CoinMiner-Malware verbreitet sich weiterhin über USB-Laufwerke
Detection stack
- AIDR
- Alert
- ETL
- Query
ZUSAMMENFASSUNG
CoinMiner-Malware verbreitet sich weiterhin über USB-Laufwerke in Südkorea, indem ein versteckter Shortcut genutzt wird, der VBS- und BAT-Skripte auslöst, die wiederum mehrere Komponenten inszenieren, die schließlich eine Kryptowährungs-Mining-Nutzlast liefern.
Untersuchung
Der Bericht beschreibt die Verzeichnisstruktur auf dem infizierten USB, die Ausführungskette vom Shortcut durch mehrere Dropper-Stufen, die Registrierung unter dem DcomLaunch-Dienst sowie die Bereitstellung der PrintMiner- und XMRig-Kryptowährungs-Miner.
Abmilderung
Benutzer sollten Betriebssystem und Software aktualisieren, die Ausführung unzuverlässiger Shortcut-Dateien blockieren, aktuelle Antiviren-Tools verwenden und den Zugang zu bekannter bösartiger Infrastruktur verweigern.
Reaktion
Erkennen Sie den bösartigen Shortcut und seine zugehörigen Skripte, überwachen Sie die Erstellung von Dropper-Dateien und DCOM-Registrierungen und blockieren Sie den Netzwerkverkehr zu den identifizierten Mining-Kommando-und-Kontroll-Domains und IP-Adressen.
Angriffsablauf
Erkennungen
Erkennung von USB-Shortcut- und BAT-Malware-Aktivitäten [Windows-Datei-Ereignis]
Ansehen
Erkennen Sie XMRig-Kommunikation mit C&C-Server über spezifische Hostnamen [Windows-Netzwerkverbindung]
Ansehen
Ausführung von bösartigen Dateien über Printui.exe und Svcinsty64.exe [Windows-Prozesserstellung]
Ansehen
IOCs (HashMd5) zur Erkennung: CoinMiner-Malware, die kontinuierlich über USB verteilt wird
Ansehen
IOCs (DestinationIP) zur Erkennung: CoinMiner-Malware, die kontinuierlich über USB verteilt wird
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Durchführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder unverwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Stufe 1 – Eine bösartige DLL ablegen: Der Angreifer kopiert eine bearbeitete
printui.dllin dasselbe Verzeichnis wieprintui.exe(simuliert eine Treiber-Nutzlast, die über ein USB-Gerät geliefert wird). - Stufe 2 – Ausführen
printui.exe: Durch Aufrufen vonprintui.exemit dem/mlSchalter (bösartige Ladung) wird die bösartige DLL geladen und ein Prozess-Erstellungsereignis generiert, das der Auswahl (der Regel entspricht (Bild endet mit printui.exe) während auch die FilterBedingung (Bild enthält printui.dll). Diese Regel schließt - dies aus, sodass der Angreifer einen zweiten Schritt hinzufügt, um dies zu umgehen.
Stufe 3 – AusführenStufe 3 – Ausführenpayload.exe), die auf dem USB-Laufwerk gespeichert ist. Diese Aktion erzeugt ein Prozess-Erstellungsereignis fürStufe 3 – Ausführen: Der Angreifer registriert einen neuen Dienst, der auf eine Nutzlast-Binärdatei zeigt (
- Stufe 1 – Eine bösartige DLL ablegen: Der Angreifer kopiert eine bearbeitete
-
, erfüllt die Auswahl der Regel, ohne den Filter auszulösen, und erzeugt somit einen Alarm.Regressions-Testskript:
Das unten stehende Skript automatisiert die drei Stufen und sorgt für Reproduzierbarkeit. -
Aufräumbefehle: (Falls das obige Skript fehlschlägt oder Sie die manuelle Bereinigung bevorzugen)
# Entfernen Sie den bösartigen Dienst, falls noch vorhanden $svcName = "MaliciousSvc" $svcInstPath = "$env:SystemRootSystem32svcinsty64.exe" & $svcInstPath /uninstall $svcName # Löschen Sie temporäre DLL und Nutzlast Remove-Item -Path "$env:TEMPprintui.dll" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.bat" -Force -ErrorAction SilentlyContinue # (Optional) Überprüfen Sie, ob keine Überbleibsel-Dienste vorhanden sind Get-Service -Name $svcName -ErrorAction SilentlyContinue