伪装为WAV的恶意软件在受害设备上挖矿 但其bug导致BSOD

admin 2021年12月3日13:37:38cnnvd_news评论15 次浏览阅读模式

       Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击,该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件,并包含一个Monero挖矿软件,它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。

       这款恶意软件唯一的bug,是最终导致受感染的电脑蓝屏死亡(BSOD),并且显示相关错误代码,最终引起受害者怀疑,并引发对事件的深入调查。

       研究人员表示,BSOD于10月14日首次发现,当时发生致命崩溃的机器正在尝试执行长命令行(实际上是基于base-64编码的PowerShell脚本)。对脚本进行解码后,研究人员获得了可读的Powershell脚本,该脚本用于部署恶意软件。该脚本首先检查系统架构(基于指针大小)。然后,它读取存储在上述注册表子项中的值,并使用Windows API函数WriteProcessMemory将该值加载到内存中。研究人员指出,恶意软件负载通过获取和调用函数指针委托来执行。

       该恶意软件尝试使用基于EternalBlue的漏洞传播到网络中的其他设备,该漏洞与WannaCry于2017年使用的漏洞相同,感染了全球数千台电脑。在对恶意软件进行反向工程之后,研究人员发现该恶意软件实际上隐藏了伪装成WAV文件的Monero挖矿模块,使用CryptonightR算法来挖掘Monero虚拟货币。此外,该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。”

       研究人员发现,完全删除恶意软件(包括终止恶意进程)阻止了在受害设备上发生BSOD。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:37:38
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/661.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: