研究人员发现隐藏在WAV音频文件中的Cryptojacker
维珍媒体确认“错误配置数据库”左侧个人数据暴露90万人
Telia Carrier扩展了SD-WAN解决方案组合
Girlguiding Hosts互动网络安全车间
2020年的橙色分享和收敛果汁
Interpol在印度尼西亚揭开网络犯罪行动
Isilon的多点升级到OneFS 8.2.2面具大变化
澳大利亚野火在电信网络上造成通报
ASOS试验AR工具,为客户提供时尚合适的想法
它优先事项2020:数字化驱动它现代化的增长
校长警告,IR35改革是“妖魔化”承包商并将其锁定失业
TelefónicaDeutschland为5G推出的450欧元的贷款降低贷款
开放安全组推出常见的OpenDXL语言
空中新西兰水龙头AI
O2提供2019财年的实体财政,并以5G为指数作为娱乐的未来
瑞典委员会为脆弱的人员测试虚拟现实
爱立信在2020年为5G核心迈出
新加坡的StarHub和M1团队在5G牌照竞标中
苏格兰在数字身份项目中进入
警察算法需要国家指导“作为紧急事项”
案例分析:训练力如何让客户满意
Oxbotica船上与思科推动自动车辆数据挑战
Cdei说,社交媒体目标算法需要规定
恶意应用程序仍然超过谷歌控件
英国政府推出200万英镑计划,提高工业和农村5克
GitHub眼睛印度市场,形成当地子公司
O2扩展了英国LTE-M推出的企业IOT提供
它优先事项2020:英国业务应用投资AI收集蒸汽
面试:建立一个机器人来导航海洋
四分之一的用户将用于基本网络钓鱼攻击
朴茨茅斯市议会龙头MLL电信为未来的网络
启动成功是“芬兰梦”
技术供应商如何易于易于杂交云采用
达沃斯:时钟正在挑战气候变化,但网络犯罪和新兴技术增加了风险
智能使用数据进一步接受荷兰铁路
梅特办公室获得了更新超级计算机的资金十年
应该在澳大利亚的下一个网络安全战略中
诺基亚点燃了乐天网络,与爱尔兰航空权威飞行
在休闲技术探索北欧的健康优势
诺基亚在法国和意大利推出5克,位于阿根廷
CSPS Trail业务客户5G野心
国家彩票黑客被判入狱九个月
容器应用程序如何塑造存储管理
IR35改革受预算预算预算查询,因为自雇人士受到信任危机的影响
Nicky Morgan表示,新政府将是亲科技
澳大利亚政府利用里米尼街采购交易
CommSworld首先在苏格兰边界首先要求深丝纤维
Microsoft锁定了与EterNalblue echoes的新漏洞
黑客社区被网络犯罪分子在新的特洛伊木马竞选
HP Inc收到几美元更多
您的位置:首页 >政策法规 >

研究人员发现隐藏在WAV音频文件中的Cryptojacker

2021-09-11 14:44:03 [来源]:

根据Guardicore Labs的说法,在野外,WAV AUDIO文件格式被利用作为一种与加密网络感染受害者网络的车辆,这些实验室在2019年12月发表了一个新的披露,该公司在2019年12月在未公开的医疗科技公司中发表了最近的事件。

WAV或WAVE文件是一种音频文件类型,它使用容器以原始的和通常未压缩的单元存储音频数据 - 也与其他Windows文件类型共同。这意味着它们通常比其他类型的音频文件(如MP3)大得多,并且被专业音乐家和生产者广泛使用,以保留最佳音质。

根据Guardicore Researchers Ophir Harpaz和Daniel Goldberg的说法,有问题的网络被感染了一个粗壮的恶意软件应变,隐藏了WAV文件里面的Monero Crypominer。

黑客试图通过利用2017年Wannacry爆发而着名的Eternalblue脆弱性感染Windows 7机器在目标中传播。

当几个Windows 7机器下降到死亡的蓝屏(BSOD)的牺牲品下降(BSOD)的威胁时,目标被提醒,并指示内核模式错误,并通过其托管服务提供商的帮助。

虽然机器没有康复才能保存内核内存转储,但是对分析师来说是有用的,仔细检查发现,其中一个机器已经在注册表项中访问了可疑数据的长命令行。超过800个其他机器 - 受害者网络上的一半 - 也有不寻常的数据。

这结果是Base-64编码PowerShell脚本的结果,该脚本被发现在编码和解码的队伍中在线提供,标题为未知恶意软件。

调查显示,攻击者在港口445上进行了子网扫描,以尝试将恶意有效载荷传播到其他主机,并使用EterEnalBlue通过网络横向传播。

“在此发现之后,我们建议该公司阻止端点机之间的所有SMB [服务器消息块]流量,”Horpaz和Goldberg在披露博客中写道。

“公司预先在[Guardicore Product] Centra中有终点机,在他们被突破之前,使政策创造和执法更快。

“Guardicore Labs反向设计恶意软件有效载荷,并找到了一个多层可执行文件。在运行时,有效载荷将在另一个之后解压缩其模块,并在每个迭代中执行未包装的代码。

“恶意软件包含基于开源XMRIG CPU矿器的密码模块。它使用Cryptonightr算法来挖掘Monero - 一种流行的隐私硬币。此外,恶意软件使用隐写术并隐藏其在清洁的WAV文件内的恶意模块。该技术最近报道了,但这是它第一次被视为完全攻击流程的一部分。“

Guardicore通过首次删除恶意软件来修复此特定攻击,暂停恶意进程并删除包含二进制有效载荷的注册表项,此时妥协指标已停止出现。

Horpaz和Goldberg详细介绍了一系列措施,帮助其他可能的受害者调查和修复这种攻击。其中包括在Windows和Linux机器上启用日志转发到集中,硬化服务器,以保护它们 - 配置系统,以节省完整的崩溃转储以供未来的分析 - 以及分离受感染的机器,而不是立即清理它们,这可能会破坏潜在的证据。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。