国家计算机病毒应急处理中心通过对互联网的监测发现了使用PowerShell来传播恶意软件的恶意挖矿软件PCASTLE Zeroes。该攻击首次出现是在5月17日,到5月22日达到峰值,然后进入稳定期。
通过进一步分析显示这是与之前使用混淆的PowerShell脚本来传播门罗币挖矿恶意软件的活动类似。从受害者分布来看,攻击的目标并不针对某个特定行业,可能主要是因为攻击的方法。使用SMB漏洞利用和暴力破解弱口令并不是针对特定行业的安全问题。攻击活动的运营者也并不关心受感染的用户是谁。
此次攻击活动中还加入了一些新的技巧。比如,使用多种传播方法,使用执行不同任务的组件来传播加密货币挖矿机。还使用多层无文件方法使恶意PowerShell脚本可以在内存中下载和执行payload。最终的PowerShell脚本也是在内存中执行的,并且打包了所有恶意路径,使用SMB漏洞滥用、暴力破解系统、使用pass-the-hash攻击方法,并下载payload。
同时,攻击活动使用XMRig作为payload的挖矿机模块。与其他挖矿机算法相比,门罗币挖矿算法使用的资源并不多,也不需要大量的处理能力。也就是说可以在不让用户察觉的情况下进行加密货币挖矿活动。
针对该恶意程序所造成的危害,建议用户使用行为监控等安全机制来检测和预防异常路径和未授权的程序和脚本的运行,防火墙和入侵防御系统可以拦截恶意软件相关的流量。同时,对系统进行更新和安装补丁程序。攻击者在本次攻击活动中使用了一个拥有补丁的漏洞利用。研究人员还推荐使用虚拟补丁或嵌入式系统。并且限制对系统管理工具的访问,使用合法工具来绕过检测会增加威胁。最后,对系统进行安全加固。认证和加密机制可以防止对目标系统的非授权的修改,加强账号凭证应对暴力破解和词典攻击的能力。