BitTorrent携带后门事件-基于机器学习的行为监控会击杀Dofoil挖矿

2605276004x

相关贴子：https://bbs.kafan.cn/thread-2118153-1-1.html
微软原文：https://cloudblogs.microsoft.com ... in-mining-campaign/
机翻：

更新：对此活动的进一步分析指出对等（P2P）应用程序中毒更新。欲了解更多信息，请阅读Poisoned点对点应用程序启动Dofoil硬币矿工爆发。

就在3月6日中午（PST）中午之前，Windows Defender Antivirus阻止了80,000多个复杂木马的实例，这些木马展示了先进的跨进程注入技术，持久性机制和逃避方法。基于行为的信号与云驱动的机器学习模型相结合揭示了这种新的感染企图。木马是Dofoil的新变种（也被称为Smoke Loader），携带了一枚硬币矿机。在接下来的12个小时内，有超过40万个实例被记录，其中73％在俄罗斯。土耳其占18％，乌克兰占全球遭遇的4％。

图1：Dofoil攻击组件的地理分布

Windows Defender AV最初通过行为监控标记了攻击的异常持久性机制，该机制立即将此行为信号发送给我们的云保护服务。

• 几毫秒内，云中的多个基于元数据的机器学习模型就开始遏制这些威胁。
• 几秒钟后，我们基于样本和基于爆炸的机器学习模型也验证了恶意分类。在几分钟内，基于爆轰的模型插入并增加了额外的确认。
• 几分钟内，异常检测警报通知我们有关新的潜在爆发。
• 经过分析，我们的响应团队更新了适合恶意软件家族的这一系列新威胁的分类名称。在竞选初期受到这些感染企图影响的人会看到机器学习名称中的块，如Fuery，Fuerboos，Cloxer或Azden。后面的块显示为正确的姓氏，Dofoil或Coinminer。
  

运行Windows Defender AV或Microsoft Security Essentials的Windows 10，Windows 8.1和Windows 7用户都可以免受此次最新爆发。

图2. Windows Defender AV中的分层机器学习防御

Windows Defender AV中的人工智能和基于行为的检测已成为我们防御系统的主要支柱之一。针对这种攻击提供的基于AI的先发保护与上个月分层机器学习防御阻止Emotet爆发相似。

代码注入和硬币挖掘

Dofoil是将硬币矿工纳入攻击的最新恶意软件家族。由于比特币和其他加密货币的价值持续增长，恶意软件运营商看到了将硬币挖掘组件纳入其攻击的机会。例如，开发工具包现在正在交付硬币矿工而不是勒索软件。骗子正在技术支持骗局网站上添加钱币挖掘脚本。某些银行木马家族增加了硬币挖掘行为。

我们在3月6日发现的Dofoil活动开始于一个在explorer.exe上执行进程挖空的木马。进程挖空是一种代码注入技术，它涉及产生合法进程的新实例（在本例中为c：\ windows \ syswow64 \ explorer.exe），然后用恶意软件替换合法代码。

图3.视窗后卫ATP检测过程空鼓（SHA-256：d191ee5b20ec95fe65d6708cbb01a6ce72374b309c9bfb7462206a0c7e039f4d，由Windows后卫AV检测 一个小号TrojanDownloader：的Win32 / Dofoil.AB）

被掏空的explorer.exe进程会再次创建第二个恶意实例，该实例会丢弃并运行冒牌恶意软件，伪装成合法的Windows二进制文件wuauclt.exe。

图4.硬币挖掘恶意软件的Windows Defender ATP检测（SHA-256：2b83c69cf32c5f8f43ec2895ec9ac730bf73e1b2f37e44a3cf8ce814fb51f120，由Windows Defender AV检测 为Trojan：Win32 / Delf.C）

即使它使用的是合法的Windows二进制文件的名称，但却从错误的位置运行。与合法的二进制文件相比，命令行是异常的。另外，来自这个二进制文件的网络流量是可疑的。

图5.显示异常IP通信的Windows Defender ATP警报过程树

图6.显示可疑网络活动的Windows Defender ATP

图7. Windows Defender ATP警报进程树显示挖空的explorer.exe进程进行可疑连接

Dofoil使用定制的挖掘应用程序。根据其代码，该硬币矿工支持NiceHash，这意味着它可以挖掘不同的加密货币。我们分析的样品开采了Electroneum硬币。

坚持

对于硬币挖掘机恶意软件来说，持久性是关键。这些类型的恶意软件使用各种技术来长时间不被发现，以便使用被盗的计算机资源来挖掘硬币。

为了保持隐藏，Dofoil会修改注册表。挖空的explorer.exe进程在漫游AppData文件夹中创建原始恶意软件的副本，并将其重命名为ditereah.exe。然后，它会创建一个注册表项或修改现有注册表项以指向新创建的恶意软件副本。在我们分析的样本中，恶意软件修改了OneDrive Run键。

图8.显示创建新恶意软件进程（SHA-256：d191ee5b20ec95fe65d6708cbb01a6ce72374b309c9bfb7462206a0c7e039f4d）和注册表修改的Windows Defender ATP警报进程树

指挥与控制通信

Dofoil是一个持久的木马下载家族。这些连接到命令和控制（C＆C）服务器以侦听命令来下载和安装恶意软件。在3月6日的活动中，Dofoil的C＆C沟通涉及使用分散的Namecoin网络基础设施。

挖空的explorer.exe进程将另一个二进制文件D1C6.tmp.exe（SHA256：5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c）写入Temp文件夹。  D1C6.tmp.exe然后删除并执行一个名为lyk.exe的副本。一旦运行，lyk.exe将连接到充当Namecoin网络的DNS代{过}{滤}理服务器的IP地址。然后它尝试连接到NameCoin基础结构内的C＆C服务器vinik.bit。C＆C服务器命令恶意软件连接或断开IP地址; 从某个URL下载文件并执行或终止该特定文件; 或睡一段时间。

图9.显示临时文件D1C6.tmp.exe（SHA256：5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c）的创建的Windows Defender ATP警报流程树图10.显示连接到IP地址的lyk.exe的Windows Defender ATP警报流程树

保持与Windows 10保护

随着加密货币价值的上升，网络犯罪组织正在发起越来越多的攻击来渗透网络并悄悄地开采硬币。

Windows Defender AV的安全分层方法使用基于行为的检测算法，泛型和启发式算法，以及客户端和云中的机器学习模型，提供对新威胁和爆发的实时保护。

如前所述，Windows Defender Advanced Threat Protection（Windows Defender ATP）标记与安装，代码注入，持久性机制和硬币挖掘活动相关的恶意行为。安全操作可以使用Windows Defender ATP中丰富的检测库来检测和响应网络中的异常活动。Windows Defender ATP还集成了来自Windows Defender AV，Windows Defender Exploit Guard和Windows Defender Application Guard的保护，提供了无缝的安全管理体验。

Windows 10 S是Windows 10的一种特殊配置，可帮助防范投币矿工和其他威胁。Windows 10 S专门与Microsoft Store中的应用程序配合使用，并使用Microsoft Edge作为默认浏览器，提供Microsoft验证的安全性。

GreenCodes

ATP又大更新了