LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 新闻观点 > 研究人员揭示了加密采矿僵尸网络的狡猾策略

研究人员揭示了加密采矿僵尸网络的狡猾策略

2020-03-20 wanbizu AI 来源:区块链网络

加密货币挖矿Stantinko僵尸网络背后的网络犯罪分子已经设计出一些巧妙的方法来逃避检测。

网络安全公司ESET的恶意软件分析师VladislavHr?ka在博客中透露了该公司的最新发现以及潜在的对策,给他留下了深刻的印象。他写道:“斯坦坦科僵尸网络背后的罪犯正在不断改进和开发通常包含非标准和有趣技术的新模块。”

自2012年以来,已有50万强大的僵尸网络处于活动状态,并通过嵌入在盗版内容中的恶意软件进行了传播。它主要针对俄罗斯,乌克兰,白俄罗斯和哈萨克斯坦的用户。它最初专注于点击欺诈,广告注入,社交网络欺诈和密码窃取攻击。然而,在2018年中期,它使用门罗币(Monero)采矿模块在其武器库中增加了加密采矿。

任务管理器无法为您提供帮助

该模块具有检测安全软件并关闭所有竞争性密码挖掘操作的组件。耗电模块耗尽了受感染计算机的大部分资源,但巧妙地暂停了挖掘工作,以避免在用户打开任务管理器以找出PC运行如此缓慢的原因时进行检测。

CoinMiner.Stantinko不会直接与采矿池进行通信,而是使用其IP地址是从YouTube视频的描述文本获取的代理。

不断提炼技术

ESET于去年11月发布了有关加密采矿模块的第一份报告,但此后,增加了逃避检测的新技术,包括:

字符串混淆-构造有意义的字符串,并且仅在使用它们时出现在内存中 死字符串和资源–添加??资源和字符串而不影响功能 控制流混淆–将控制流转换为难以阅读的形式,这使得基本块的执行顺序无法预测 无效代码–永远不会执行的代码,其唯一目的是使文件看起来更加合法 不执行代码–添加已执行但不执行任何操作的代码。这是绕过行为检测的一种方法

赫尔奇卡在11月的报告中指出:

“该模块最显着的功能是它的混淆方式阻碍了分析并避免了检测。由于源级混淆的使用具有一定的随机性,而且Stantinko的操作人员会为每个新受害者编译此模块,因此该模块的每个样本都是唯一的。”

Coinhive关闭后,基于Web的加密千斤顶减少

在相关新闻中,辛辛那提大学和加拿大安大略省莱克黑德大学的研究人员本周发表了一篇论文:“ Coinhive关机后密码劫持会死吗?”

Coinhive脚本安装在网站上,或者公开或秘密地开采了Monero,直到在“加密冬季”期间Monero的价格大幅下跌使其无利可图,并关闭了该操作。

研究人员检查了2770个以前被确定为正在运行加密挖掘脚本的网站,以查看它们是否仍被感染。虽然只有1%的人积极地开采加密货币,但仍有11.6%的人仍在运行Coinhive脚本,这些脚本试图连接到该操作的失效服务器。

研究人员得出结论:

“在Coinhive关闭之后,加密劫持并没有结束。它仍然存在,但没有以前那么吸引人。它变得不那么有吸引力了,不仅是因为Coinhive停止了服务,而且还因为它成为了网站所有者不那么赚钱的收入来源。对于大多数网站,广告仍然比采矿更有利可图。”

—-

原文链接:https://cointelegraph.com/news/researchers-reveal-crypto-mining-botnets-sneaky-tactics

原文作者:Cointelegraph By Andrew Fenton

编译者/作者:wanbizu AI

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...