亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

安全專家發(fā)現(xiàn)了一個(gè)名為PowerGhost的新型加密貨幣礦工，它可以利用無(wú)文件感染技術(shù)進(jìn)行傳播。PowerGhost以企業(yè)為目標(biāo)，利用永恒之藍(lán)漏洞進(jìn)行傳播，一旦感染了計(jì)算機(jī)，PowerGhost就會(huì)嘗試使用各種攻擊來(lái)升級(jí)權(quán)限，例如CVE-2018-8120。在印度，巴西，哥倫比亞和土耳其觀察到大多數(shù)PowerGhost感染。

為什么PowerGhost很危險(xiǎn)？

與任何礦工一樣，PowerGhost使用您的計(jì)算資源來(lái)生成加密貨幣。 這降低了服務(wù)器和其他設(shè)備的性能，并顯著加速了磨損，從而導(dǎo)致更換成本。

但是，與大多數(shù)此類程序相比，PowerGhost更難以檢測(cè)，因?yàn)樗粫?huì)將惡意文件下載到設(shè)備。 這意味著它可以在您的服務(wù)器或工作站上不被注意地運(yùn)行更長(zhǎng)時(shí)間，并造成更多損害。

更重要的是，在一個(gè)版本的惡意軟件中，我們的專家發(fā)現(xiàn)了一個(gè)DDoS攻擊工具。 使用公司的服務(wù)器轟炸另一名受害者可能會(huì)減慢甚至癱瘓操作活動(dòng)。 一個(gè)有趣的特性是惡意軟件能夠檢查它是在真實(shí)操作系統(tǒng)下還是在沙箱中運(yùn)行，從而允許它繞過(guò)標(biāo)準(zhǔn)安全解決方案。

PowerGhost利用EternalBlue傳播

PowerGhost礦工瞄準(zhǔn)大型企業(yè)網(wǎng)絡(luò)，感染工作站和服務(wù)器，采用多種無(wú)文件技術(shù)來(lái)逃避檢測(cè)。

“名為PowerGhost的惡意軟件能夠在一個(gè)系統(tǒng)中秘密地創(chuàng)建自己，并在大型企業(yè)網(wǎng)絡(luò)中傳播，感染工作站和服務(wù)器。這種類型的隱藏整合是礦工的典型：受感染的機(jī)器越多，他們保持的時(shí)間越長(zhǎng)，攻擊者的利潤(rùn)就越大。因此，看到其他軟件被礦工感染的情況并不少見(jiàn)??;?合法軟件的普及有助于促進(jìn)惡意軟件的擴(kuò)散。“

PowerGhost利用與NSA相關(guān)的EternalBlue漏洞進(jìn)行傳播，它是包含惡意軟件核心代碼的混合PowerShell腳本，以及許多其他附加模塊，如礦工，礦工庫(kù)，??Mimikatz后期開(kāi)發(fā)，反射PE模塊注入，以及EternalBlue漏洞利用的shellcode?。

相關(guān)鏈接：

NSA漏洞利用 WannaMine加密貨幣挖礦惡意軟件正攻擊Win2000以后所有版本

Zealot狂熱者正攻擊Linux及Windows服務(wù)器 利用永恒之藍(lán)進(jìn)行橫向移動(dòng)攻擊

受害者系統(tǒng)使用漏洞或遠(yuǎn)程管理工具WMI（Windows Management Instrumentation）遠(yuǎn)程感染，專家發(fā)現(xiàn)在感染階段，執(zhí)行單行PowerShell腳本以刪除礦工組件的核心并執(zhí)行它，整個(gè)過(guò)程在系統(tǒng)的記憶。

惡意軟件首先檢查命令和控制（C＆C）服務(wù)器，如果有新版本，它會(huì)下載并執(zhí)行它。

然后，惡意軟件使用Mimikatz工具從計(jì)算機(jī)獲取用戶帳戶憑據(jù)，并使用它來(lái)嘗試在目標(biāo)網(wǎng)絡(luò)內(nèi)部進(jìn)行橫向移動(dòng)。

“ 礦工從當(dāng)前機(jī)器獲取用戶帳戶憑證，使用它們登錄并嘗試通過(guò)WMI啟動(dòng)自身的副本來(lái)傳播到本地網(wǎng)絡(luò)。通過(guò)“自身的副本”和C＆C下載礦工身體的單行腳本。PowerGhost?還嘗試使用現(xiàn)在臭名昭著的EternalBlue漏洞（CVE-2017-0144）在本地網(wǎng)絡(luò)上傳播。”

PowerGhost通過(guò)執(zhí)行腳本獲取權(quán)限

一旦感染了計(jì)算機(jī)，PowerGhost就會(huì)嘗試使用各種攻擊來(lái)升級(jí)權(quán)限，例如CVE-2018-8120。

為了在受感染的系統(tǒng)中建立立足點(diǎn)，PowerGhost將所有模塊保存為WMI類的屬性，而礦工主體在WMI訂閱中保存為單行PowerShell腳本，每90分鐘激活一次。

該腳本通過(guò)反射PE注入加載PE文件來(lái)執(zhí)行礦工。

在印度，巴西，哥倫比亞和土耳其觀察到大多數(shù)PowerGhost感染。

專家們還發(fā)現(xiàn)了一個(gè)實(shí)現(xiàn)DDoS功能的PowerGhost版本，這種情況導(dǎo)致卡巴斯基相信作者試圖創(chuàng)建一個(gè)DDoS-for-hire服務(wù)。

如何避免感染PowerGhost

為了避免感染并保護(hù)設(shè)備免受PowerGhost和類似惡意軟件的攻擊，您應(yīng)該仔細(xì)監(jiān)控企業(yè)網(wǎng)絡(luò)的安全性。

• 不要跳過(guò)軟件和操作系統(tǒng)更新。 礦工利用的所有漏洞長(zhǎng)期以來(lái)都被供應(yīng)商修補(bǔ)。 病毒編寫(xiě)者傾向于將其開(kāi)發(fā)基于針對(duì)長(zhǎng)修補(bǔ)漏洞的漏洞利用。
• 提升員工安全意識(shí)技能。 請(qǐng)記住，許多網(wǎng)絡(luò)事件都是由人為因素引起的。
• 使用可靠的安全解決方案和行為分析技術(shù) 。

原文鏈接：https://securityaffairs.co/wordpress/74921/malware/powerghost-crypto-miner.html