研究人员发现隐藏在WAV音频文件中的Cryptojacker
根据Guardicore Labs的说法,在野外,WAV AUDIO文件格式被利用作为一种与加密网络感染受害者网络的车辆,这些实验室在2019年12月发表了一个新的披露,该公司在2019年12月在未公开的医疗科技公司中发表了最近的事件。
WAV或WAVE文件是一种音频文件类型,它使用容器以原始的和通常未压缩的单元存储音频数据 - 也与其他Windows文件类型共同。这意味着它们通常比其他类型的音频文件(如MP3)大得多,并且被专业音乐家和生产者广泛使用,以保留最佳音质。
根据Guardicore Researchers Ophir Harpaz和Daniel Goldberg的说法,有问题的网络被感染了一个粗壮的恶意软件应变,隐藏了WAV文件里面的Monero Crypominer。
黑客试图通过利用2017年Wannacry爆发而着名的Eternalblue脆弱性感染Windows 7机器在目标中传播。
当几个Windows 7机器下降到死亡的蓝屏(BSOD)的牺牲品下降(BSOD)的威胁时,目标被提醒,并指示内核模式错误,并通过其托管服务提供商的帮助。
虽然机器没有康复才能保存内核内存转储,但是对分析师来说是有用的,仔细检查发现,其中一个机器已经在注册表项中访问了可疑数据的长命令行。超过800个其他机器 - 受害者网络上的一半 - 也有不寻常的数据。
这结果是Base-64编码PowerShell脚本的结果,该脚本被发现在编码和解码的队伍中在线提供,标题为未知恶意软件。
调查显示,攻击者在港口445上进行了子网扫描,以尝试将恶意有效载荷传播到其他主机,并使用EterEnalBlue通过网络横向传播。
“在此发现之后,我们建议该公司阻止端点机之间的所有SMB [服务器消息块]流量,”Horpaz和Goldberg在披露博客中写道。
“公司预先在[Guardicore Product] Centra中有终点机,在他们被突破之前,使政策创造和执法更快。
“Guardicore Labs反向设计恶意软件有效载荷,并找到了一个多层可执行文件。在运行时,有效载荷将在另一个之后解压缩其模块,并在每个迭代中执行未包装的代码。
“恶意软件包含基于开源XMRIG CPU矿器的密码模块。它使用Cryptonightr算法来挖掘Monero - 一种流行的隐私硬币。此外,恶意软件使用隐写术并隐藏其在清洁的WAV文件内的恶意模块。该技术最近报道了,但这是它第一次被视为完全攻击流程的一部分。“
Guardicore通过首次删除恶意软件来修复此特定攻击,暂停恶意进程并删除包含二进制有效载荷的注册表项,此时妥协指标已停止出现。
Horpaz和Goldberg详细介绍了一系列措施,帮助其他可能的受害者调查和修复这种攻击。其中包括在Windows和Linux机器上启用日志转发到集中,硬化服务器,以保护它们 - 配置系统,以节省完整的崩溃转储以供未来的分析 - 以及分离受感染的机器,而不是立即清理它们,这可能会破坏潜在的证据。