全公司 ESET 研究人员近期发布安全报告,声称网络犯罪分子针对合法开源 Monero(门罗币)的采矿软件进行了修改,并利用 Microsoft IIS 6.0 中的已知漏洞(CVE-2017-7269)在未修复补丁的 Windows 服务器上秘密挖掘 Monero。目前,网络犯罪分子已在短短三个月内感染数百台 Windows Web 服务器、获取价值 63,000 美元的 Monero。 研究人员表示,由于该漏洞位于 Web 服务器上,这意味着互联网上的任何用户都可访问与利用。据悉,Monero 是一款新发现的加密货币,其总市场估值约为 14 亿美元。虽然 Monero 市值远远落后于比特币,但由于该加密货币不可追溯交易记录,因此网络犯罪分子尤为喜爱。 此外,黑客使用 Monero 的另一个原因是因为它使用了一种名为 CryptoNight 的工作验证算法,适用于所有计算机或服务器 CPU 与 GPU 的采矿操作。目前,研究人员提醒用户尽快升级设备系统至最新版本,从而预防黑客攻击活动。 原作者:Swati Khandelwal ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。