Guardicore 的安全研究人员揭示了一种复杂的恶意软件攻击,该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成 WAV 文件,并包含一个 Monero 挖矿软件,它利用臭名昭著的 EternalBlue 漏洞来危害网络中的设备。
这款恶意软件唯一的 bug,是最终导致受感染的电脑蓝屏死亡(BSOD),并且显示相关错误代码,最终引起受害者怀疑,并引发对事件的深入调查。
研究人员表示,BSOD 于 10 月 14 日首次发现,当时发生致命崩溃的机器正在尝试执行长命令行(实际上是基于 base-64 编码的 PowerShell 脚本)。对脚本进行解码后,研究人员获得了可读的 Powershell 脚本,该脚本用于部署恶意软件。该脚本首先检查系统架构(基于指针大小)。然后,它读取存储在上述注册表子项中的值,并使用 Windows API 函数 WriteProcessMemory 将该值加载到内存中。研究人员指出,恶意软件负载通过获取和调用函数指针委托来执行。
该恶意软件尝试使用基于 EternalBlue 的漏洞传播到网络中的其他设备,该漏洞与 WannaCry 于 2017 年使用的漏洞相同,感染了全球数千台电脑。在对恶意软件进行反向工程之后,研究人员发现该恶意软件实际上隐藏了伪装成 WAV 文件的 Monero 挖矿模块,使用 CryptonightR 算法来挖掘 Monero 虚拟货币。此外,该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。”
研究人员发现,完全删除恶意软件(包括终止恶意进程)阻止了在受害设备上发生 BSOD。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有