ESET设法使僵尸网络的多个命令和控制(C&C)服务器陷入僵局,该僵尸网络通过受感染的USB设备进行传播,从而破坏了其活动。
僵尸网络被称为VictoryGate,自2019年5月以来一直活跃,该僵尸网络对拉丁美洲的设备造成的影响最大,尤其是秘鲁,那里有90%以上的受感染设备所在。在消散了C&C之后,ESET的安全研究人员能够估计出超过35,000个设备的僵尸网络的大小。
VictoryGate主要专注于Monero挖矿,但该恶意软件允许僵尸网络管理员向节点发出命令以下载并执行其他有效负载。因此,ESET认为僵尸网络的目的可能在某个时候已经改变。
这家安全公司指出: “这构成了相当大的风险,因为我们已经确定了来自公共部门以及包括金融机构在内的私营部门组织的网络流量受到损害。”
僵尸网络滥用被感染设备的资源进行加密,以持续90-99%的CPU负载进行工作,从而减慢了设备的速度,甚至可能损坏设备。
为了进行传播,僵尸网络仅使用受感染的可移动设备。为此,该恶意软件将USB驱动器上的所有文件复制到根目录下的隐藏目录,并使用动态编译的Windows可执行文件作为明显的名称。
对于受害者,USB驱动器将正常显示,所有文件和文件夹均按顺序排列。当受害者尝试打开文件时,该脚本会启动目标文件和恶意软件的初始模块,后者会将自身复制到%AppData%并将快捷方式放置在启动文件夹中,以便在重新启动时执行。
该恶意软件可以将AutoIt编译的脚本注入合法的Windows进程中,以确保与命令和控制(C&C)服务器的通信以及辅助负载的下载和执行。该脚本还会扫描连接的USB驱动器以进行感染。
机器人可以下载和执行文件,通知C&C任务是否成功,发送系统信息(用户名,主机名,安装的反恶意软件产品,AutoIt版本等),并通知C&C执行路径是否与预期的路径不同。
观察到的下载有效负载是AutoIt编译的脚本,试图将XMRig挖掘软件注入ucsvc.exe(引导文件服务实用程序)进程。接下来,在受感染的系统上开始挖掘。
僵尸网络使用XMRig代理来隐藏挖掘池,并在用户打开任务管理器时终止挖掘过程以隐藏CPU使用率。任务管理器关闭后,将立即恢复该过程。
ESET估计,平均一天平均有2,000个bot在挖掘,并且该僵尸网络操作至少产生了80个Monero(约合$ 6,000)。
“尽管我们做出了努力,但受感染的USB驱动器将继续流通,并且仍将继续发生新的感染。主要区别在于,僵尸程序将不再从C&C接收命令。这将防止新的受害者从互联网上下载辅助负载。但是,那些在中断之前被感染的PC可能会继续代表botmaster进行加密挖矿。” ESET总结道。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有