欧洲国际机场超过50%的计算系统都感染了与Zscaler在2018年8月发现的Anti-CoinMiner运动有关的Monero挖矿恶意软件。

Cyberbit的端点检测和响应团队在部署其安全解决方案时发现了加密劫持攻击,其行为引擎随后在某些机场系统上检测到可疑活动。

Cyberbit说:“尽管所有工作站都配备了行业标准的防病毒软件,但在安装Cyberbit EDR之前,该恶意软件可能已经使用了数月。”

幸运的是,除了影响受感染系统的整体性能并导致功耗增加之外,XMRig Monero矿机也没有影响机场的运营。

使用行为分析检测到攻击

虽然一年多以前就曾发现过用来感染机场计算机的加密矿工,但攻击者对其进行了足够的修改,以确保不会被反恶意软件识别。

Cyberbit发现:“我们发现的恶意软件是一年多以前由Zscaler发现的。” “对它进行了修改,足以逃避绝大多数现有签名,在VirusTotal上的73种检测产品中,只有16种将样本检测为恶意。”

Cryptominer SFX变体执行流程图

赛博比特公司发现了这种感染,因为威胁者反复启动了PAExec,这是合法的Microsoft工具PsExec的可再发行版本, PsExec是 一种轻量级实用程序,用于在其他系统上远程执行进程。

该工具用于特权升级,它使他们可以 在“系统模式”下启动名为Player的可执行文件,从而有可能在受到感染的系统上获得最大的用户特权。

病毒总检测率

报告说:“系统模式提供了最大的特权,因此矿工在使用工作站资源方面将比其他任何应用程序都具有更高的优先级。”

“这会影响其他应用程序以及机场设施的性能。使用管理特权还降低了安全工具检测活动的能力。”

Cyberbit研究人员补充说:“ PAExec的使用通常表示恶意活动,而且该工具的重复使用。”

用于避免检测的无文件恶意软件策略

攻击者还使用 反射性动态链接库(DLL)加载(也称为反射性DLL注入)(一种由恶意软件操作员使用的已知检测规避技术)将恶意DLL注入到内存中运行的主机进程中,而无需完全使用Windows加载程序绕过被感染系统的硬盘驱动器。

该恶意软件还将PAExec添加到系统的注册表中,以保持持久性,以确保机场员工无法通过重新启动受影响的计算机来摆脱感染。

添加注册表项以获得持久性

虽然尚不知道感染媒介,但攻击者可能已采用了多种方法,从通过网络钓鱼电子邮件丢弃恶意有效负载, 或使用隐写术以矿工隐藏在看似良性的文件中的矿工感染系统,再到通过偷渡式下载来丢弃恶意软件。cryptominer二进制或利用漏洞的服务器[ 1,2,3 ]机场的网络上运行。

“在最坏的情况下,攻击者可能会闯入IT网络,以此跳入机场的OT网络,以破坏从跑道灯到行李搬运机和飞机的关键操作系统,仅举几例可能被网络破坏导致灾难性的物理损坏的许多标准机场OT系统中,” Cyberbit总结道。

声明:本文来自红数位,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。