压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

aloAlto Networks 安全專家近期發(fā)現(xiàn)了一項(xiàng)大規(guī)模的加密貨幣挖礦活動，旨在使用開源的 XMRig 工具挖掘門羅幣。目前該攻擊活動已持續(xù) 4 個多月，涉及全球系統(tǒng)數(shù)量約達(dá) 3000 萬，最受影響的國家有泰國（3,545,437），越南（1,830,065）和土耳其（665,058）。

據(jù)安全專家介紹，攻擊者使用 VBS 文件和 URL 縮短服務(wù)來部署采礦工具。例如當(dāng)攻擊者使用 Adf.ly 短網(wǎng)址服務(wù)時，只要用戶點(diǎn)擊鏈接就會被重定向，隨后下載加密貨幣挖礦軟件 。

安全專家認(rèn)為 Monero 的挖掘操作非常龐大，因?yàn)槟壳把芯咳藛T已經(jīng)檢測到超過 250 個獨(dú)特的 Microsoft Windows PE 文件，其中大部分是從在線云存儲提供商 4sync 下載的。 這些文件具有通用名稱，可能是因?yàn)樵醋晕募蚕矸?wù)。

攻擊者通過 VBS 文件執(zhí)行 XMRig 挖礦軟件，并利用 XMRig 代理服務(wù)來隱藏最終的礦池目的地。 此外，研究人員還注意到攻擊者使用了 Nicehash 市場來交易哈希處理能力。

據(jù) PaloAlto 的專家介紹，去年 10 月 20 日是該貨幣挖掘行動的一個里程碑，在此之前攻擊者是使用 Windows 內(nèi)置的 BITSAdmin 工具來從遠(yuǎn)程位置下載 XMRig 。（注意：一般情況下，最終的 playload 主要是由 “ msvc.exe ” 安裝的。）

在 10 月 20 日之后，安全專家觀察到攻擊者開始使用 HTTP 重定向服務(wù)。

而在 11 月 16 日起，攻擊者改變了惡意軟件的攻擊策略：

他們不再使用 SFX 文件，而是重新采用了一種在 Microsoft .NET Framework 中編譯的可執(zhí)行文件，該文件將 VBS 文件寫入磁盤并修改受害用戶的運(yùn)行注冊表項(xiàng)，以確保持久性。

目前安全人員觀察到攻擊策略最后一次改變是在 2017 年 12 月下旬，攻擊者改變了用來部署惡意軟件的 dropper：

在放棄 . NET 之后，他們使用 Borland Delphi 編譯的 dropper 來創(chuàng)建必要的 VBS 文件。 與 .NET droppers 不同的是，這個特定的 dropper 將 VBS 文件放在受害用戶的啟動文件夾中，目的是為了獲得持久性 。

令人奇怪的是，規(guī)模如此龐大的一個門羅幣挖礦活動竟然在這么長的時間內(nèi)都沒有引起人們的注意，相關(guān)安全專家認(rèn)為這種情況很是反常。