Naga Markets



Podczas wdrażania narzędzia Cyberbit Endpoint Detection and Response (EDR) na międzynarodowym lotnisku w Europie badacze zidentyfikowali interesującą infekcję związaną z wydobywaniem kryptowalut, w której oprogramowanie do kopania wirtualnych walut zostało zainstalowane na ponad 50% stacji roboczych lotniska. Odkrycia budzą obawy dotyczące łatwości instalowania wirusów w sieciach korporacyjnych, mimo że są one chronione przez systemy antywirusowe.


Jak wykryto oprogramowanie do wydobywania kryptowalut?

Haker infekujący sprzętZłośliwe oprogramowanie zostało wykryte podczas wdrażania Cyberbit EDR, zaawansowanej platformy do wykrywania podejrzanych zachowań i zagrożeń, na międzynarodowym lotnisku w Europie. Na podstawie dalszych analiz powiązano odkryte szkodliwe oprogramowanie z kampanią antyminingową zgłoszoną przez Zscaler w sierpniu 2018 r.

Podczas tego procesu silnik behawioralny ostrzegł o podejrzanym użyciu narzędzia PAExec. Narzędzie było używane wiele razy w krótkim okresie do uruchomienia aplikacji o nazwie player.exe. PAExec to redystrybucyjna wersja PSExec firmy Microsoft, używana do uruchamiania programów Windows na zdalnych systemach bez konieczności fizycznej instalacji oprogramowania w tych systemach. Korzystanie z PAExec jest często oznaką aktywności wirusów.

Ponadto silnik analizy behawioralnej wykrył użycie DLL po uruchomieniu player.exe. Jest to technika zdalnego wstrzykiwania biblioteki DLL do procesu bez korzystania z modułu ładującego Windows, unikając dostępu do dysku twardego. DLL jest typową taktyką unikania obrony stosowaną przez atakujących w celu zamaskowania ładowania szkodliwych plików.

Złośliwe oprogramowanie mogło być używane przez wiele miesięcy przed instalacją Cyberbit EDR, chociaż wszystkie stacje robocze były wyposażone w standardowy antywirus.

Po otrzymaniu ostrzeżenia przeanalizowano łańcuch zdarzeń, korzystając z analizy wykresów behawioralnych EDR. Podejrzewano, że złośliwe oprogramowanie wydobywa Bitcoiny ze względu na zachowanie polegające na wykonywaniu wielu procesów w krótkim czasie, typowym dla górnika używającego zasobów systemowych do swoich obliczeń.

W oparciu o ścieżkę wykonania c:\ProgramData\playersclub\player.exe odkryto, że złośliwe oprogramowanie było powiązane z CryptoMiner Variant #2 zgłoszonym przez Zscaler – xmrig miner. Chociaż minął ponad rok, odkąd Zscaler zgłosił to złośliwe oprogramowanie w sierpniu 2018 r., tylko 16 z 73 produktów wykrywających w VirusTotal było w stanie określić ten plik jako złośliwy. Na podstawie powyższych informacji plik został potwierdzony jako górnik xmrig Monero.

Wszystkie stacje robocze na lotnisku korzystały ze standardowego w branży rozwiązania AV, które nie wykrywało żadnej złośliwej aktywności.

Nie jesteśmy w stanie ocenić, w jaki sposób szkodliwe oprogramowanie dostało się na stacje robocze, ponieważ stało się to przed zainstalowaniem naszego EDR – powiedział jeden z przedstawicieli firmy.

Czas od skonfigurowania EDR do wykrycia złośliwej aktywności wynosił około. 4 godziny.

Zobacz również: Nowy wirus, który kradnie kryptowaluty. Odkryła go firma ze Słowacji

Kurs Bitcoina odbija od 8 tys. USD

Notowania najpopularniejszej kryptowaluty spadły w dniu wczorajszym poniżej poziomu 8000 USD, jednak dzisiejsza sesja przynosi nieznaczne odreagowanie. Kurs BTC wzrasta w południe o jeden procent i oscyluje przy poziomie 8080 USD. Lokalne wsparcie stanowi poziom 7714 USD, którego przebicie otworzy drogę do dołka z maja 6150 USD. Z drugiej strony powrót powyżej oporu 9050 USD ponownie utorowałby ścieżkę do psychologicznego poziomu 10 000 USD.

Kurs BTCUSD w czwartek na interwale dziennym źródło 17 10 19
Kurs BTCUSD w czwartek na interwale dziennym źródło: tradingview.com

Interesujesz się kryptowalutami? Już teraz dołącz do grupy na Facebooku prowadzonej przez portal Comparic.pl. Bądź na bieżąco z informacjami ze świata kryptowalut, niezależnie od tego gdzie się znajdujesz!.


tokeneo

Zostaw komentarz logując się za pomocą Facebook

To również Cię zainteresuje - Comparic24.tv

Poprzedni artykułNetflix 8% na plusie przed startem sesji w USA
Następny artykułRynek ma nadzieję na porozumienie USA z Chinami
Redaktor Comparic.pl. Absolwent Uniwersytetu Ekonomicznego w Katowicach. Od 2009 roku związany z rynkami finansowymi, bez których, jak podkreśla wielokrotnie, nie wyobraża sobie życia. W latach 2016 - 2018 członek projektu Domu Traderów. Specjalizuje się w geopolityce, która w jego ocenie ma kluczowy wpływ na kształtowanie długoterminowych trendów na rynkach. Wyznaje holistyczne podejście do handlu i liczy się dla niego każda, nawet najmniejsza rynkowa przewaga. Współtwórca analizy stref wolumenowych, nie uznaje subiektywizmu w spekulacji, zagorzały zwolennik odpowiedzialnego zarządzania ryzykiem.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here