ANY.RUN, một sanbox tương tác dùng để phân tích phần mềm độc hại mà các học viên CHFI hay những ai đang nghiên cứu về digital forensic , phân tích mã độc cần biết. Họ đã công bố một bản phân tích toàn diện về mối đe dọa ngày càng tăng mà phần mềm độc hại tiền điện tử gây ra trong thời điểm mà việc an ninh toàn thông tin trở nên quan trọng hơn bao giờ hết.

Mẫu phần mềm độc hại mô tả trong bài này được thiết kế để bí mật khai thác tiền điện tử bằng sức mạnh xử lý trên thiết bị bị nhiễm, thể hiện sự thay đổi đáng kể trong bối cảnh mối đe dọa mạng.

Chúng ta hãy xem xét chi tiết về phần mềm độc hại tiền điện tử, các dạng khác nhau của nó và cách tận dụng nền tảng của nó để phân tích và chống lại mối đe dọa quỷ quyệt này.

ANY.RUN là môi trường dựa trên đám mây để phân tích phần mềm độc hại Windows và các mẫu dựa trên Linux. Các nhà phân tích phần mềm độc hại, nhóm SOC, DFIR  có thể kiểm tra các mối đe dọa một cách an toàn, mô phỏng các tình huống khác nhau và hiểu rõ hơn về hành vi của phần mềm độc hại để cải thiện chiến lược an ninh mạng.

ANY.RUN  cũng cho phép các nhà nghiên cứu hiểu hành vi của phần mềm độc hại, thu thập IOC và dễ dàng ánh xạ các hành động độc hại tới TTP —tất cả đều có trong hộp cát tương tác của chúng tôi.

 Nền  tảng Tra cứu thông tin về mối đe dọa  giúp các nhà nghiên cứu bảo mật tìm thấy dữ liệu về mối đe dọa có liên quan từ các tác vụ hộp cát của ANY.RUN.

Phần mềm độc hại khai thác tiền điện tử là gì?

Phần mềm độc hại khai thác tiền điện tử hoặc tấn công bằng tiền điện tử sẽ chiếm đoạt tài nguyên máy tính của mục tiêu để khai thác các loại tiền điện tử như Bitcoin. Phần mềm độc hại này thực hiện các phép tính toán học phức tạp để xác minh các giao dịch tiền điện tử, yêu cầu sức mạnh CPU đáng kể và đôi khi là GPU.

Không giống như các hoạt động khai thác hợp pháp, phần thưởng của hoạt động bất hợp pháp này thuộc về những kẻ tấn công, khiến chủ sở hữu thiết bị bị suy giảm hiệu suất hệ thống và hóa đơn tiền điện tăng cao.

Ví dụ về phần mềm độc hại khai thác tiền điện tử

Bối cảnh của phần mềm độc hại khai thác tiền điện tử rất đa dạng, với nhiều phương pháp khác nhau được sử dụng để lây nhiễm vào các máy tính mục tiêu. Những phạm vi này từ mã được nhúng trong các trang web đến các cuộc tấn công lừa đảo qua email cổ điển. Khi đã có mặt, phần mềm độc hại sẽ hoạt động ở chế độ nền, khiến việc phát hiện trở nên khó khăn.

Các ví dụ điển hình về tấn công tiền điện tử bao gồm botnet Mirai, đã được điều chỉnh cho mục đích khai thác tiền điện tử, cho thấy khả năng thích ứng và sự kiên trì của tội phạm mạng trong việc khai thác tài nguyên kỹ thuật số để thu lợi tài chính.

Các báo cáo từ chuyên gia an ninh mạng của ANY.RUN đã ghi nhận sự gia tăng trong việc sử dụng phần mềm độc hại khai thác tiền điện tử, trong đó XMRig và DarkGate là hai ví dụ nổi bật về việc phần mềm độc hại này được tội phạm mạng tái sử dụng. Đây là một diễn biến đáng lo ngại đối với an ninh kỹ thuật số.

XMRig

XMRig, ban đầu là một phần mềm khai thác CPU nguồn mở dành cho tiền điện tử Monero (XMR), đã bị tấn công và nhúng vào phần mềm độc hại.

Phiên bản thay đổi của XMRig được thiết kế để lén lút điều chỉnh cường độ khai thác dựa trên mức sử dụng CPU của hệ thống. Sự thích ứng xảo quyệt này cho phép nó tránh bị phát hiện, vì nó tránh được các triệu chứng thông thường về việc tiêu thụ nhiều tài nguyên có thể cảnh báo người dùng về sự hiện diện của nó.

Cổng tối

Trong khi đó, DarkGate , một trình tải phần mềm độc hại đã bị phát hiện có thể thực thi các tải trọng khai thác tiền điện tử, bao gồm cả phiên bản XMRig bị xâm nhập.

DarkGate rất nguy hiểm do khả năng giành được các đặc quyền cấp hệ thống trên các máy bị nhiễm. Nó sử dụng các tính năng giống như rootkit để duy trì tính bền bỉ, khiến việc loại bỏ trở nên khó khăn.

Các kỹ thuật được DarkGate sử dụng để đảm bảo nó hoạt động liên tục bao gồm khởi tạo từ tệp LNK trong thư mục Windows Startup, thay đổi khóa đăng ký để chạy song song với tệp LNK hoặc sử dụng tệp DLL, thay đổi tùy theo cài đặt cấu hình của nó.

Phân tích phần mềm độc hại tiền điện tử trong ANY.RUN như thế nào ?

ANY.RUN cung cấp giải pháp tiên tiến để phân tích phần mềm độc hại tiền điện tử thông qua hộp cát phần mềm độc hại tương tác. Công nghệ này cho phép kiểm tra chi tiết các tệp đáng ngờ mà bộ lọc thư rác có thể tự động gửi để phân tích.

Trong một phân tích kỹ thuật gần đây , ANY.RUN đã xác định thành công một công cụ khai thác tiền điện tử bằng cách sử dụng khả năng phát hiện nâng cao của mình, nêu bật tính hiệu quả của nền tảng của nó trong việc chống lại mối đe dọa ngày càng tăng của phần mềm độc hại tiền điện tử.

Việc phát hiện chủ yếu dựa trên hoạt động mạng của thợ đào, cho phép ANY.RUN bỏ qua các quy trình điều tra thủ công và trực tiếp tiến hành thu thập các Chỉ số thỏa hiệp (IOC).

Công cụ khai thác tiền điện tử, sau khi được kích hoạt, sẽ có những dấu hiệu không thể nhầm lẫn về hoạt động độc hại. Đáng chú ý, mức sử dụng CPU của hệ thống tăng vọt lên mức tối đa sau khi khởi động, cùng với đó là mức sử dụng RAM tăng đáng kể.

ANY.RUN hiển thị mức sử dụng RAM và CPU quá mức

Hành vi bất thường như vậy cho thấy hệ thống đang bị xâm phạm, đặc biệt là khi kết hợp với hoạt động mạng quá mức của thợ đào.

Trong một màn trình diễn khai thác mạng khác , kẻ khai thác đã gửi gần 300.000 yêu cầu DNS để tạo tên miền trong vòng chưa đầy bốn phút. Mức độ hoạt động mạng này rất bất thường và vượt xa giới hạn của các hoạt động phần mềm hợp pháp, càng khẳng định thêm bản chất độc hại của thực thể này.

Người khai thác đã thực hiện nhiều kết nối

Phân tích kỹ lưỡng của ANY.RUN đã xác định sự tồn tại của một công cụ khai thác tiền điện tử và giúp có thể nhanh chóng thu thập các IOC quan trọng. Các chỉ báo này rất quan trọng để định cấu hình hệ thống Quản lý sự kiện và thông tin bảo mật (SIEM) và Tường lửa ứng dụng web (WAF) để bảo vệ khỏi mối đe dọa này.

Khả năng phát hiện và phân tích phần mềm độc hại tiền điện tử của ANY.RUN với độ chính xác nhấn mạnh tầm quan trọng của các giải pháp an ninh mạng tiên tiến trong bối cảnh kỹ thuật số ngày nay.

Khi phần mềm độc hại tiền điện tử tiếp tục phát triển, các nền tảng như ANY.RUN rất cần thiết để xác định và giảm thiểu các mối đe dọa thầm lặng nhưng đáng kể này, bảo vệ tài sản kỹ thuật số và duy trì tính toàn vẹn của hệ thống.

ANY.RUN hiển thị một cửa sổ riêng với IOC của thợ mỏ

Người dùng có thể phân tích thủ công các tệp này hoặc gửi mẫu trực tiếp qua API. Bằng cách phân tích các báo cáo hộp cát, người dùng có thể thu thập các Chỉ số thỏa hiệp (IOC) và định cấu hình hệ thống bảo mật của họ để chống lại các cuộc tấn công của phần mềm độc hại tiền điện tử một cách hiệu quả.

Phòng ngừa

Để bảo vệ khỏi phần mềm độc hại tiền điện tử, ANY.RUN khuyến nghị kết hợp giữa cảnh giác và tuân thủ các phương pháp hay nhất về an ninh mạng. Điều này bao gồm việc thận trọng khi tải xuống phần mềm và truy cập các trang web, cập nhật hệ thống và sử dụng các giải pháp chống vi-rút có uy tín.

Việc theo dõi các mức tăng đột biến bất thường trong việc sử dụng CPU cũng có thể đóng vai trò là dấu hiệu cảnh báo sớm về sự lây nhiễm, cho phép người dùng thực hiện hành động nhanh chóng để giảm thiểu thiệt hại tiềm ẩn.

Ngăn chặn các cuộc tấn công bằng phần mềm độc hại bằng tiền điện tử

Cấu hình hệ thống EDR: EDR có thể cảnh báo bạn về việc sử dụng CPU/GPU và bộ nhớ bất thường bởi các chương trình không chuẩn.

Đồng thời cũng áp dụng cho các quá trình thực thi quy trình kỳ lạ, đặc biệt là các quy trình kết nối với các địa chỉ nhóm khai thác tiền điện tử được công nhận.

Tận dụng tính năng tra cứu Thông tin về mối đe dọa . Sử dụng thông tin về mối đe dọa theo thời gian thực để cập nhật hệ thống TIP và SIEM với các dấu hiệu phần mềm độc hại mã hóa (IP, miền và hàm băm tệp).

Thiết lập bộ lọc email. Chặn các tệp đính kèm email có thể thực thi, tập lệnh và chứa macro. Gửi các tập tin có vấn đề để tự động xem xét thủ công.

Phân tích mẫu bằng Hộp cát tương tác phần mềm độc hại như ANY.RUN. Tự động gửi các tệp bị nghi ngờ bị phát hiện bởi bộ lọc thư rác tới ANY.RUN để phân tích toàn diện bằng API hoặc vé. Phân tích báo cáo hộp cát cho IOC và cấu hình hệ thống bảo mật.

ANY.RUN là gì?

Khi thế giới kỹ thuật số tiếp tục phát triển, mối đe dọa từ phần mềm độc hại tiền điện tử ngày càng lớn hơn, khiến cho những hiểu biết sâu sắc và công cụ do ANY.RUN cung cấp trở nên cần thiết hơn bao giờ hết.

Thông qua phân tích toàn diện và công nghệ hộp cát đổi mới, ANY.RUN trao quyền cho người dùng hiểu và bảo vệ chống lại mối đe dọa thầm lặng nhưng đáng kể của phần mềm độc hại tiền điện tử.

Để biết thêm thông tin về phân tích của ANY.RUN về phần mềm độc hại tiền điện tử và cách nền tảng này có thể hỗ trợ chống lại các mối đe dọa , bạn có thể truy cập miễn phí vào nền tảng hộp cát ANY.RUN .

Nếu bạn đến từ nhóm SOC và DFIR để điều tra sự cố và hợp lý hóa việc phân tích mối đe dọa. Hãy dùng thử tất cả các tính năng của ANY.RUN với mức phí bằng 0 trong 14 ngày với  bản dùng thử miễn phí .

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trending