無檔案式挖礦惡意程式 更難發現更強傳播力

雖然加密貨幣的價值非常波動,但依然是網絡犯罪份子的「心頭好」,取其難以追查的特性,為犯罪份子製造了低風險高效業的環境,而為了再進一步提升收入,黑客開始向更高效能的企業網絡下手,並加入更多自我防護技術逃避網絡保安軟件的檢測。

無檔案挖礦惡意程式 – PowerGhost
近日卡巴斯基實驗室的研究人員發現到一款專門針對企業網絡的挖礦惡意程式 PowerGhost,它以無檔案的形式進行,在不被發現的情況下附在受害者的電腦或伺服器之內,暫時發現最多攻擊的國家包括印度、土耳其、巴西和哥倫比亞。

當成功滲入公司的網絡之後,PowerGhost 會嘗試透過合法的遠端管理工具 Windows Management Instrumentation (WMI) 登入網絡內的用戶帳號,運用惡意程式 Mimikatz 取得登入資料和密碼,程式也可以透過已知的 Windows 安全漏洞 EternalBlue 在公司網絡內繼續傳播,該漏洞同時也被 WannaCry 和 ExPetr 所利用,儘管理論上漏洞已經被堵塞一年,但在現實世界中依然有不少裝置沒有進行補丁。

此外,PowerGhost 也會嘗試透過不同操作系統的漏洞取更多權限,直至在系統上取得立足點便開始挖礦,為黑客賺取加密貨幣。

具備發動 DDoS 能力
PowerGhost 其中一個特別危險的原因,是研究人員在惡意程式的其中一個版本中找到發動 DDoS 攻擊的工具,利用公司伺服器攻擊其他受害者,拖慢或癱瘓其運作,而且程式其備檢測真正操作系統或沙盒的功能,是逃避保安方案的常見做法。

另外,PowerGhost 比一般的惡意程式更難被偵測,因為它不會下載任何惡意的檔案到裝置之內,這意味著程式能夠潛伏在電腦或伺服器內更長時間,危險性也更高。還有因為使用電腦資源產生加密貨幣,伺服器和其他裝置的運作表現都會降低,也會加速其耗損,最終更換的費用當然由受害者公司承擔。

保護自己的網絡
避免自己的裝置成為別人的免費挖礦工具,個人或公司都可以參考以下三個重點:

  • 保持軟件和操作系統更新,所有挖礦惡意程式都使用已被堵塞的安裝漏洞,惡意程式的開發人員通常也會把開發放在已經被補丁的安全漏洞上。
  • 提高用戶 (或員工) 的網絡保安意識,因為大部份網絡事故都由人為因素而起。
  • 使用有效捕足無檔案形式攻擊的可靠保安方案

Comments are closed