欧洲国际机场系统近日感染了Monero挖矿恶意软件

显示全部楼层 · 发表于 2019-10-18 12:30:19

最近，欧洲国际机场的所有计算系统中超过50％被MoneroXMR加密挖矿程序感染，据称这种挖矿程序与2018年8月在Zscaler发起的反集中挖矿运动有关。

wk588_dqn3wkq1jcq.jpg

国外安全公司Cyberbit的端点检测和响应团队在部署其安全解决方案时发现了加密劫持攻击，其行为引擎随后在某些机场系统上检测到可疑活动。

Cyberbit说到：“尽管所有工作站都配备了行业标准的防病毒软件，但在安装Cyberbit EDR之前，该恶意软件可能已经运行了数月。”

幸运的是，除了影响受感染系统的整体性能并导致功耗增加之外，门罗币ig Monero挖矿程序也没有影响到机场的正常运营。

使用行为分析检测到攻击

虽然一年多以前就曾发现过用来感染机场计算机的加密挖矿程序，但攻击者对其进行了足够的修改，以确保不会被反病毒意软件识别到。

Cyberbit发现：“我们发现的恶意软件是一年多以前在Zscaler发现的。” “黑客对它进行了修改，足以逃避绝大多数现有签名验证环节，在VirusTotal上的73种检测产品中，只有16种将这种挖矿样本检测为恶意软件。”

wk588_2zmcduuqqni.jpg

Cyberbit公司发现了这种感染，因为威胁者反复启动了PAeternityxec，这是合法的Microsoft工具PsExec的可再发行版本，PsExec是一种轻量级实用程序，用于在其他系统上远程执行进程。

该工具用于特权升级，它使他们可以在“系统模式”下启动名为Player的可执行文件，从而有可能在受到感染的系统上获得最大的用户特权。

报告说：“系统模式提供了最大的特权，因此挖矿程序在使用工作站资源方面将比其他任何应用程序都具有更高的优先级。”

“这会影响其他应用程序以及机场设施的性能。使用管理特权还降低了安全工具检测活动的能力。”

Cyberbit研究人员补充说：“ PAeternityxec的使用通常表示恶意活动，而且该工具被重复使用。”

用于避免检测的无文件恶意软件策略

攻击者还使用反射性动态链接库（DLL）加载（也称为反射性DLL注入）（一种由恶意软件操作员使用的已知检测规避技术）将恶意DLL注入到内存中运行的主机进程中，而无需完全使用Windows加载程序绕过被感染系统的硬盘驱动器。

该恶意软件还将PAeternityxec添加到系统的注册表中，以保持持久性，以确保机场员工无法通过重新启动受影响的计算机来摆脱感染。

wk588_vpi2exvmvtp.jpg

虽然尚不知道感染媒介，但攻击者可能已采用了多种方法，从通过网络钓鱼电子邮件丢弃恶意有效负载，或使用隐写术以将挖矿程序隐藏在看似良性的文件中并感染系统，再到通过偷渡式下载来丢弃恶意软件。加密挖矿程序二进制文件可能会利用在机场网络上运行的易受攻击的服务器。

“在最坏的情况下，攻击者可能会闯入IT网络，以此跳入机场的OT网络，以破坏从跑道灯到行李搬运机和飞机的关键操作系统，这几例是在许多标准机场OT系统中可能被网络破坏造成灾难性的物理损害。” Cyberbit总结道。

欧洲国际机场系统近日感染了Monero挖矿恶意软件

相关帖子