压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

aloAlto Networks 安全專家近期發現了一項大規模的加密貨幣挖礦活動，旨在使用開源的 XMRig 工具挖掘門羅幣。目前該攻擊活動已持續 4 個多月，涉及全球系統數量約達 3000 萬，最受影響的國家有泰國（3,545,437），越南（1,830,065）和土耳其（665,058）。

據安全專家介紹，攻擊者使用 VBS 文件和 URL 縮短服務來部署采礦工具。例如當攻擊者使用 Adf.ly 短網址服務時，只要用戶點擊鏈接就會被重定向，隨后下載加密貨幣挖礦軟件 。

安全專家認為 Monero 的挖掘操作非常龐大，因為目前研究人員已經檢測到超過 250 個獨特的 Microsoft Windows PE 文件，其中大部分是從在線云存儲提供商 4sync 下載的。 這些文件具有通用名稱，可能是因為源自文件共享服務。

攻擊者通過 VBS 文件執行 XMRig 挖礦軟件，并利用 XMRig 代理服務來隱藏最終的礦池目的地。 此外，研究人員還注意到攻擊者使用了 Nicehash 市場來交易哈希處理能力。

據 PaloAlto 的專家介紹，去年 10 月 20 日是該貨幣挖掘行動的一個里程碑，在此之前攻擊者是使用 Windows 內置的 BITSAdmin 工具來從遠程位置下載 XMRig 。（注意：一般情況下，最終的 playload 主要是由 “ msvc.exe ” 安裝的。）

在 10 月 20 日之后，安全專家觀察到攻擊者開始使用 HTTP 重定向服務。

而在 11 月 16 日起，攻擊者改變了惡意軟件的攻擊策略：

他們不再使用 SFX 文件，而是重新采用了一種在 Microsoft .NET Framework 中編譯的可執行文件，該文件將 VBS 文件寫入磁盤并修改受害用戶的運行注冊表項，以確保持久性。

目前安全人員觀察到攻擊策略最后一次改變是在 2017 年 12 月下旬，攻擊者改變了用來部署惡意軟件的 dropper：

在放棄 . NET 之后，他們使用 Borland Delphi 編譯的 dropper 來創建必要的 VBS 文件。 與 .NET droppers 不同的是，這個特定的 dropper 將 VBS 文件放在受害用戶的啟動文件夾中，目的是為了獲得持久性 。

令人奇怪的是，規模如此龐大的一個門羅幣挖礦活動竟然在這么長的時間內都沒有引起人們的注意，相關安全專家認為這種情況很是反常。