微软称挖矿程序传播加快且更加隐蔽

一只柠萌鲸呀

Microsoft 365 Defender 研究团队发布了对挖矿程序的新分析。“在过去的几个月里，Microsoft Defender 每月都会在数十万台设备上检测到挖矿程序。”这些挖矿程序在不断发展，最近的挖矿程序变得更加隐秘，利用系统上的合法的二进制文件 living-off-the-land binaries (LOLBins) 逃避检测。挖矿程序通常是使用 Javascript 创建的，通过浏览器渗透到系统中。一些挖矿程序是无文件的，它们在内存中执行挖矿，但是可以通过分析其与硬件的交互来检测恶意软件。



https://www.infosecurity-magazin ... ckers-evolve-to-be/

Jirehlov1234

工地英语望文生义了。Living-off-the-land 本义是靠着耕种或狩猎为生，这里就是指这些二进制本身就是系统的一部分或者由微软（及其他受信任大厂）下发的。不是“不落地”的意思。

一只柠萌鲸呀

Jirehlov1234 发表于 2022-8-21 11:12
工地英语望文生义了。Living-off-the-land 本义是靠着耕种或狩猎为生，这里就是指这些二进制本身就是系统的 ...

重新组织了一下

一只柠萌鲸呀

@Jirehlov1234 就是利用合法的程序（powershell？等），绕过UAC等，看起来不像是恶意的，下载无文件恶意代码，在内存中执行。是吗？ASR规则应该有针对这个的

刚才描述有问题，不落地的意思应该是 不使用可能被认为是恶意软件的自己的工具，而是使用系统上的合法工具。不是二进制文件不落地

然后文章那里就可以改成 利用系统上的合法的二进制文件

Jirehlov1234

一只柠萌鲸呀 发表于 2022-8-21 03:56
@Jirehlov1234 就是利用合法的程序（powershell？等），绕过UAC等，看起来不像是恶意的，下载无文件恶意代 ...

对的，就是合法的系统程序被利用来执行设计之外的功能。
靠山吃山，靠水吃水，靠微软的Windows吃微软的Windows

灭灭之痕

Jirehlov1234 发表于 2022-8-21 11:59
对的，就是合法的系统程序被利用来执行设计之外的功能。
靠山吃山，靠水吃水，靠微软的Windows吃微软的W ...

先前单位有的电脑中了挖矿脚本就是这个鬼样子，一堆和谐进程，占用又特别高，还是叫360官方的人处理掉的。